Например, однажды я консультировал компанию, представитель которой спросил, что я предлагаю делать с сотрудниками, которые в ходе проверки поступят неправильно. Я ответил честно и просто, что считаю первостепенной задачу обучения людей. А значит, такому сотруднику нужно показать и объяснить его ошибки. А потом снова подвергнуть проверке. Лишь после этого можно будет сделать вывод о том, представляет его поведение угрозу для организации или нет. Я также сказал, что считаю систематическое увольнение людей по результатам пентестов плохой идеей. Такой ответ соответствовал и представлениям компании, поэтому мы продолжили сотрудничество.

На первых организационных встречах меня часто просят описать конкретные сценарии атак, которые я собираюсь осуществить. Обычно я отвечаю, что сначала должен провести сбор данных из открытых источников и лишь после этого смогу разработать верную стратегию. Тем не менее я обязательно привожу в пример проекты, которые осуществлял раньше в компаниях похожего профиля.

Так что если вы являетесь представителем компании в поисках подходящего социального инженера, задавайте хорошие вопросы. А если вы социальный инженер — старайтесь с толком на них отвечать.

Отзывы. Найти компанию, готовую посоветовать вам проверенного специалиста, может быть сложно, потому что многие предпочитают скрывать факт заказа СИ-услуг. Одна из причин этого — в том, что в процессе подрыва системы безопасности злоумышленники зачастую используют знания о компаниях-подрядчиках, сотрудничающих с объектом. Я договорился с несколькими клиентами о том, что буду приводить их пример будущим заказчикам. И, по-моему, это помогает мне представить себя в правильном свете. Новые заказчики получают возможность узнать у третьих лиц, каково это на самом деле — сотрудничать с заинтересовавшим их специалистом.

Помните: ни один социальный инженер не будет приводить в пример заказчика, который остался недоволен сотрудничеством. Тем не менее изучение отзывов позволит вам составить представление о специфике работы специалиста и качестве оказываемых им услуг.

Четко определите правила. Самая неэффективная для клиента стратегия поведения — думать, что пентестер ограничится одним уровнем проверки. А когда выяснится, что он пролез в самые недра компании, вам придется объяснять начальникам, как вы это допустили. Избежать подобных проблем можно, если заранее определить границы, заступать за которые недопустимо. По сути, такие правила выполняют функцию защитной экипировки, которую используют во время боя боксеры.

Наверняка у вас найдутся и свои специфические требования к пентестеру. Однако эти три пункта помогут сориентироваться и найти наилучшего исполнителя для решения такой задачи.

А когда вы его найдете, результаты проверки помогут понять, какие еще услуги вам понадобятся и как часто нужно будет проводить дополнительные тесты. Хороший специалист поможет вам определиться с ответами на эти вопросы и будет ориентироваться на истинные потребности вашей компании (а не на собственную потребность увеличить количество нулей в чеке).

Некоторые услуги лучше заказывать раз в месяц (например, фишинг). Другие формы тестов можно проводить раз в год или в полугодие (например, полноценные пентесты). Универсального решения, подходящего для всех, просто не существует. Во многом оно зависит от ваших потребностей и представлений о том, как вы хотите достичь поставленных целей.

Наконец, вам остается сделать последний, четвертый шаг.

Шаг 4: реализовывать программы информирования сотрудников по вопросам безопасности

Джош публикует видеозаписи, где демонстрирует правильное выполнение упражнений. Он рассказывает и показывает, как сам бегает и занимается другими полезными для здоровья вещами. Такие видео представляют собой отрывки информации, которая помогает его ученикам понимать, зачем они делают то, что делают. Такой же принцип можно применять и при подготовке программ повышения информированности в вопросах безопасности.

Возможно, вы сейчас недоумеваете: «А разве предыдущие три шага не рассказывали о том, как должна действовать такая программа? Кажется, автор забылся и повторяется». Вообще-то нет. Все описанные выше шаги, безусловно, являются частью создания такой программы, но последний шаг целиком и полностью посвящен ее практическому воплощению.

Для наглядности позвольте привести очередной пример из собственной практики. Был у меня клиент, который сразу заказал большое количество тестов. Моя команда провела качественный сбор данных из открытых источников, а затем мы занялись вишингом и фишингом.

Но сотрудники его компании продемонстрировали какую-то сверхъестественную невосприимчивость к нашему вишингу. Они не выдавали ничьих имен, телефонных номеров и даже отказывались подтверждать, кто на момент звонка находился в офисе. А вот во время фишинга обнаружилось множество слабых мест.