Video: Ethical Hacking Full Course - Learn Ethical Hacking in 10 Hours | Ethical Hacking Tutorial | Edureka 2024
Möglicherweise müssen Sie Ihre Verwundbarkeitsinformationen in einem formalen Dokument für das Management oder Ihren Kunden organisieren, damit sie das Risiko eines Hackings im eigenen Unternehmen einschätzen können. Das ist nicht immer der Fall, aber oft ist es das Professionelle und zeigt, dass Sie Ihre Arbeit ernst nehmen. Unterstützen Sie die kritischen Befunde und dokumentieren Sie sie so, dass andere Parteien sie verstehen können.
Diagramme und Diagramme sind ein Plus. Screenshots Ihrer Ergebnisse - vor allem, wenn es schwierig ist, die Daten in einer Datei zu speichern - können Ihren Berichten eine nette Note verleihen und konkrete Hinweise auf das Problem liefern.
Dokumentieren Sie die Schwachstellen in einer prägnanten, nichttechnischen Weise. Jeder Bericht sollte die folgenden Informationen enthalten:
-
Datum (e) an dem der Test durchgeführt wurde
-
Durchgeführte Tests
-
Zusammenfassung der gefundenen Schwachstellen
-
Priorisierte Liste der zu behandelnden Schwachstellen
-
Empfehlungen und spezifische Schritte zum Stecken der gefundenen Sicherheitslücken
Wenn es der Verwaltung oder Ihrem Kunden einen Mehrwert verschafft (und dies oft der Fall ist), können Sie eine Liste allgemeiner Beobachtungen zu schwachen Geschäftsprozessen, zur IT- und Sicherheitsunterstützung des Managements usw. hinzufügen. mit Empfehlungen für die Behandlung jedes Problems.
Die meisten Leute wollen, dass der Abschlussbericht eine Zusammenfassung der Ergebnisse enthält - nicht alles. Das Letzte, was die meisten Leute tun wollen, ist durch einen 5-Zoll-dicken Stapel von Papieren zu blättern, die Fachjargon enthalten, was ihnen sehr wenig bedeutet. Es ist bekannt, dass viele Beratungsfirmen einen Arm und ein Bein für diese Art von Bericht anwerben, aber das macht es nicht den richtigen Weg zu berichten.
Viele Manager und Kunden erhalten gerne Rohdatenberichte von den Sicherheitswerkzeugen. Auf diese Weise können sie später auf die Daten verweisen, wenn sie wollen, aber nicht in Hunderte von Hardcopy-Seiten mit technischem Kauderwelsch stecken. Stellen Sie einfach sicher, dass Sie die Rohdaten in den Anhang Ihres Berichts oder an anderer Stelle einfügen und verweisen Sie den Leser darauf.
Die Liste der Aktionselemente in Ihrem Bericht enthält möglicherweise Folgendes:
-
Aktivieren Sie die Windows-Sicherheitsüberwachung auf allen Servern - insbesondere für An- und Abmeldungen.
-
Setzen Sie ein sicheres Schloss auf die Tür des Serverraums.
-
Harden-Betriebssysteme, die auf starken Sicherheitspraktiken der National Vulnerabilities Database und des Centers for Internet Security Benchmarks / Scoring Tools basieren.
-
Verwenden Sie einen Cross-Cut-Aktenvernichter, um vertrauliche Hardcopy-Informationen zu entfernen.
-
Erfordert starke PINs oder Passphrasen auf allen mobilen Geräten und zwingt Benutzer, diese regelmäßig zu ändern.
-
Installieren Sie eine persönliche Firewall / IPS-Software auf allen Laptops.
-
Validieren Sie die Eingabe in allen Webanwendungen, um Cross-Site-Scripting und SQL-Injection zu vermeiden.
-
Wenden Sie die neuesten Anbieterpatches auf den Datenbankserver an.
Als Teil des Abschlussberichts möchten Sie möglicherweise die Reaktionen der Mitarbeiter dokumentieren, die Sie bei der Durchführung Ihrer ethischen Hacking-Tests beobachten. Sind zum Beispiel Mitarbeiter völlig blind oder sogar kriegerisch, wenn Sie einen offensichtlichen Social-Engineering-Angriff durchführen? Fehlt das IT- oder Sicherheitspersonal vollständig auf technische Hinweise, wie etwa die Leistung des Netzwerks beim Testen oder verschiedene Angriffe in Systemprotokolldateien?
Sie können auch andere Sicherheitsprobleme dokumentieren, die Sie beobachten, z. B. wie schnell IT-Mitarbeiter oder Anbieter von Managed Services auf Ihre Tests reagieren oder ob sie überhaupt antworten.
Schützen Sie den Abschlussbericht, um ihn vor Personen zu schützen, die nicht berechtigt sind, ihn zu sehen. Ein ethischer Hacking-Bericht und die dazugehörigen Dokumente und Dateien in den Händen von Mitbewerbern, Hackern oder böswilligen Insidern könnten Probleme für die Organisation bedeuten. Hier sind einige Möglichkeiten, dies zu verhindern:
-
Liefern Sie den Bericht und die zugehörige Dokumentation und Dateien nur an diejenigen, die es wissen müssen.
-
Wenn Sie den Abschlussbericht senden, verschlüsseln Sie alle Anhänge, z. B. Dokumentation und Testergebnisse, mit PGP, verschlüsseltem Zip-Format oder sicherem Cloud-Dateifreigabedienst. Natürlich ist die Handübergabe Ihre sicherste Wette.
-
Überlassen Sie die eigentlichen Testschritte, die eine böswillige Person aus dem Bericht missbrauchen könnte. Beantworten Sie bei Bedarf Fragen zu diesem Thema.
