ビデオ: エッ○なサイト見てたらウイルス感染しました… 2024
脆弱性情報を管理用またはクライアント用の正式な文書に整理し、自社のハッキングの危険性を評価する必要がある場合があります。これは必ずしも当てはまるわけではありませんが、それはしばしば専門的なことであり、あなたが仕事を真剣に受け止めていることを示しています。批判的な知見を見つけ出し、他の当事者が理解できるように文書化する。
グラフとグラフはプラスです。調査結果のスクリーンキャプチャ、特にデータをファイルに保存することが困難な場合は、レポートに素早く触れ、問題が存在するという明確な証拠を示すことができます。
<! - 1 - >脆弱性を簡潔で非技術的に文書化する。すべてのレポートには、次の情報が含まれている必要があります。
-
テストが実施された日付
-
実行されたテスト
-
発見された脆弱性の概要
-
対処が必要な脆弱性の優先順位リスト
-
検出されたセキュリティホールのプラグインの具体的な手順について説明します
<! - 2 - >
経営陣やクライアントに価値をもたらす場合(そして多くの場合)、弱いビジネスプロセス、経営陣によるITとセキュリティのサポートなどの一般的な観察のリストを追加することができます各問題に対処するための推奨事項が記載されています。
ほとんどの人は最終報告書にすべてのものではなく、 要約 を含めることを望んでいます。ほとんどの人がやりたい最後のことは、技術的な専門用語を含む5インチの厚さの紙の束を選別することです。多くのコンサルティング会社は、この種類のレポートでは腕と脚を充電することが知られていますが、それは報告する正しい方法にはなりません。
<! - 3 - >多くの管理者とクライアントは、セキュリティツールから生データレポートを受信するのが好きです。こうすることで、後でデータを参照できるようになりますが、何百ものハードコピーの技術的な話題のページに陥ることはありません。生データをレポートの付録または他の場所に含めて、読者に参照されていることを確認してください。
レポートに表示されるアクション項目のリストには、次の項目が含まれている場合があります。
-
すべてのサーバーでWindowsセキュリティ監査を有効にする - 特にログオンとログオフの場合。
-
サーバールームのドアに安全なロックを施します。
-
National Vulnerabilities DatabaseとInternet Security Benchmarks / Scoring Toolsの強力なセキュリティプラクティスに基づいてオペレーティングシステムを強化します。
-
機密情報の破壊には、クロスカット紙シュレッダーを使用します。
-
すべてのモバイルデバイスで強力なPINまたはパスフレーズを要求し、ユーザーに定期的にPINやパスフレーズを変更させます。
-
すべてのラップトップにパーソナルファイアウォール/ IPSソフトウェアをインストールします。
-
すべてのWebアプリケーションで入力を検証し、クロスサイトスクリプティングとSQLインジェクションを排除します。
-
データベースサーバに最新のベンダーパッチを適用します。
最終報告書の一部として、倫理的なハッキングテストを実施する際に観察された従業員の反応を文書化することができます。たとえば、明白な社会工学的攻撃を実行すると、従業員は完全に覚えていない、あるいは敵対的ですか? ITスタッフやセキュリティスタッフは、テスト中にネットワークのパフォーマンスが低下したり、システムログファイルにさまざまな攻撃が記録されたりするなど、技術上のヒントを完全に見逃していますか?
ITスタッフやマネージャーサービスプロバイダがテストにどの程度迅速に対応するか、まったく応答するかどうかなど、その他のセキュリティ上の問題を文書化することもできます。
最終報告書を見守ることを許可されていない人々から保護するために、最終報告書を守ってください。倫理的なハッキングレポートと、それに関連するドキュメントやファイルが競合他社、ハッカー、または悪意のある内部者の手に渡って組織に迷惑をかける可能性があります。これを防ぐためのいくつかの方法があります:
-
ビジネスと知りたい人にのみ、レポートと関連する文書とファイルを提供します。
-
最終報告書を送信するときは、PGP、暗号化されたZip形式、または安全なクラウドファイル共有サービスを使用して、文書やテスト結果などの添付ファイルをすべて暗号化します。もちろん、手渡しは最も安全な賭けです。
-
悪意のある人が悪用する可能性がある実際のテスト手順をそのまま残しておきます。必要に応じて、その主題に関する質問に答えます。
