Comment communiquer les résultats des évaluations de sécurité

Vous pouvez avoir besoin pour organiser vos informations de vulnérabilité dans un document officiel pour la gestion ou votre client afin qu'ils puissent évaluer le risque de piratage dans leur propre entreprise. Ce ne sont pas toujours le cas, mais il est souvent la chose professionnelle à faire et montre que vous prenez votre travail au sérieux. Débusquer les conclusions essentielles et les documenter afin que d'autres parties peuvent les comprendre.

Les graphiques et tableaux sont un plus. Les captures d'écran de vos résultats - surtout quand il est difficile de sauvegarder les données dans un fichier - peuvent ajouter une touche agréable à vos rapports et de montrer des preuves tangibles que le problème existe.

Documenter les vulnérabilités d'une manière non technique concise. Chaque rapport devrait contenir les informations suivantes:

  • Date (s) le test a été effectué

  • Tests qui ont été effectuées

  • Résumé des vulnérabilités découvertes

  • Liste prioritaire de vulnérabilités qui doivent être abordées

  • Recommandations et mesures spécifiques sur la façon de boucher les trous de sécurité trouvés

Si il va ajouter de la valeur à la gestion ou votre client (et il le fait souvent), vous pouvez ajouter une liste des observations générales sur les processus d'affaires faibles, le soutien de la direction de l'informatique et de la sécurité, et ainsi de suite avec des recommandations pour répondre à chaque question.




La plupart des gens veulent que le rapport final d'inclure une résumé des conclusions - pas tout. La dernière chose que la plupart des gens veulent faire est de passer au crible une pile de 5 pouces d'épaisseur de papiers contenant jargon technique qui signifie très peu pour eux. Beaucoup de sociétés de conseil ont été connus pour charger un bras et une jambe pour ce type même de rapport, mais cela ne rend pas la bonne façon de faire rapport.

Beaucoup de gestionnaires et des clients tels que la réception des rapports de données brutes à partir des outils de sécurité. De cette façon, ils peuvent référencer les données plus tard, si elles veulent, mais ne sont pas embourbés dans des centaines de pages sur papier de charabia technique. Assurez-vous d'inclure les données brutes en annexe de votre rapport ou ailleurs, et renvoie le lecteur à elle.

Votre liste d'éléments d'action dans votre rapport pourrait inclure les éléments suivants:

  • Activer Windows audit de sécurité sur tous les serveurs - en particulier pour les connexions et déconnexions.

  • Mettre un verrou de sécurité à la porte de la salle des serveurs.

  • Les systèmes d'exploitation Harden fondées sur les pratiques de sécurité fortes de la base de données nationale vulnérabilités et le Center for Internet Security Repères / Scoring Tools.

  • Utilisez un cross-cut déchiqueteuse pour la destruction des informations confidentielles sur papier.

  • Exiger PIN ou des phrases de passe forts sur tous les appareils mobiles et les utilisateurs de la force de les changer périodiquement.

  • Installez un pare-feu logiciel personnel / IPS sur tous les ordinateurs portables.

  • Valider l'entrée dans toutes les applications Web pour éliminer cross-site scripting et injection SQL.

  • Appliquer les derniers correctifs du fournisseur pour le serveur de base de données.

Dans le cadre du rapport final, vous pourriez vouloir documenter les réactions des employés que vous observez dans l'exercice de vos tests de piratage éthique. Par exemple, les employés sont complètement inconscient ou même belligérant lorsque vous effectuez une attaque d'ingénierie sociale évidente? Est-ce que l'informatique ou le personnel de sécurité complètement ratée dénonciations techniques, tels que la performance de la dégradation du réseau au cours des tests ou diverses attaques apparaissant dans les fichiers journaux du système?

Vous pouvez également documenter d'autres problèmes de sécurité que vous observez, tels que la rapidité avec laquelle les fournisseurs personnel informatique ou Gestionnaire des services répondent à vos tests ou si elles répondent à tous.

Gardez le rapport final pour le garder à l'abri des personnes qui ne sont pas autorisés à le voir. Un rapport éthique de piratage et de la documentation associée et les fichiers dans les mains d'un concurrent, pirate, ou un initié malveillant pourrait causer des problèmes pour l'organisation. Voici quelques façons pour empêcher que cela se passe:

  • Livrer le rapport et la documentation et les fichiers associés uniquement à ceux qui ont un besoin de l'entreprise de savoir.

  • Lors de l'envoi du rapport final, crypter toutes les pièces jointes, telles que la documentation et les résultats des tests, utilisant PGP, format Zip chiffré, ou le service de partage de fichiers cloud sécurisé. Bien sûr, remise en main propre est votre pari le plus sûr.

  • Laissez les étapes de tests réels qu'une personne malveillante pourrait abuser sur le rapport. Répondez à toutes les questions sur ce sujet, au besoin.


» » » » Comment communiquer les résultats des évaluations de sécurité