Video: Kış lastikleri hayat kurtarıyor 2024
Güvenlik açıklarını, kendi şirketinizde saldırı riskini değerlendirebilecekleri yönetim veya müşteri için resmi bir belge haline getirmeniz gerekebilir. Bu her zaman böyle değildir, ancak genellikle profesyonel bir şeydir ve çalışmalarınızı ciddiye aldığınızı gösterir. Eleştirel bulguları gözden geçirin ve diğer partilerin anlayabileceği şekilde belgeleyin.
Grafikler ve grafikler bir artı. Bulgularınızın ekran görüntüleri - özellikle verileri bir dosyaya kaydetmek zor olduğunda -, raporlarınıza güzel bir dokunuş katabilir ve sorunun var olduğuna dair somut kanıt gösterebilir.
Güvenlik açıklarını kısa, teknik olmayan bir şekilde belgeleyin. Her rapor aşağıdaki bilgileri içermelidir:
-
Testin yapıldığı tarih (ler)
-
Gerçekleştirilen testler
-
Bululan güvenlik açıklarının özeti
-
Ele geçirilmeye ihtiyaç duyulan güvenlik açıklarının öncelikli listesi
-
Öneriler ve güvenlik boşluklarının takılmasına ilişkin belirli adımlar bulundu
Yönetiminize veya müşterinize değer katarsanız (ve çoğu zaman geçerlidir), zayıf iş süreçleri, yönetimin BT ve güvenliği desteği vs. boyunca genel gözlemlerin bir listesini ekleyebilirsiniz. her sayıya yönelik önerilere yer verilmektedir.
Çoğu kişi sonuç raporunda bulguların özetini içermesini ister; her şeyi değil. Çoğu insanın yapmak istediği son şey, onlara çok az şey ifade eden teknik jargonu içeren 5 inçlik bir kağıt destesini kaldırmaktır. Birçok danışmanlık firmasının bu tür bir rapor için bir kol ve bir bacak tahsis ettiği biliniyor, ancak rapor etmenin doğru yolunu sağlamıyor.
Birçok yönetici ve müşteri, güvenlik araçlarından ham veri raporları almaktan hoşlanıyor. Bu şekilde, teknik gobbledygook'ların yüzlerce basılı kopya sayfasında bulutlanmamış olsa da, daha sonra verileri referans alabilirler. Ham veriyi raporunuzun Ekinde veya başka yerlerde eklediğinizden emin olun ve okuyucuyu kendisine yönlendirin.
Raporunuzdaki eylem öğeleri listenizde aşağıdakiler bulunabilir:
-
Tüm sunucularda Windows güvenlik denetimini etkinleştirin - özellikle oturum açma ve oturum kapatma işlemleri için.
-
Sunucu odasının kapısına güvenli bir kilit koyun.
-
Ulusal Güvenlik Açıkları Veritabanı ve Internet Security Benchmarks / Puanlama Araçları Merkezi'nden gelen güçlü güvenlik uygulamalarına dayanan işletim sistemlerini güçlendirin.
-
Gizli basılı kopya bilgilerini imha etmek için çapraz kesimli kağıt parçalayıcı kullanın.
-
Tüm mobil cihazlarda güçlü PIN veya parola deyimi isteyin ve kullanıcıları periyodik olarak değiştirmelerini zorunlu tutun.
-
Kişisel dizüstü / IPS yazılımını tüm dizüstü bilgisayarlara yükleyin.
-
Siteler arası betikleme ve SQL enjeksiyonunu ortadan kaldırmak için tüm web uygulamalarında girdiyi doğrulayın.
-
En yeni satıcı düzeltme eklerini veritabanı sunucusuna uygulayın.
Sonuç raporunun bir parçası olarak, etik hırsızlık testlerini gerçekleştirirken gözlemlediğiniz çalışanların tepkilerini belgelemek isteyebilirsiniz. Örneğin, bariz bir sosyal mühendislik saldırısı gerçekleştirirken çalışanlar tamamen kaygısız mu, hatta kavgacı mı? IT ya da güvenlik personeli, test sırasında bozulan ağın performansı ya da sistem günlüğü dosyalarında görünen çeşitli saldırılar gibi teknik ipuçlarını tamamen kaçırıyor mu?
Ayrıca gözlemlediğiniz diğer güvenlik sorunlarını, örneğin BT personelinin veya yönetici hizmetleri sağlayıcılarının testlerinize ne kadar hızlı tepki verdikleri veya yanıtladıkları gibi belgeleyebilirsiniz.
Nihai raporu, göremeye yetkili olmayan insanlardan uzak tutmak için koruyun. Bir etik hack raporu, ilgili dokümantasyon ve dosyalar bir rakip, korsan veya kötü amaçlı içeriden birinin elinde bulunursa, kuruluş için sorun çıkarabilir. Bunun olmasını önlemenin bazı yolları şunlardır:
-
Raporu ve ilgili belgeleri ve dosyaları sadece bir işe ihtiyaç duyanlarınıza gönderin.
-
Son rapor gönderirken, PGP, şifreli Zip biçimi veya güvenli bulut dosya paylaşım hizmeti kullanarak dokümantasyon ve test sonuçları gibi tüm ekleri şifreleyin. Tabii ki, elden teslimat en güvenli bahsinizdir.
-
Kötü niyetli bir kişinin raporun dışına itebileceği gerçek sınama adımlarını bırakın. Bu konudaki sorularınızı gerektiği gibi cevaplayın.
