一、报告
1、高管层报告
1.业务影响
2.定制
3.与企业对话
4.影响底线
5.战略路线图
6.成熟度模型
7.风险评级条款附录
2、技术报告
1.识别系统性问题和技术根本原因分析
2.成熟度模型
3.技术发现
- 描述
- 幕截图
- 确保所有PII都经过了正确的编辑
- 请求/响应捕获
- PoC示例
- 确保PoC代码提供对缺陷的良性验证
4.可复制结果
- 测试用例
- 故障触发器
5. 事件响应和监控能力
- 情报收集
- 倒车IDS
- Pentest度量
- Vuln。分析
- 剥削
- 开采后
- 剩余影响(通知
- 第三方、内部、LE等)
6. 共同要素
- 方法论
- 目标
- 范围
- 调查结果摘要
- 风险评级条款附录
3、量化风险
1. 评估事件频率
- 可能事件频率
- 估计威胁能力(来自3-威胁建模)
- 估计控制强度(6)
- 复合漏洞(5&#x