Video: Güvenlik sağlık raporları nereden nasıl alınır? 2024
Güvenlik testi güvenlik açığı bilgilerinizi yönetim veya müşteriniz için resmi bir belgeye yerleştirmeniz gerekebilir. Bu her zaman böyle değildir, ancak genellikle profesyonel bir şeydir ve çalışmalarınızı ciddiye aldığınızı gösterir. Eleştirel bulguları gözden geçirin ve diğer partilerin anlayabileceği şekilde belgeleyin.
Grafikler ve grafikler bir artı. Bulgularınızın ekran görüntüleri - özellikle verileri bir dosyaya kaydetmek zor olduğunda - raporlarınıza hoş geldiniz ekleyin ve sorunun varlığının somut kanıtlarını gösterin.
Güvenlik açıklarını kısa, teknik olmayan bir şekilde belgeleyin. Her rapor aşağıdaki bilgileri içermelidir:
-
Testin yapıldığı tarih (ler)
-
Gerçekleştirilen testler
-
Bululan güvenlik açıklarının özeti
-
Ele geçirilmeye ihtiyaç duyulan güvenlik açıklarının öncelikli listesi
-
Öneriler ve güvenlik boşluklarının takılmasına ilişkin belirli adımlar bulundu
IT / güvenlik süreçlerinin operasyonel değerlendirmesini yapabiliyorsanız, her zaman katma değer katmaktadır. Zayıf iş süreçleri, yönetimin BT ve güvenliği konularında genel gözlemlerin bir listesini ekleyin ve böylece her sayının adreslenmesi için öneriler ekleyin. Buna bir kök neden analizi gibi bakabilirsiniz.
Çoğu kişi sonuç raporunda bulguların özetini içermesini ister; her şeyi değil. Çoğu insanın yapmak istediği son şey, kendilerine çok az şey ifade eden teknik bir jargonu içeren 600 sayfalık bir PDF dosyasını taramaktır. Birçok danışmanlık firmasının bu tür raporlar için megabucks talep ettiği bilinmektedir. Ve ondan kurtuluyorlar. Ancak bu doğru yapmaz.
Yöneticiler ve geliştiriciler güvenlik araçlarından ham veri raporlarına ihtiyaç duyar. Bu şekilde, daha sonra, belirli HTTP isteklerini / yanıtlarını görmeleri gerektiğinde, eksik yamaları detaylandırırken verileri referans alabilirler.
Nihai raporun bir parçası olarak, güvenlik testlerinizi gerçekleştirirken gözlemlediğiniz davranışları belgeleyebilirsiniz. Örneğin, bariz bir sosyal mühendislik saldırısı gerçekleştirirken çalışanlar tamamen kaygısız mu, hatta kavgacı mı? IT ya da güvenlik personeli, test sırasında bozulan ağın performansı ya da sistem günlüğü dosyalarında görünen çeşitli saldırılar gibi teknik ipuçlarını tamamen kaçırıyor mu?
Ayrıca gözlemlediğiniz diğer güvenlik sorunlarını, örneğin BT personelinin veya yönetilen servis sağlayıcıların testlerinize ne kadar hızlı cevap verdikleri veya yanıtladıkları gibi belgeleyebilirsiniz. Kök nedeni analiz yaklaşımını takiben eksik, eksik veya takip edilmeyen prosedürlerin belgelendirilmesi gerekmektedir.
Nihai raporu, göremeye yetkili olmayan insanlardan uzak tutmak için koruyun. Bir güvenlik değerlendirmesi raporu ve ilişkili veriler ve destek dosyalarının bir rakibin, bilgisayar korsanının veya kötü niyetli içeriden öğrenenlerin elinde bulunması, kuruluş için zorluk çıkarabilir. Bunun olmasını önlemenin bazı yolları şunlardır:
-
Raporu ve ilgili dokümantasyonu ve dosyaları sadece bir işe ihtiyacı olanlara teslim edin.
-
Nihai raporu elektronik olarak gönderiyorsanız, dokümantasyon ve test sonuçları gibi tüm ekleri şifrelenmiş bir Zip formatı kullanarak veya güvenli cloud dosya paylaşımı servisiyle şifreleyin.
