Continuez à chercher! Dans le cadre de ce «travail préparatoire», les auditeurs peuvent raisonnablement s`attendre à ce que vous fourniez les données et la documentation de base dont ils ont besoin pour naviguer et analyser vos systèmes. Une autre méthode pour prouver l`exposition serait de laisser un fichier texte inoffensif dans une zone protégée du système. Les institutions financières, par exemple, sont tenues d`avoir des vérificateurs externes certifiant la conformité aux règlements tels que la loi Gramm-Leach-Bliley (GLBA). Avez-vous eu la valeur de votre argent? Toutefois, il devrait être clair que la santé de la sécurité du système vérifié est bonne et ne dépend pas des recommandations. Un audit peut être quelque chose d`une analyse à grande échelle des pratiques commerciales à un fichier journal de surveillance sysadmin. Épeler ce que vous cherchez avant de commencer à interviewer des cabinets d`audit. L`expérience du monde réel mettant en œuvre et soutenant la technologie de sécurité donne à un auditeur un aperçu des questions subtiles qui pourraient révéler de graves risques de sécurité. Messages d`erreur détaillés, chemins d`accès locaux, adresses IP internes. Les certifications ne garantissent pas la compétence technique.

Par exemple, la divulgation de nom d`utilisateur/adresse e-mail via le mot de passe oublié ou la fonction d`inscription. S`il n`est pas pratique d`engager des équipes de vérification parallèles, demandez au moins un deuxième avis sur les constatations d`audit nécessitant un travail approfondi. Mais vous êtes celui sur le siège chaud si votre organisation est piraté. Exiger que la base de données du scanneur soit en cours et qu`elle vérifie les vulnérabilités de chaque système cible. Donner aux vérificateurs une déclaration d`indemnisation les autorisant à sonder le réseau. Pour une vérification complexe d`une entreprise entière, de nombreux problèmes imprévus pourraient survenir nécessitant un temps considérable de la part des auditeurs, rendant un taux forfaitaire plus attrayant pour l`organisation contractante. Vous êtes toujours le seul sentiment de la chaleur après un attaquant apporte votre site Web vers le bas ou vole les informations financières de vos clients. Il y a des vulnérabilités qui affectent littérately chaque application que j`ai touchée. Vous amenez les auditeurs.

Cela va lisser le processus et peut-être marquer un certain potentiel “gotchas! Assurez-vous que l`auditeur détaille ce plan à l`avant et suit ensuite. Sonne assez simple, mais il peut devenir assez complexe. Vos gestionnaires doivent spécifier des restrictions, telles que l`heure de la journée et les méthodes de test pour limiter l`impact sur les systèmes de production. Plus techniquement, il s`agissait d`évaluations. La méthodologie de base pour l`examen des systèmes comprend la recherche, les tests et l`analyse. Rook dit que c`est très vrai, bien que ce soit plus sur le noyau de rapport, plutôt que sa structure, d`être placé après le format de rapport a été conçu. Les petites entreprises peuvent choisir de ne pas soumissionner sur un projet de grande envergure, et les grandes entreprises ne voudront peut-être pas s`embêter avec un examen d`un système, parce qu`elles hésitent à certifier un système sans regarder l`ensemble de l`infrastructure. L`approche de base pour effectuer une évaluation de sécurité est de recueillir des informations sur l`organisation ciblée, les recommandations de sécurité de recherche et des alertes pour la plate-forme, test pour confirmer les expositions et rédiger un rapport d`analyse des risques.

En réalité, c`est habituellement une tentative d`attraper quelqu`un avec son pantalon vers le bas plutôt que d`un effort proactif pour améliorer la posture de sécurité d`une organisation. Supposons que vous souhaitiez qu`un vérificateur examine un nouveau déploiement de pare-feu check point sur une plate-forme Red Hat Linux. Pour commencer, faites examiner par votre personnel informatique les constatations et les méthodes d`essai et fournissez une réponse écrite. Note de l`éditeur: le paysage de la cybersécurité en constante évolution oblige les professionnels d`INFOSEC à se tenir au courant des nouvelles pratiques exemplaires sur la façon de mener des évaluations de la sécurité des informations. Une posture de sécurité établie aidera également à mesurer l`efficacité de l`équipe de vérification. Les inspections surprises courent le risque de causer autant d`interruptions de service qu`une véritable attaque de pirate. L`audit est terminé, et vous regardez le rapport. L`ÉT devrait inclure les méthodes de l`auditeur pour l`examen du réseau. Cela inclut toute violation CWE, mais les résultats les plus courants de l`application Web relèvent du Top 10 de l`OWASP.