ビデオ: ホンダ ライフ・フィット/イモビライザー登録(作成) 2024
セキュリティテストの脆弱性情報を管理用またはクライアント用の正式な文書に整理する必要があるかもしれません。これは必ずしも当てはまるわけではありませんが、それはしばしば専門的なことであり、あなたが仕事を真剣に受け止めていることを示しています。批判的な知見を見つけ出し、他の当事者が理解できるように文書化する。
グラフとグラフはプラスです。調査結果のスクリーンキャプチャ - 特にデータをファイルに保存することが困難な場合 - レポートに素敵な感触を加え、問題が存在するという明確な証拠を示します。
<! - 1 - >脆弱性を簡潔で非技術的に文書化する。すべてのレポートには、次の情報が含まれている必要があります。
-
テストが実施された日付
-
実行されたテスト
-
発見された脆弱性の概要
-
対処が必要な脆弱性の優先順位リスト
-
検出されたセキュリティホールのプラグインの具体的な手順について説明します
<! - 2 - >
IT /セキュリティプロセスの運用評価を実行できる場合は、常に価値を付加します。弱いビジネスプロセス、経営陣によるITとセキュリティのサポートなどに関する一般的な意見のリストを追加するとともに、各問題に対処するための推奨事項を追加します。これを根本原因分析の一種として見ることができます。
ほとんどの人は最終報告書にすべてのものではなく、 要約 を含めることを望んでいます。ほとんどの人がやりたい最後のことは、技術用語がほんの少ししかない600ページのPDFファイルに目を通していることです。多くのコンサルティング会社は、このような種類の報告書でメガバックスを請求することが知られています。そして彼らはそれを取り除く。しかし、それは正しいことではありません。
<! - 3 - >管理者と開発者は、セキュリティツールの生データレポートを必要とします。こうすることで、後で特定のHTTP要求/応答、欠落したパッチの詳細などを表示する必要があるときに、データを参照することができます。
最終レポートの一環として、セキュリティテストを実施する際に観察した行動を文書化することができます。たとえば、明白な社会工学的攻撃を実行すると、従業員は完全に覚えていない、あるいは敵対的ですか? ITスタッフやセキュリティスタッフは、テスト中にネットワークのパフォーマンスが低下したり、システムログファイルにさまざまな攻撃が記録されたりするなど、技術上のヒントを完全に見逃していますか?
ITスタッフやマネージドサービスプロバイダがテストにどの程度迅速に対応するか、まったく応答するかどうかなど、その他のセキュリティ上の問題を文書化することもできます。根本原因分析のアプローチに続いて、欠落、不完全、または従わない手順を文書化する必要があります。
最終報告書を見守ることを許可されていない人々から保護するために、最終報告書を守ってください。競合他社、ハッカー、または悪意のある内部者の手に渡るセキュリティ評価レポートと関連するデータおよびサポートファイルは、組織にとって問題を引き起こす可能性があります。これを防ぐためのいくつかの方法があります:
-
ビジネスと知りたい人にのみ、レポートと関連する文書とファイルを提供します。
-
最終報告書を電子的に送信する場合は、暗号化されたZip形式を使用してドキュメントやテスト結果などの添付ファイルをすべて暗号化するか、クラウドファイル共有サービスを保護します。
