Video: Pangeran, Mingguan - Curhat Anggota DPR 2024
Anda mungkin perlu mengatur maklumat kerentanan anda ke dalam dokumen rasmi untuk pengurusan atau pelanggan anda supaya mereka dapat menilai risiko penggodaman dalam syarikat mereka sendiri. Ini tidak selalunya berlaku, tetapi sering menjadi perkara yang perlu dilakukan dan menunjukkan bahawa anda mengambil kerja anda dengan serius. Berikan hasil kritikal dan dokumentasikannya supaya pihak lain dapat memahaminya.
Grafik dan carta adalah tambah nilai. Skrin penangkapan penemuan anda - terutamanya apabila sukar untuk menyimpan data ke fail - dapat menambahkan sentuhan yang bagus ke laporan anda dan menunjukkan bukti nyata bahawa masalah itu wujud.
Dokumentasikan kerentanan dengan cara yang ringkas dan tidak teknikal. Setiap laporan harus mengandungi maklumat berikut:
-
Tarikh ujian telah dilakukan
-
Ujian yang telah dilakukan
-
Ringkasan kelemahan yang ditemui
-
Senarai kerentanan terdahulunya yang perlu ditangani
-
Saranan dan langkah-langkah tertentu tentang cara memasang lubang keselamatan
Jika ia akan menambah nilai kepada pengurusan atau klien anda (dan kerapinya), anda boleh menambah senarai pemerhatian am mengenai proses perniagaan yang lemah, sokongan IT dan keselamatan pengurusan, dan seterusnya dengan cadangan untuk menangani setiap isu.
Kebanyakan orang ingin laporan akhir memasukkan ringkasan hasil penemuan - bukan semuanya. Perkara terakhir yang kebanyakan orang mahu lakukan adalah menapis melalui timbunan kertas yang tebal 5 inci yang mengandungi jargon teknikal yang sangat sedikit. Banyak firma perunding telah dikenali untuk mengenakan lengan dan kaki untuk jenis laporan ini, tetapi itu tidak menjadikannya cara yang betul untuk dilaporkan.
Banyak pengurus dan pelanggan seperti menerima laporan data mentah dari alat keselamatan. Dengan cara itu, mereka boleh merujuk data kemudian jika mereka mahu tetapi tidak terperang dalam beratus-ratus laman salinan keras gobbledygook teknikal. Pastikan anda menyertakan data mentah dalam Lampiran laporan anda atau di tempat lain dan rujuk pembaca kepadanya.
Senarai item tindakan anda dalam laporan anda mungkin termasuk yang berikut:
-
Dayakan pengauditan keselamatan Windows pada semua pelayan - terutama untuk log masuk dan logo.
-
Letakkan kunci yang selamat di pintu bilik pelayan.
-
Sistem pengendalian Harden berdasarkan amalan keselamatan yang kuat dari Pangkalan Data Kerentanan Kebangsaan dan Pusat Penandaarasan Peralatan Keselamatan / Penanda Aras Pusat.
-
Gunakan mesin pencincang kertas silang untuk pemusnahan maklumat sulit sulit salinan.
-
Memerlukan PIN atau kata laluan yang kuat pada semua peranti mudah alih dan memaksa pengguna mengubahnya secara berkala.
-
Pasang firewall peribadi / perisian IPS pada semua komputer riba.
-
Validate input dalam semua aplikasi web untuk menghapuskan scripting silang tapak dan suntikan SQL.
-
Terapkan patch vendor terbaru ke pelayan pangkalan data.
Sebagai sebahagian daripada laporan akhir, anda mungkin mahu mendokumenkan tindak balas pekerja yang anda perhatikan semasa menjalankan ujian penggodam etika anda. Sebagai contoh, adakah pekerja benar-benar tidak sedar atau bahkan berperang apabila anda menjalankan serangan kejuruteraan sosial yang jelas? Adakah kakitangan IT atau keselamatan benar-benar merasakan hujung teknikal, seperti prestasi rangkaian yang merosakkan semasa ujian atau pelbagai serangan yang terdapat dalam fail log sistem?
Anda juga boleh mendokumenkan isu keselamatan lain yang anda perhatikan, seperti seberapa cepat staf IT atau penyedia perkhidmatan pengurus bertindak balas terhadap ujian anda atau sama ada mereka bertindak balas sama sekali.
Jagalah laporan akhir untuk memastikannya selamat daripada orang yang tidak diberi kuasa untuk melihatnya. Laporan penggodaman etika dan dokumentasi dan fail berkaitan di tangan pesaing, penggodam, atau orang yang berniat jahat boleh mengarang masalah untuk organisasi. Berikut adalah beberapa cara untuk mencegah perkara ini berlaku:
-
Menyampaikan laporan dan dokumentasi dan fail yang berkaitan hanya kepada mereka yang mempunyai keperluan perniagaan.
-
Apabila menghantar laporan akhir, menyulitkan semua lampiran, seperti dokumentasi dan hasil ujian, menggunakan PGP, format Zip yang disulitkan, atau perkhidmatan perkongsian fail awan yang selamat. Sudah tentu, penghantaran tangan adalah pertaruhan yang paling selamat.
-
Biarkan langkah-langkah ujian sebenar bahawa orang jahat boleh menyalahgunakan laporan. Jawab mana-mana soalan mengenai perkara itu seperti yang diperlukan.
