Wie zu Security Assessment Ergebnisse Kommunizieren

Möglicherweise müssen Sie Ihre Verwundbarkeit Informationen in ein offizielles Dokument für das Management oder Ihre Kunden zu organisieren, so dass sie das Risiko von Hacking im eigenen Unternehmen beurteilen können. Dies ist nicht immer der Fall, aber es ist oft die professionelle Sache zu tun und zeigt, dass Sie Ihre Arbeit ernst nehmen. Frettchen, die kritischen Feststellungen und zu dokumentieren, so dass andere Parteien sie verstehen kann.

Grafiken und Diagramme sind ein Plus. Bildschirmaufnahmen Ihrer Erkenntnisse - vor allem, wenn es schwierig ist, die Daten in eine Datei zu speichern - eine nette Geste, um Ihre Berichte hinzufügen und zeigen konkrete Anhaltspunkte, dass das Problem existiert.

Dokumentieren Sie die Schwachstellen in prägnanter, nicht-technische Art und Weise. Jeder Bericht sollte folgende Angaben enthalten:

• Termin (e) die Prüfung durchgeführt wurde,

• Tests, die durchgeführt wurden

• Zusammenfassung der gefundenen Schwachstellen

• Priorisierte Liste von Schwachstellen, die angesprochen werden müssen

• Empfehlungen und konkrete Schritte auf, wie die Sicherheitslücken zu stopfen gefunden

Wenn es Wert Verwaltung hinzugefügt wird oder Ihr Kunde (und es oft der Fall ist), können Sie eine Liste mit allgemeinen Beobachtungen um schwache Geschäftsprozesse des Managements hinzufügen Unterstützung von IT und Sicherheit, und so weiter zusammen mit Empfehlungen für jede Ausgabe Adressierung.

Die meisten Menschen wollen, dass der Abschlussbericht eine einzubeziehen Zusammenfassung der Ergebnisse - nicht alles. Das letzte, was die meisten Menschen tun wollen, ist durch einen 5-Zoll-dicken Stapel Papiere sichten Fachjargon enthalten, die nur sehr wenig für sie bedeutet. Viele Beratungsfirmen sind dafür bekannt, einen Arm und ein Bein für diese sehr Art des Berichts zu erheben, aber das macht es nicht der richtige Weg machen zu melden.

Viele Manager und Kunden wie Rohdaten Berichte von den Sicherheits-Tools zu erhalten. Auf diese Weise können sie die Daten verweisen später, wenn sie wollen, aber sind in Hunderten von Hardcopy-Seiten technischer Geschwafel nicht verstrickt. So stellen Sie sicher, dass Sie die Rohdaten im Anhang des Berichts enthalten oder an anderer Stelle und verweisen den Leser auf sie.

Die Liste der Aktionselemente in Ihrem Bericht könnten gehören die folgenden:

• Aktivieren Sie die Windows-Sicherheitsüberprüfungen auf allen Servern - vor allem für An- und Abmeldungen.

• Setzen Sie einen sicheren Verschluss der Tür des Serverraum.

• Harden Betriebssysteme basierend auf einem starken Sicherheitspraktiken von der Nationale Sicherheitslücken-Datenbank und das Center for Internet Security Benchmarks / Scoring-Tools.

• Verwenden Sie ein Kreuzschnitt-Aktenvernichter für die Vernichtung vertraulicher Informationen schwer zu kopieren.

• Erfordern starke PINs oder Passwörter auf allen mobilen Geräten und Kraft Benutzer sie in regelmäßigen Abständen zu ändern.

• Installieren Sie eine persönliche Firewall / IPS-Software auf allen Laptops.

• Validieren Sie die Eingabe in allen Web-Anwendungen Cross-Site Scripting und SQL-Injection zu beseitigen.

• Wenden Sie die neuesten Patches des Herstellers auf dem Datenbankserver.

Im Rahmen des Abschlussberichts, können Sie Mitarbeiter Reaktionen zu dokumentieren möchten, die Sie beachten, wenn Sie Ihre Ethical Hacking Tests. Zum Beispiel sind die Mitarbeiter völlig blind oder sogar kriegerische, wenn Sie eine offensichtliche Social Engineering-Angriff durchführen? Ist die IT oder Sicherheitspersonal vollständig vermissen technische Spitze-offs, wie die Leistung des Netzwerks erniedrigender während der Prüfung oder verschiedene Angriffe in System-Log-Dateien angezeigt?

Sie können dokumentieren auch andere Sicherheitsfragen Sie, wie, wie schnell die IT-Mitarbeiter oder Manager Dienstleister reagieren auf Ihre Tests oder ob sie reagieren überhaupt beobachten.

Schützen Sie den Abschlussbericht es von Menschen sicher zu halten, die sie nicht sehen dürfen. Ein Ethical Hacking-Bericht und die dazugehörige Dokumentation und Dateien in den Händen eines Wettbewerbers, Hacker oder böswillige Insider könnte Probleme für die Organisation bedeuten. Hier sind einige Möglichkeiten, dies zu verhindern:

• Geben Sie den Bericht und die zugehörigen Unterlagen und Dateien nur für diejenigen, die ein Unternehmen müssen wissen, haben.

• Wenn der Abschlussbericht zu senden, zu verschlüsseln alle Anlagen, wie Dokumentation und Testergebnisse, die Verwendung von PGP verschlüsselte Zip-Format, oder sichere Cloud-File-Sharing-Dienst. Natürlich ist die Hand Lieferung Ihre sicherste Wette.

• Lassen Sie die tatsächlichen Testschritte, die eine böswillige Person aus dem Bericht missbrauchen könnte. Beantworten Sie alle Fragen zu diesem Thema, wie gebraucht.