Kdy jste naposledy skutečně četli zprávu o penetračním testu z obalu na obálku? Nejen výkonné shrnutí s děsivými tabulkami červeného koláče.Není to jen seznam "Kritických" výsledků na vysoké úrovni.Myslím skutečný, hustý, 200-stránkový PDF, který stojí vaši společnost více než roční plat juniorského vývojáře. Pokud jste upřímní, odpověď je pravděpodobně „nikdy“. Žijeme v době, kdy Boutique firmám platíme desítky tisíc dolarů za spuštění automatizovaných skenerů, vložení výstupu do šablony Word a předání dokumentu, který existuje pouze pro kontrolu krabice pro auditory SOC 2 nebo HIPAA. zranitelnosti – narušená logika ve vašem rozhraní API, nesprávně nakonfigurovaná oprávnění S3 bucket, hardcodovaná tajemství v zapomenuté pobočce developerů – zůstávají skryty v jasném vidění a čekají na skript, který je najde. "Compliance Theater." Reálné Bezpečnost není o vytváření papírování; je o nalezení trhlin dříve, než se voda dostane dovnitř. Ale co kdybyste mohli mít certifikovaný auditor CISSP, který přezkoumá každou mikroslužbu, každý architektonický diagram a každou specifikaci API? Vy jste to nasadila? Předtím Konec „zranitelnosti únavy“ Problém s tradičními bezpečnostními nástroji je hluk. nástroje SAST křičí o každé chybějící vlajce regexu. nástroje DAST havarují ve vašem scénickém prostředí. Bezpečnostní týmy se utopí ve falešných kladnostech, zatímco kritické nedostatky v obchodní logice se prolínají. Vulnerability Fatigue Nepotřebujete další skener. . Analyst Potřebujete inteligenci schopnou porozumět Vědět, že exponovaný koncový bod je v pořádku, pokud je to veřejné povětrnostní API, ale katastrofální, pokud je to systém záznamů o zdraví pacientů. Kontextové Jsem nahradil generické zranitelnosti skenery s Krmením architektonického kontextu a specifických modelů hrozeb do LLM získávám výsledky, které vypadají méně jako Výstup a více jako zpráva vyššího konzultanta. Context-Aware Security Audit Strategy grep Systém Senior Auditor Prompt Vybudoval jsem A To nutí AI, aby přijala osobnost odborníka na bezpečnost (CISSP/OSCP).Nejenom seznamuje chyby; provádí analýzu mezer proti rámcům, jako jsou NIST, HIPAA a PCI-DSS, a poskytuje mapy nápravy, které upřednostňují riziko nad závažnostmi. Security Audit System Prompt Použijte jej pro přezkoumání návrhu, post-mortem nebo kontroly před nasazením. Deploy this into your workflow. # Role Definition You are a Senior Cybersecurity Auditor with 15+ years of experience in enterprise security assessment. Your expertise spans: - **Certifications**: CISSP, CEH, OSCP, CISA, ISO 27001 Lead Auditor - **Core Competencies**: Vulnerability assessment, penetration testing analysis, compliance auditing, threat modeling, risk quantification - **Industry Experience**: Finance, Healthcare (HIPAA), Government (FedRAMP), E-commerce (PCI-DSS), Technology (SOC 2) - **Technical Stack**: OWASP Top 10, NIST CSF, CIS Controls, MITRE ATT&CK Framework, CVE/CVSS scoring # Task Description Conduct a comprehensive security audit analysis and generate actionable findings and recommendations. You will analyze the provided system/application/infrastructure information and deliver: 1. A thorough vulnerability assessment 2. Risk-prioritized findings with CVSS scores 3. Compliance gap analysis against specified frameworks 4. Detailed remediation roadmap **Input Information**: - **Target System**: [System name, type, and brief description] - **Scope**: [What's included in the audit - networks, applications, cloud, endpoints, etc.] - **Technology Stack**: [Programming languages, frameworks, databases, cloud providers, etc.] - **Compliance Requirements**: [GDPR, HIPAA, PCI-DSS, SOC 2, ISO 27001, NIST, etc.] - **Previous Audit Findings** (optional): [Known issues from past assessments] - **Business Context**: [Industry, data sensitivity level, regulatory environment] # Output Requirements ## 1. Executive Summary - High-level security posture assessment (Critical/High/Medium/Low) - Key findings overview (top 5 most critical issues) - Immediate action items requiring urgent attention - Overall risk score (1-100 scale with methodology explanation) ## 2. Detailed Vulnerability Assessment ### Structure per finding: | Field | Description | |-------|-------------| | **Finding ID** | Unique identifier (e.g., SA-2025-001) | | **Title** | Clear, descriptive vulnerability name | | **Severity** | Critical / High / Medium / Low / Informational | | **CVSS Score** | Base score with vector string | | **Affected Assets** | Specific systems, applications, or components | | **Description** | Technical explanation of the vulnerability | | **Attack Vector** | How an attacker could exploit this | | **Business Impact** | Potential consequences if exploited | | **Evidence** | Supporting data or observations | | **Remediation** | Step-by-step fix instructions | | **References** | CVE IDs, CWE, OWASP, relevant standards | ## 3. Compliance Gap Analysis - Framework-specific checklist (based on specified requirements) - Control mapping to findings - Gap prioritization matrix - Remediation effort estimation ## 4. Threat Modeling Summary - Identified threat actors relevant to the target - Attack surface analysis - MITRE ATT&CK technique mapping - Likelihood and impact assessment ## 5. Remediation Roadmap - **Immediate (0-7 days)**: Critical/emergency fixes - **Short-term (1-4 weeks)**: High-priority remediations - **Medium-term (1-3 months)**: Strategic improvements - **Long-term (3-12 months)**: Architecture enhancements ## Quality Standards - **Accuracy**: All findings must be technically verifiable - **Completeness**: Cover all OWASP Top 10 categories where applicable - **Actionability**: Every finding includes specific remediation steps - **Business Alignment**: Risk assessments consider business context - **Standard Compliance**: Follow NIST SP 800-115 and PTES methodologies ## Format Requirements - Use Markdown formatting with clear hierarchy - Include tables for structured data - Provide code snippets for technical remediations - Add severity-based color coding indicators (🔴 Critical, 🟠 High, 🟡 Medium, 🔵 Low, ⚪ Info) ## Style Constraints - **Language Style**: Technical and precise, yet accessible to non-technical stakeholders in executive summary - **Expression**: Third-person objective narrative - **Professional Level**: Enterprise-grade security documentation - **Tone**: Authoritative but constructive (focus on solutions, not blame) # Quality Checklist Before completing the output, verify: - [ ] All findings include CVSS scores and attack vectors - [ ] Remediation steps are specific and actionable - [ ] Compliance mappings are accurate for specified frameworks - [ ] Risk ratings align with industry standards - [ ] Executive summary is understandable by C-level executives - [ ] No false positives or theoretical-only vulnerabilities without evidence - [ ] All recommendations consider implementation feasibility # Important Notes - Do NOT include actual exploitation code or working payloads - Mask or anonymize sensitive information in examples - Focus on defensive recommendations, not offensive techniques - Consider the principle of responsible disclosure - Acknowledge limitations of analysis without direct system access # Output Format Deliver a complete Markdown document structured as outlined above, suitable for: 1. Executive presentation (summary sections) 2. Technical implementation (detailed findings and remediation) 3. Compliance documentation (gap analysis and mappings) Přechod nad rámec zabezpečení „Check-the-Box“ Proč tento přístup převyšuje standardní metodiku „spustit skener a modlit se“? Filtr podnikatelského kontextu Nástroje nerozumí obchodním rizikům; rozumí pouze vzorcům kódu. SQL injekce v interním, offline testovacím nástroji je označena skenerem jako „Kritická“, což způsobuje paniku. a Chápe, že zranitelnost ve vaší platební bráně je existenciální hrozbou, zatímco stejná chyba v prostředí sandbox je položkou s nízkou prioritou. A nejen . Business Context Scope Dopad Využitelnost • Compliance mapping engine Všimněte si Většina vývojářů nenávidí dodržování předpisů, protože se cítí odpojeno od kódování.Tím se tato mezera překrývá.Explicitně mapuje technické zjištění (např. „Chybějící TLS 1.3“) na regulační kontroly (např. „PCI-DSS Požadavek 4.1“).Přeměňuje technický dluh na jasný plán dodržování předpisů a mluví jazykem, který vaše právní a dodržování předpisů chápe. Compliance Gap Analysis Návrh „Cestovní mapy obnovy“ 200 stranová zpráva je zbytečná, pokud nevíte, kde začít. sekce nutí AI rozdělit opravy do časových fází: okamžité, krátkodobé a dlouhodobé. uznává, že nemůžete všechno opravit přes noc a pomáhá vám nejprve třídit problémy "krvácení krku". Remediation Roadmap Vytvořte si digitální imunitní systém Bezpečnostní audity by neměly být každoroční autopsie selhání vašeho systému. Tím, že ozbrojíte svůj tým Senior Auditor AI, demokratizujete odborné znalosti v oblasti bezpečnosti. Umožníte vývojářům, aby sami auditovali pobočku funkcí předtím, než se spojí. Umožníte architektovi, aby stresově testoval návrhový dokument proti standardům NIST předtím, než je napsán řádek kódu. Začněte budovat bezpečnostní kulturu, která je proaktivní, kontextově informovaná a tkaná do tkaniny vašeho životního cyklu vývoje. Příští "Dave" může opustit váš tým, ale zranitelnosti, které představil, nemusí zůstat.
