Hjem Personlig finansiering Hvordan du kommuniserer resultater for sikkerhetsvurdering - dummies

Hvordan du kommuniserer resultater for sikkerhetsvurdering - dummies

Video: Hvordan kommuniserer du? 2024

Video: Hvordan kommuniserer du? 2024
Anonim

Du må kanskje organisere informasjonen om sårbarhet i et formelt dokument for ledelse eller klienten, slik at de kan vurdere risikoen for hacking i eget firma. Dette er ikke alltid tilfelle, men det er ofte den profesjonelle tingen å gjøre og viser at du tar jobben din på alvor. Gjør ut de kritiske funnene og dokumenter dem slik at andre parter kan forstå dem.

Grafer og diagrammer er et pluss. Skjermfanger av funnene dine - spesielt når det er vanskelig å lagre dataene i en fil - kan legge til en fin berøring til rapportene dine og vise konkrete bevis på at problemet eksisterer.

Dokumentere sårbarhetene på en kort, ikke-teknisk måte. Hver rapport skal inneholde følgende opplysninger:

  • Dato (er) testen ble utført

  • Tester som ble utført

  • Sammendrag av de oppdagede sårbarhetene

  • Prioriterte liste over sårbarheter som må tas opp

  • Anbefalinger og spesifikke trinn på hvordan du kobler sikkerhetshullene som er funnet

Hvis det vil gi verdier til ledelsen eller klienten din (og det gjør det ofte), kan du legge til en liste over generelle observasjoner rundt svake forretningsprosesser, ledelsens støtte til IT og sikkerhet, og så videre med anbefalinger for adressering av hvert problem.

De fleste vil at sluttrapporten inneholder en oppsummering av funnene - ikke alt. Det siste de fleste ønsker å gjøre er å sile gjennom en 5-tommers tykk bunke med papir som inneholder teknisk sjargong som betyr lite for dem. Mange konsulentfirmaer har vært kjent for å lade en arm og et ben for denne typen rapport, men det gjør det ikke den rette måten å rapportere.

Mange ledere og kunder som å motta rapdata rapporter fra sikkerhetsverktøyene. På den måten kan de referere til dataene senere hvis de vil, men er ikke opptatt i hundrevis av eksemplarer av teknisk gobbledygook. Bare vær sikker på at du inkluderer de røde dataene i vedlegget til rapporten eller andre steder og referer leseren til den.

Listen over handlingsobjekter i rapporten din kan inneholde følgende:

  • Aktiver Windows-sikkerhetsrevisjon på alle servere - spesielt for logoer og logger.

  • Sett en sikker lås på serverrommet døren.

  • Herd operativsystemene basert på sterk sikkerhetspraksis fra den nasjonale sikkerhetsdatabasen og senteret for Internett-sikkerhetsbenchmarks / Scoring Tools.

  • Bruk en kryssskårer for å ødelegge konfidensiell informasjon.

  • Krev sterke PIN-koder eller passord på alle mobilenheter og tving brukere til å endre dem med jevne mellomrom.

  • Installer personlig brannmur / IPS-programvare på alle bærbare datamaskiner.

  • Valider inngang i alle webapplikasjoner for å eliminere cross-site scripting og SQL-injeksjon.

  • Bruk de nyeste leverandørpatchene til databaseserveren.

Som en del av sluttrapporten vil du kanskje dokumentere ansattes reaksjoner som du observerer når du utfører dine etiske hackingstester. For eksempel er ansatte helt uvitende eller enda krigsførende når du utfører et åpenbart samfunnsteknisk angrep? Blir IT- eller sikkerhetspersonalet helt glipp av tekniske tips, for eksempel ytelsen til nettverket som forringes under testingen eller ulike angrep som vises i systemloggfiler?

Du kan også dokumentere andre sikkerhetsproblemer du observerer, for eksempel hvor raskt IT-ansatte eller ledertjenester leverandørene svarer på testene dine eller om de reagerer i det hele tatt.

Vakt sluttrapporten for å holde den sikker fra personer som ikke er autorisert til å se den. En etisk hacking rapport og tilhørende dokumentasjon og filer i hendene på en konkurrent, hacker eller ondsinnet insider kan stave problemer for organisasjonen. Her er noen måter å forhindre at dette skjer på:

  • Lever rapporten og tilhørende dokumentasjon og filer bare til de som har en bedrift, trenger å vite.

  • Når du sender den endelige rapporten, krypterer du alle vedlegg, for eksempel dokumentasjon og testresultater, ved hjelp av PGP, kryptert zip-format eller sikker skyfildelingstjeneste. Selvfølgelig er håndlevering den mest sikre innsatsen din.

  • La de faktiske teststrinnene som en ondsinnet person kunne misbruke ut av rapporten. Svar på eventuelle spørsmål om dette emnet etter behov.

Hvordan du kommuniserer resultater for sikkerhetsvurdering - dummies

Redaktørens valg

Redaktørens valg

Slik bruker du Smart Sharpen i Photoshop CS6 - dummies

Slik bruker du Smart Sharpen i Photoshop CS6 - dummies

Sosiale medier

Smart Sharpen gjør en god jobb med å oppdage kanter og skjerpe dem i Photoshop CS6. Dette filteret gir deg mye kontroll over innstillingsinnstillingene. Her er scoop på disse innstillingene: Forhåndsvisning: Åpenbart, hold dette valget valgt slik at du kan ta en gander på hva som skjer når du skjerper. Du vil sette pris på ...

Hvordan du bruker Handlingspanelet i Photoshop CS6 - dummies

Hvordan du bruker Handlingspanelet i Photoshop CS6 - dummies

Sosiale medier

Ikke overraskende, Adobe Photoshop Creative Suite 6 har et panel dedikert til automatisering av ulike oppgaver. Hvis du vil vise handlingspanelet, velger du Vindu → Handlinger, eller klikker Handlinger-ikonet i paneldocken. Du kan vise handlingspanelet i to moduser, knapp og liste. Hver modus er nyttig på sin egen måte. Du kan ...

Slik bruker du BMP-formatet i Photoshop CS6 - dummies

Slik bruker du BMP-formatet i Photoshop CS6 - dummies

Sosiale medier

Adobe Photoshop Creative Suite 6 har mange format alternativer, en er BMP. BMP (Bitmap) er et standard Windows-filformat som vanligvis brukes til å lagre bilder som du vil gjøre en del av datamaskinens ressurser, for eksempel bakgrunnen du ser på Windows-skrivebordet. BMP er også et format som brukes av dataprogrammerere. ...

Redaktørens valg

Identifisere nettverkstypene - dummies

Identifisere nettverkstypene - dummies

Personlig finansiering

Et av områdene nettverk som A + sertifiseringstestene dekker, er nettverksteori / nettverksmaskinvare. Å kunne identifisere typer nettverk er viktig. Et nettverk er en gruppe tilkoblede systemer for å dele data eller enheter. De to hovedtyper av nettverk er peer-to-peer og server-basert (klient-server). Peer-to-peer-nettverk i en peer-to-peer ...

(ISC) 2 frivillige muligheter - dummies

(ISC) 2 frivillige muligheter - dummies

Personlig finansiering

Internasjonalt informasjonssikkerhetssertifiseringskonsortium (ISC) 2 er mye mer enn en sertifiserende organisasjon: Det er en årsak. Det er sikkerhetspersonellens raison d'être, årsaken til at du eksisterer - profesjonelt, uansett. Som en av gruppene, bør du vurdere å kaste vekten din til årsaken. Frivillige har gjort (ISC) 2 hva det er i dag og bidrar til sertifiseringen. ...

Metoder for sikring av overføringer - dummies

Metoder for sikring av overføringer - dummies

Personlig finansiering

For kompTIA A + sertifiseringstester, du må forstå metodene som er tilgjengelige for sikring av overføringer. Etter at du har godkjent brukere og autorisert dem til å få tilgang til visse deler av nettverket, bør du vurdere metoder for å sikre informasjon mens den beveger seg langs nettverkskabelen. De fleste nettverkskommunikasjon sendes langs nettverkskabelen i ...

Redaktørens valg

Trådløs nettverksadministrasjon: Roaming - dummies

Trådløs nettverksadministrasjon: Roaming - dummies

Personlig finansiering

Du kan bruke to eller flere trådløse tilgangspunkter (WAP) for å lage en stor trådløst nettverk der datamaskinen brukere kan streife fra område til område og fortsatt være koblet til det trådløse nettverket. Når brukeren beveger seg utenfor rekkevidden av ett tilgangspunkt, henter et annet tilgangspunkt automatisk brukeren og ...

Trådløs nettverksadministrasjon: Rogue Access Points - dummies

Trådløs nettverksadministrasjon: Rogue Access Points - dummies

Personlig finansiering

Et av de største problemene som nettverksadministratorer har å håndtere er problemet med rogue-tilgangspunkter. Et rogue-tilgangspunkt er et tilgangspunkt som plutselig ser ut av ingensteds på nettverket ditt. Det som vanligvis skjer, er at en medarbeider bestemmer seg for å koble en bærbar datamaskin til nettverket via et trådløst ...

Trådløs nettverksadministrasjon: Sette opp en Hotspot-dummies

Trådløs nettverksadministrasjon: Sette opp en Hotspot-dummies

Personlig finansiering

Slik at du eier en liten kafé, og du tror det ville være kult å sette opp et hotspot for kundene dine å bruke, eh? Hvis du vil sette opp et gratis hotspot, er alt du trenger: En pålitelig bredbåndstilkobling. DSL, kabel eller T-1 vil fungere pent. Et trådløst tilgangspunkt. For en ...

Redaktørens valg

Redaktørens valg

Populære kategorier

© Copyright no.blender3dtutorials.com, 2024 September | Om nettstedet | Kontakter | Personvernregler.