비디오: 안드로이드폰 보안 취약점 다수 발견…어떻게 대비할까? / YTN 사이언스 2024
취약성 정보를 관리 또는 클라이언트 용 정식 문서로 정리하여 회사의 해킹 위험을 평가할 필요가 있습니다. 이것은 항상 그런 것은 아니지만, 종종 전문적인 일이며 진지하게 자신의 업무를 수행한다는 것을 보여줍니다. 비판적인 결과를 공개하고 다른 당사자가 이해할 수 있도록 문서화하십시오.
그래프와 차트는 장점입니다. 특히 파일에 데이터를 저장하는 것이 어려울 때 발견 한 내용을 화면 캡처하면 보고서에 멋진 느낌을 더할 수 있고 문제가 있음을 명백히 알 수 있습니다.
취약점을 간결하고 기술적이지 않은 방식으로 문서화하십시오. 모든 보고서에는 다음 정보가 포함되어야합니다.
-
테스트가 수행 된 날짜
-
수행 된 테스트
-
발견 된 취약점 요약
-
해결해야 할 취약점의 우선 순위 목록
-
권장 사항 발견 된 보안 구멍을 연결하는 방법에 대한 특정 단계
경영진이나 고객에게 가치를 더하는 경우 (종종 그렇습니다) 약한 비즈니스 프로세스, 경영진의 IT 및 보안 지원 등에 대한 일반적인 관찰 목록을 추가 할 수 있습니다 각 문제를 해결하기위한 권장 사항을 제공합니다.
대부분의 사람들은 최종 보고서에 모든 결과가 아닌 요약본 을 포함하기를 원합니다. 대부분의 사람들이하고 싶은 마지막 일은 5 인치 두께의 종이를 쌓아 놓은 것입니다. 많은 컨설팅 회사가 이러한 유형의 보고서에 대해 팔다리와 다리를 청구하는 것으로 알려져 있지만보고하는 것이 올바른 방법은 아닙니다.
많은 관리자와 고객이 보안 도구에서 원시 데이터 보고서를받는 것을 좋아합니다. 그렇게하면 기술 지원부의 하드 카피 페이지에서 수 백 가지의 정보를 원할 경우 나중에 참조 할 수 있습니다. 보고서의 부록 또는 원시 데이터에 원시 데이터를 포함시키고 독자에게 참조하십시오.
보고서의 작업 항목 목록에는 다음이 포함될 수 있습니다.
-
모든 서버에서 Windows 보안 감사 사용 - 특히 로그온 및 로그 오프의 경우.
-
서버 실 문에 보안 잠금 장치를 설치하십시오.
-
National Vulnerabilities Database 및 Internet Security Benchmarks / Scoring Tools 센터의 강력한 보안 관행을 기반으로 운영 체제를 강화합니다.
-
기밀의 하드 카피 정보를 파괴하기 위해 크로스 커팅 된 종이 분쇄기를 사용하십시오.
-
모든 휴대 기기에서 강력한 PIN 또는 암호를 요구하고 사용자가 주기적으로 PIN을 변경하도록합니다.
-
모든 랩톱에 개인 방화벽 / IPS 소프트웨어를 설치하십시오.
-
모든 웹 응용 프로그램에서 입력의 유효성을 검사하여 사이트 간 스크립팅 및 SQL 주입을 제거합니다.
-
데이터베이스 서버에 최신 공급 업체 패치를 적용하십시오.
최종 보고서의 일부로 윤리적 해킹 테스트를 수행 할 때 관찰 한 직원의 반응을 문서로 기록 할 수 있습니다. 예를 들어, 명백한 사회 공학 공격을 수행 할 때 직원들은 완전히 무시하거나 심지어 호전적입니까? IT 부서 또는 보안 담당자가 테스트 중 네트워크 성능 저하 또는 시스템 로그 파일에 나타나는 다양한 공격과 같은 기술적 인 문제를 완전히 놓치고 있습니까?
IT 직원 또는 관리자 서비스 공급자가 테스트에 응답하는 속도 또는 응답 여부와 같이 관찰 한 다른 보안 문제를 문서화 할 수도 있습니다.
최종 보고서를 보지 못하게 된 사람들로부터 보호되도록 최종 보고서를 지키십시오. 윤리적 인 해킹 보고서와 관련 문서 및 파일을 경쟁 업체, 해커 또는 악의적 인 내부자가 손에 넣으면 조직에 문제가 발생할 수 있습니다. 이 문제를 방지 할 수있는 방법은 다음과 같습니다.
-
비즈니스 관련 지식이있는 사람들에게만 보고서 및 관련 문서와 파일을 제공하십시오.
-
최종 보고서를 보낼 때 PGP, 암호화 된 Zip 형식 또는 보안 클라우드 파일 공유 서비스를 사용하여 문서 및 테스트 결과와 같은 모든 첨부 파일을 암호화합니다. 당연히 손 인도가 가장 안전한 내기입니다.
-
악의적 인 사용자가 남용 할 수있는 실제 테스트 단계는 그대로 두십시오. 필요에 따라 해당 주제에 대한 질문에 답하십시오.
