Vídeo: 1 Dica para melhorar seu DDS 2025
Você pode precisar organizar suas informações de vulnerabilidade em um documento formal para gerenciamento ou seu cliente para que eles possam avaliar o risco de hackear sua própria empresa. Este não é sempre o caso, mas muitas vezes é a coisa profissional a fazer e mostra que você leva seu trabalho a sério. Ferret as descobertas críticas e documentá-las para que outras partes possam compreendê-las.
Gráficos e gráficos são uma vantagem. Capturas de tela de suas descobertas - especialmente quando é difícil salvar os dados em um arquivo - pode adicionar um toque agradável aos seus relatórios e mostrar provas tangíveis de que o problema existe.
Documentar as vulnerabilidades de forma concisa e não técnica. Cada relatório deve conter as seguintes informações:
-
Data (s) o teste foi realizado
-
Testes que foram realizados
-
Resumo das vulnerabilidades descobertas
-
Lista prioritária de vulnerabilidades que precisam ser abordadas
-
Recomendações e etapas específicas sobre como conectar os buracos de segurança encontrados
Se agrega valor ao gerenciamento ou ao seu cliente (e muitas vezes o faz), você pode adicionar uma lista de observações gerais em torno de processos de negócios fracos, suporte de gerenciamento de TI e segurança, e assim por diante com recomendações para abordar cada questão.
A maioria das pessoas quer que o relatório final inclua um resumo dos resultados - nem tudo. A última coisa que a maioria das pessoas quer fazer é peneirar uma pilha de papéis de 5 polegadas de espessura contendo jargão técnico que significa muito pouco para eles. Muitas empresas de consultoria foram conhecidas por cobrar um braço e uma perna por esse tipo de relatório, mas isso não é o caminho certo para reportar.
Muitos gerentes e clientes gostam de receber relatórios de dados brutos das ferramentas de segurança. Dessa forma, eles podem fazer referência aos dados mais tarde, se eles quiserem, mas não estão empolgados em centenas de páginas impressas de gobbledygook técnico. Certifique-se de incluir os dados brutos no Apêndice do seu relatório ou em outro lugar e encaminhe o leitor para ele.
Sua lista de itens de ação em seu relatório pode incluir o seguinte:
-
Ative a auditoria de segurança do Windows em todos os servidores, especialmente para logons e logoff.
-
Coloque um bloqueio seguro na porta da sala do servidor.
-
Harden sistemas operacionais baseados em práticas de segurança fortes do National Vulnerabilities Database e do Center for Internet Security Benchmarks / Scoring Tools.
-
Use um triturador de papel cortado para a destruição de informações impressas confidenciais.
-
Exigir PINs ou frases de acesso fortes em todos os dispositivos móveis e forçar os usuários a alterá-los periodicamente.
-
Instale o software de firewall pessoal / IPS em todos os laptops.
-
Valide a entrada em todos os aplicativos da web para eliminar scripts entre sites e injeção de SQL.
-
Aplica os últimos patches do fornecedor ao servidor do banco de dados.
Como parte do relatório final, você pode querer documentar as reações dos funcionários que você observa ao realizar seus testes de hacking éticos. Por exemplo, os funcionários são completamente inconscientes ou mesmo beligerantes quando você realiza um ataque óbvio de engenharia social? O pessoal de TI ou de segurança perde completamente as sugestões técnicas, como o desempenho da rede que se degrada durante o teste ou vários ataques que aparecem nos arquivos de log do sistema?
Você também pode documentar outros problemas de segurança que você observa, como a rapidez com que a equipe de TI ou os provedores de serviços de gerente respondem aos seus testes ou se eles respondem.
Guarde o relatório final para mantê-lo seguro de pessoas que não estão autorizadas a vê-lo. Um relatório de poluição ética e a documentação e arquivos associados nas mãos de um competidor, hacker ou insider malicioso podem significar problemas para a organização. Aqui estão algumas maneiras de evitar que isso aconteça:
-
Entregar o relatório e documentação e arquivos associados apenas para quem precisa de uma empresa.
-
Ao enviar o relatório final, criptografe todos os anexos, como documentação e resultados de teste, usando PGP, formato criptografado ou serviço seguro de compartilhamento de arquivos em nuvem. Claro, entrega manual é a sua aposta mais segura.
-
Deixe as etapas de teste reais que uma pessoa mal-intencionada poderia abusar do relatório. Responda qualquer dúvida sobre esse assunto conforme necessário.
