Шрифт:
Интервал:
Закладка:
Итак, как же выбрать специалиста, подходящего для решения этой задачи?
Задавайте правильные вопросы. Не стесняйтесь: просите рассказать, какие заказы он выполнял ранее и что рекомендует делать для решения интересующих вас вопросов. Совпадают ли ваши представления на этот счет?
Например, однажды я консультировал компанию, представитель которой спросил, что я предлагаю делать с сотрудниками, которые в ходе проверки поступят неправильно. Я ответил честно и просто, что считаю первостепенной задачу обучения людей. А значит, такому сотруднику нужно показать и объяснить его ошибки. А потом снова подвергнуть проверке. Лишь после этого можно будет сделать вывод о том, представляет его поведение угрозу для организации или нет. Я также сказал, что считаю систематическое увольнение людей по результатам пентестов плохой идеей. Такой ответ соответствовал и представлениям компании, поэтому мы продолжили сотрудничество.
На первых организационных встречах меня часто просят описать конкретные сценарии атак, которые я собираюсь осуществить. Обычно я отвечаю, что сначала должен провести сбор данных из открытых источников и лишь после этого смогу разработать верную стратегию. Тем не менее я обязательно привожу в пример проекты, которые осуществлял раньше в компаниях похожего профиля.
Так что если вы являетесь представителем компании в поисках подходящего социального инженера, задавайте хорошие вопросы. А если вы социальный инженер — старайтесь с толком на них отвечать.
Отзывы. Найти компанию, готовую посоветовать вам проверенного специалиста, может быть сложно, потому что многие предпочитают скрывать факт заказа СИ-услуг. Одна из причин этого — в том, что в процессе подрыва системы безопасности злоумышленники зачастую используют знания о компаниях-подрядчиках, сотрудничающих с объектом. Я договорился с несколькими клиентами о том, что буду приводить их пример будущим заказчикам. И, по-моему, это помогает мне представить себя в правильном свете. Новые заказчики получают возможность узнать у третьих лиц, каково это на самом деле — сотрудничать с заинтересовавшим их специалистом.
Помните: ни один социальный инженер не будет приводить в пример заказчика, который остался недоволен сотрудничеством. Тем не менее изучение отзывов позволит вам составить представление о специфике работы специалиста и качестве оказываемых им услуг.
Четко определите правила. Самая неэффективная для клиента стратегия поведения — думать, что пентестер ограничится одним уровнем проверки. А когда выяснится, что он пролез в самые недра компании, вам придется объяснять начальникам, как вы это допустили. Избежать подобных проблем можно, если заранее определить границы, заступать за которые недопустимо. По сути, такие правила выполняют функцию защитной экипировки, которую используют во время боя боксеры.
Наверняка у вас найдутся и свои специфические требования к пентестеру. Однако эти три пункта помогут сориентироваться и найти наилучшего исполнителя для решения такой задачи.
А когда вы его найдете, результаты проверки помогут понять, какие еще услуги вам понадобятся и как часто нужно будет проводить дополнительные тесты. Хороший специалист поможет вам определиться с ответами на эти вопросы и будет ориентироваться на истинные потребности вашей компании (а не на собственную потребность увеличить количество нулей в чеке).
Некоторые услуги лучше заказывать раз в месяц (например, фишинг). Другие формы тестов можно проводить раз в год или в полугодие (например, полноценные пентесты). Универсального решения, подходящего для всех, просто не существует. Во многом оно зависит от ваших потребностей и представлений о том, как вы хотите достичь поставленных целей.
Наконец, вам остается сделать последний, четвертый шаг.
Джош публикует видеозаписи, где демонстрирует правильное выполнение упражнений. Он рассказывает и показывает, как сам бегает и занимается другими полезными для здоровья вещами. Такие видео представляют собой отрывки информации, которая помогает его ученикам понимать, зачем они делают то, что делают. Такой же принцип можно применять и при подготовке программ повышения информированности в вопросах безопасности.
Возможно, вы сейчас недоумеваете: «А разве предыдущие три шага не рассказывали о том, как должна действовать такая программа? Кажется, автор забылся и повторяется». Вообще-то нет. Все описанные выше шаги, безусловно, являются частью создания такой программы, но последний шаг целиком и полностью посвящен ее практическому воплощению.
Для наглядности позвольте привести очередной пример из собственной практики. Был у меня клиент, который сразу заказал большое количество тестов. Моя команда провела качественный сбор данных из открытых источников, а затем мы занялись вишингом и фишингом.
Но сотрудники его компании продемонстрировали какую-то сверхъестественную невосприимчивость к нашему вишингу. Они не выдавали ничьих имен, телефонных номеров и даже отказывались подтверждать, кто на момент звонка находился в офисе. А вот во время фишинга обнаружилось множество слабых мест.
Анализ мер, которые уже принимались в компании, показал, что информирование проводилось по обоим направлениям. Однако вишинг разбирали намного подробнее: сотрудникам рассказывали про атаки, описывали реалистичные сценарии, предлагали конкретные меры противодействия и регулярно проверяли их соблюдение.
А часть программы, посвященная фишингу, состояла из ежегодного просмотра нескольких видеороликов. Я мог бы попытаться продать клиенту новые программы по защите от вишинга и фишинга, но ему это было просто не нужно. Поэтому мы сосредоточились на доработке части программы, посвященной фишингу. Я призвал клиента ничего не менять в отношении вишинга. Короче говоря, я помог ему понять, какие доработки необходимы, ориентируясь на результаты, полученные в процессе выполнения предыдущих трех шагов.
Одинаковых клиентов не бывает, каждый заказ уникален. Поэтому создание действительно готовых к реализации программ занимает определенное время. Этот процесс нельзя свести к использованию заготовок и созданных заранее модулей.
Разрабатывая программу повышения осведомленности, отвечающую конкретным потребностям конкретного клиента, вы помогаете сотрудникам его компании понять, что не нужно и что нужно делать, если ситуация будет развиваться по нежелательному сценарию. Вы помогаете разобраться в новой политике безопасности, а затем придерживаться ее.
А вот еще один пример из моей работы с Джошем. Когда он советовал мне снижать потребление определенного вида пищи или чаще заниматься определенными активностями, я был готов следовать его рекомендациям, даже если они мне не нравились. Почему?
• Я видел позитивный эффект — изменения, происходившие со мной под его руководством.
• Джош подробно и понятно объяснял, что и зачем мне нужно делать.
• Он давал мне реалистичные советы по преодолению возникающих трудностей.