Zusammen zieht, um Sicherheitstestergebnisse für Reporting - Dummies

Wenn Sie Sicherheitstestdaten haben - von Screenshots und manuellen Beobachtungen bis hin zu detaillierten Berichten, die von den verschiedenen verwendeten Schwachstellen-Scannern erstellt wurden - was machen Sie damit? Sie müssen Ihre Dokumentation mit einem fein gezahnten Kamm durchgehen und alle Bereiche hervorheben, die hervorstechen. Orientieren Sie sich bei Ihren Entscheidungen an den folgenden Punkten:

• Schwachstellen-Ranglisten aus Ihren Bewertungstools

• Ihr Wissen als IT- / Sicherheitsexperte

• Der Kontext der Sicherheitsanfälligkeit und wie sie sich tatsächlich auf das Unternehmen auswirkt

Damit Sie mehr über die Sicherheitsanfälligkeit erfahren können, bieten viele Funktionen Rich-Security-Tools ordnen jeder Schwachstelle ein Ranking zu (basierend auf dem Gesamtrisiko), erklären die Schwachstelle, geben mögliche Lösungen und schließen relevante Links zu folgenden ein: Anbieter-Websites, die Common Vulnerabilities and Exposures-Website und die National Vulnerabilities Database. Für weitere Recherchen müssen Sie möglicherweise auch auf die Website Ihres Anbieters, andere Support-Websites und Online-Foren verweisen, um zu ermitteln, ob die Sicherheitsanfälligkeit Ihr System und Ihre Situation beeinflusst. Das allgemeine Geschäftsrisiko ist Ihr Hauptfokus.

In Ihrem endgültigen Berichtsdokument möchten Sie möglicherweise die Sicherheitslücken wie in der folgenden Liste aufgeführt organisieren:

• Nichttechnische Befunde

  • Sicherheitslücken im Social Engineering

  • Physische Sicherheitslücken

  • IT Sicherheitslücken

• Technische Ergebnisse

  • Netzwerkinfrastruktur

  • Betriebssysteme

  • Firewall-Regelbasen

  • Datenbanken

  • Web-Anwendungen

  • Mobile Apps

  • Mobile Geräte

Zur besseren Übersicht können Sie in Ihrem Bericht eigene Bereiche für die interne und externe Sicherheit anlegen Schwachstellen sowie hohe und mittlere Priorität. Ein letzter Hinweis: Es ist im Allgemeinen eine gute Idee, Ihre Befunde zuerst mit Systemeignern zu überprüfen, um sicherzustellen, dass sie tatsächlich gültig sind.