视频: 科技101:安全专家:使用中国山寨科技产品有害美国网络安全 2024
您可能需要将您的安全测试漏洞信息组织到管理或客户的正式文档中。情况并非总是如此,但往往是专业的事情,并表明你认真对待自己的工作。揪出重要发现并记录下来,以便其他方面能够理解它们。
图表和图表是一个加号。屏幕截图显示您的发现 - 特别是当难以将数据保存到文件时 - 为您的报告添加一个很好的触摸,并显示问题存在的实际证据。
<! --1 - >以简洁,非技术的方式记录这些漏洞。每个报告应包含以下信息:
-
执行测试的日期
-
执行的测试
-
发现的漏洞摘要
-
需要处理的漏洞的优先级列表
-
建议以及如何插入
<!安全漏洞的具体步骤。 - 2 - >
如果您可以对IT /安全流程进行操作评估,它总会增加价值。在弱的业务流程,管理层对IT和安全的支持等方面增加一般观察的清单,以及解决每个问题的建议。你可以把这看作是一种根本原因分析。大多数人希望最终报告包含一个
摘要 的结果,而不是所有内容。大多数人想要做的最后一件事是筛选一个600页的PDF文件,其中包含技术术语,这对他们来说意义不大。据了解,许多咨询公司都为这种类型的报告收取高额费用。他们逃脱了。但是这并不正确。
作为最终报告的一部分,您可能需要记录执行安全测试时所观察到的行为。例如,当你进行明显的社会工程攻击时,员工是完全没有意识的,甚至是好战的? IT或安全人员是否完全错过技术提示,例如网络在测试过程中的性能下降或系统日志文件中出现的各种攻击?
您还可以记录您观察到的其他安全问题,例如IT人员或托管服务提供商对测试的响应速度,以及他们是否响应。按照根本原因分析方法,任何缺失,不完整或未遵循的程序都需要记录。保持最终报告的安全性,防止未经授权的人看到它。安全评估报告以及相关数据和支持文件在竞争对手,黑客或恶意的内部人员手中可能会给组织带来麻烦。以下是一些防止发生这种情况的方法:
将报告及相关文档和文件仅发送给有业务需要知晓的人员。
如果以电子方式发送最终报告,请使用加密Zip格式或安全云文件共享服务对所有附件(如文档和测试结果)进行加密。
