Искусство обмана - [95]
Защита
Описание действий, необходимых для защиты от будущих атак и от выявленных проблем, можно назвать, пожалуй, одной из важнейших частей отчета — хотя о ней говорят незаслуженно редко. Подумайте сами: как вы отнесетесь к ситуации, когда доктор, сообщив об опасной болезни, желает вам удачи и выходит из кабинета со словами: «Увидимся на следующем приеме… надеюсь»? Вот и с клиентами так себя не ведите. Предлагайте им конкретные шаги, которые можно будет предпринять для разрешения выявленных проблем.
Если же вы предложите банальности или чушь, что это даст клиенту? Предположим, в ходе проверки нежелательные действия совершили 80 % сотрудников, подвергшихся вишингу. Как думаете, какие рекомендации по минимизации нежелательных последствий окажутся полезнее для клиента?
• 1-й вариант
Социальный инженер рекомендует продолжать проводить тесты и поощрять правильную реакцию на вишинг.
• 2-й вариант
По результатам анализа кампании социальный инженер рекомендует в процессе информирования сотрудников сделать упор на следующие аспекты:
• При использовании одних и тех же легенд женщины-пентестеры добивались большего успеха, чем мужчины. Возможно, стоит подробнее рассказывать сотрудникам о механизмах извлечения информации, действующих независимо от пола звонящего.
• Когда пентестер называл выдуманное имя, лишь 12 % сотрудников попытались его проверить. Еще меньшее количество людей решили не раскрывать информацию после того, как завершить проверку не удалось. Таким образом, очевидно, что необходимо информировать сотрудников о возможных последствиях игнорирования этой меры предосторожности.
При желании мы можем созвониться и обсудить перспективы воплощения этих рекомендаций по мере продолжения тестирования.
Второй вариант лучше, это очевидно. Но слишком часто заказчики вместо практических рекомендаций получают явно сформулированные «для галочки» идеи, которые невозможно воплотить в реальной жизни (к сожалению, и моя команда этим тоже иногда грешила).
И хотя я работаю в СИ уже много лет, все равно постоянно себе напоминаю, что нужно выкладываться для каждого клиента на 100 %. В противном случае есть риск стать слишком самонадеянным.
Следующие шаги
Часто, даже получив представление о конкретных мерах защиты, клиенты задаются вопросом: «И что дальше?» Поэтому в финальной части любого отчета крайне важно прописать вероятные шаги, которые предпримет заказчик. Это поможет ему понять, что делать и чего ожидать в будущем.
Конечно, не нужно просто писать: «Увидимся на следующем пентесте». В данном случае стоит руководствоваться принципами, которые я описывал в предыдущем подразделе. Отвечайте на этот вопрос настолько подробно, чтобы в руках у клиента оказались средства, необходимые для дальнейших изменений.
Со многими клиентами у нас заключены договоры на проведение ежемесячных проектов. Но даже это я не считаю поводом расслабляться. Постоянным клиентам тоже хочется вовремя узнавать, нужно ли что-то менять в программах информирования сотрудников, расширять их или адаптировать.
Планомерное выполнение всех описанных шагов поможет вам писать по-настоящему хорошие отчеты, которые принесут клиентам пользу и удовлетворение.
Вопросы СИ-пентестеру
В завершение этой главы я хочу ответить на те вопросы о социальной инженерии в пентестинге, которые мне чаще всего задают. Конечно, осветить все нюансы у меня не получится, поэтому я остановлюсь лишь на самых актуальных. Надеюсь, информация окажется полезной как для состоявшихся социальных инженеров, так и для тех, кто только ступил на этот путь.
Как найти заказчиков?
Пожалуй, по популярности это вопрос № 1. Итак, вы решили, что социальная инженерия — ваш путь. Что делать дальше? Нужно с чего-то начинать, а с чего — непонятно. Часто в социальную инженерию приходят люди, строившие карьеру в других областях. Предположим, на протяжении 10 лет вы развивались в совершенно другой сфере, набирали навыки и опыт, ваша зарплата тоже постепенно росла. Если же вы решите поменять специальность, вам придется увеличивать с условного нуля не только знания, но и зарплату. Поэтому надо быть готовым к тому, чтобы:
• выйти из зоны комфорта;
• начать с малого;
• осваивать неизвестные навыки;
• поначалу получать меньшую зарплату.
Если вы на все это готовы, можете смело начинать карьеру в социальной инженерии. Но (вечно попадаются эти противные но и все портят, да?) не стоит ждать, что компании, уже занявшие свое место на рынке, сами будут выходить с вами на связь и предлагать заказы. Социальных инженеров пока не так много, но вам все равно придется продемонстрировать свои конкурентные преимущества по сравнению с другими кандидатами. А для этого надо приложить усилия.
Не забывайте, что профессиональные социальные инженеры занимаются не только получением доступа в здания банков или сбором данных с помощью фишинга. Большая часть нашей работы происходит в офисе, и существенная доля времени уходит на составление отчетов. Для профессионала социальная инженерия — это не просто умение находить общий язык с окружающими, быстро соображать или не теряться под давлением обстоятельств. Это серьезная работа.
В центре внимания автора — известного французского философа, этнографа и психолога Люсьена Леви-Брюля (1857–1939) — проблемы природы человеческого мышления, культурной обусловленности его развития. Идеи Леви-Брюля породили плодотворную полемику и явились ценным вкладом в становление научного представления о природе сознания и мышления.Работы, включенные в книгу, выходили на русском языке более 60 лет назад и давно стали библиографической редкостью.Для психологов, социологов, философов и этнографов.http://fb2.traumlibrary.net.
Наталья Толстая — известный московский психоаналитик, кандидат психологических наук, телеведущая, журналист и писатель. Ее советам следует весь столичный бомонд — бизнесмены, актеры, звезды эстрады, политики и спортсмены.Читайте новую книгу и возрождайте свою любовь!«Пока твое сердце живо и горячо, оно способно теребить все клетки внутри тела, но стоит ему остыть, как замирает движение внутри».
В предлагаемой работе Юнг дает психологическое описание инстинктивной деятельности, увязывает инстинкты с концепцией бессознательного, а также настойчиво подчеркивает некорректность рациональных мотиваций инстинктивных поступков.
Автор „Поверженного разума“ — известный испанский писатель, философ и психолог Хосе Антонио Марина, лауреат многих престижных наград, в том числе Национальной премии за лучшую научно-популярную книгу. Все его работы посвящены человеку — его силе и слабостям, возможностям и месту в социуме. Исследование человеческого разума для Марины — ключ к пониманию целого круга проблем, с которыми сталкивается личность в современном мире. Какие ошибки чаще всего совершает наш разум? Почему мы порой ведем себя откровенно глупо? Если существует научная теория разума, то и глупость заслуживает не менее глубокого изучения.
О чем эта книга:О смысле жизни.Во что верить и где её (веру) искать.О людях феноменальной силы, ума, воли.Вся, правда, о ясновидцах, экстрасенсах...О том, как нами манипулируют и обманывают.Как жить, не болея и оставаться работоспособным до старости.Что такое секс и любовь.О ложных и истинных жизненных целях.О экологически чистом сельском хозяйстве.Что такое «Национальная идея»?Об образовании и воспитании.Об экологии и экономике и о многом другом здесь написано простым и понятным языком. Книга рассчитана на широкий круг читателей.
Подростковый возраст — самый трудный, считают многие родители. Однако подростковый возраст проходит, а трудности в общении с детьми только нарастают. Почему? У молодых людей наступает период самореализации, когда родители часто оказываются "не в теме", и повзрослевшим детям кажется невозможным объяснить «замшелым предкам» свои проблемы. Старшие удивляются нахальству и агрессивности младших, а младшие обвиняют старших в "твердолобости". Конфликт — налицо! Как не превратить этот конфликт в затяжную войну между поколениями и правильно выстроить отношения с повзрослевшими детьми, вы узнаете из этой книги.