¿Cómo comunicar los resultados de evaluación de seguridad
Es posible que necesite para organizar su información de vulnerabilidad en un documento formal de gestión o su cliente para que puedan evaluar el riesgo de piratería en su propia empresa. Esto no es siempre el caso, pero a menudo es la cosa profesional para hacer y muestra que se toma su trabajo en serio. Descubrir a los hallazgos críticos y documentarlas para que otras partes puedan entenderlos.
Gráficos y tablas son un plus. Las capturas de pantalla de sus resultados - especialmente cuando es difícil de guardar los datos en un archivo - pueden añadir un toque agradable a sus informes y mostrar evidencia tangible de que el problema existe.
Documentar las vulnerabilidades de una manera concisa, no técnico. Cada informe deberá contener la siguiente información:
Fecha (s) se ha realizado la prueba
Las pruebas que se realizaron
Resumen de las vulnerabilidades descubiertas
Lista priorizada de las vulnerabilidades que deben abordarse
Recomendaciones y medidas específicas sobre cómo tapar los agujeros de seguridad encontrados
Si va a agregar valor a la gestión o su cliente (y lo hace a menudo), puede agregar una lista de observaciones generales en torno a los procesos de negocio débiles, el apoyo de la gestión de las TI y de seguridad, y así sucesivamente, junto con recomendaciones para abordar cada tema.
La mayoría de la gente quiere el informe final que incluya una resumen de los resultados - no todo. Lo último que la mayoría de la gente quiere hacer es tamizar a través de un 5 pulgadas de grueso montón de papeles que contienen jerga técnica que significa muy poco para ellos. Muchas empresas de consultoría han llegado a cobrar un brazo y una pierna para este mismo tipo de informe, pero eso no significa que sea la manera correcta de informar.
Muchos gerentes y clientes como la recepción de los informes de datos en bruto de las herramientas de seguridad. De esa manera, se puede hacer referencia a los datos más adelante si quieren, pero no están sumidos en cientos de páginas impresas de jerigonza técnica. Sólo asegúrese de incluir los datos en bruto en el apéndice de su informe o en otros lugares y remite al lector a la misma.
Su lista de puntos de acción en su informe podría incluir lo siguiente:
Habilitar la auditoría de seguridad de Windows en todos los servidores - especialmente para los inicios de sesión y cierres de sesión.
Ponga un cierre de seguridad en la puerta de la sala de servidores.
Sistemas operativos Harden basados en prácticas de seguridad fuertes de la base de datos de vulnerabilidades Nacionales y el Centro de Seguridad de Internet Benchmarks / Herramientas de puntuación.
Utilice una trituradora de papel de corte transversal para la destrucción de información confidencial en papel.
Requerir PIN fuertes o frases de acceso en todos los dispositivos móviles y los usuarios de la fuerza para cambiar periódicamente.
Instale software de firewall personal / IPS en todos los portátiles.
Validar la entrada en todas las aplicaciones web para eliminar cross-site scripting y la inyección de SQL.
Aplicar los últimos parches de proveedores para el servidor de base de datos.
Como parte del informe final, es posible que desee documentar reacciones de los empleados que se observe en la realización de las pruebas de hacking ético. Por ejemplo, los empleados son completamente ajenos o incluso beligerante si lleva a cabo un ataque de ingeniería social obvio? ¿El personal de seguridad de TI o completamente pierda punta-offs técnicas, tales como el rendimiento de la degradación de la red durante las pruebas o varios ataques que aparecen en los archivos de registro del sistema?
También puede documentar otros problemas de seguridad que observe, como la rapidez con proveedores de servicios del personal de TI o de dirigentes responden a las pruebas o si responden en absoluto.
Guarda el informe final para mantenerlo a salvo de personas que no estén autorizados para verla. Un informe de Ethical Hacking y la documentación asociada y los archivos en manos de un competidor, pirata informático, o información privilegiada maliciosos podrían significar un problema para la organización. Aquí hay algunas maneras de evitar que esto suceda:
Entregar el informe y la documentación y los archivos asociados sólo a aquellos que tienen una necesidad comercial de saber.
Al enviar el informe final, cifrar todos los archivos adjuntos, tales como la documentación y los resultados de las pruebas, el uso de PGP, formato Zip cifrados, o el servicio de intercambio de archivos en nube segura. Por supuesto, la entrega en mano es su apuesta más segura.
Deje los pasos reales de pruebas de que una persona con malas intenciones podría abusar de la presentación. Responder a cualquier pregunta sobre el tema, según sea necesario.
-
Evaluar vulnerabilidades con hacks éticos -
Evalúe su infraestructura de seguridad para evitar hacks - Evite hacks en estaciones de trabajo inalámbricas vulnerables
- Crear estándares de prueba para sus hacks éticos
-
Cómo minimizar los riesgos de piratería relacionados con el almacenamiento - Conozca las vulnerabilidades del sistema de mensajes para evitar hacks
Conozca sus vulnerabilidades de la infraestructura de red para evitar hacks Vulnerabilidades de la infraestructura de red son la base para la mayoría de los problemas de seguridad técnicas y hacks en sus sistemas de información. Estas vulnerabilidades de nivel inferior afectan prácticamente todo lo que se ejecuta en la…
Conozca sus vulnerabilidades de seguridad física para evitar hacks Sea cual sea su informática y la tecnología de red de seguridad, prácticamente cualquier truco es posible si un atacante está físicamente en su edificio o centro de datos. Es por eso que en busca de vulnerabilidades de seguridad física y la…
Supervise el uso malicioso para evitar hacks Monitoreo de eventos relacionados con la seguridad es esencial para los esfuerzos de seguridad en curso para disuadir la piratería. Esto puede ser tan básico y mundano como el seguimiento de los archivos de registro en los routers, firewalls y…
Ejecutar exploraciones autenticados para evitar cortes en los sistemas de ventanas Otra prueba de que puede ejecutar para proteger sus sistemas Windows desde hacks es un " autenticado " escanear - esencialmente buscando vulnerabilidades como un usuario de confianza. Este tipo de pruebas puede ser muy beneficioso, ya que a menudo…
Diez errores mortales que deben evitarse cuando hackear tu negocio Varios errores mortales pueden causar estragos en sus resultados de hacking ético e incluso su carrera. No sea víctima! Estos son algunos peligros potenciales que tiene que ser muy consciente de.No obtener la aprobación previaObtener la…
Diez razones de hacking es la mejor manera de garantizar la seguridad de la empresa Hacking ético no es sólo por diversión o espectáculo. Por numerosas razones de negocios, hacking ético es la única forma efectiva para encontrar las vulnerabilidades de seguridad que son importantes en su organización.Los malos piensan malos…
Diez maneras de conseguir management buy-in superior para hackear tu negocio Existen docenas de pasos clave para obtener el buy-in y el patrocinio que se necesita para apoyar sus esfuerzos de hacking ético. Puede que tenga que utilizarlos para obtener el respaldo que necesita.Cultivar un aliado y un patrocinadorLa venta de…
¿Cómo no ética hackers pueden dañar sus sistemas Una cosa es saber que sus sistemas generalmente están bajo el fuego de los piratas informáticos de todo el mundo y expertos de delincuentes de todo el oficina- y otra es entender ataques específicos contra los sistemas que son posibles. Este…
Selección de herramientas para el trabajo de la piratería Al igual que con cualquier proyecto, si usted no tiene las herramientas adecuadas para el hacking ético, cumplimiento de la tarea de manera efectiva es difícil. Una vez dicho esto, sólo porque utiliza las herramientas adecuadas, no significa que…
El proceso de hacking ético Al igual que prácticamente cualquier TI o la seguridad del proyecto, hacking ético debe planificarse con antelación. Cuestiones estratégicas y tácticas en el proceso de hacking ético deben ser determinados y acordados. Para asegurar el éxito…
Sitios web con firewalls Instalación de un servidor de seguridad es una medida de seguridad, pero es sólo el primer paso. Para mantener su seguridad y la de su firewall, usted tiene que permanecer vigilantes. Los enlaces de la siguiente lista son a sitios Web que pueden…
Linux: la implementación de una metodología de prueba de seguridad Un elemento clave de una auditoría de seguridad informática que se usaría mientras trabajaba en Linux es una prueba de seguridad que comprueba los dispositivos técnicos utilizados para asegurar un host y la red. La metodología de la seguridad…