Искусство обмана - [95]
Защита
Описание действий, необходимых для защиты от будущих атак и от выявленных проблем, можно назвать, пожалуй, одной из важнейших частей отчета — хотя о ней говорят незаслуженно редко. Подумайте сами: как вы отнесетесь к ситуации, когда доктор, сообщив об опасной болезни, желает вам удачи и выходит из кабинета со словами: «Увидимся на следующем приеме… надеюсь»? Вот и с клиентами так себя не ведите. Предлагайте им конкретные шаги, которые можно будет предпринять для разрешения выявленных проблем.
Если же вы предложите банальности или чушь, что это даст клиенту? Предположим, в ходе проверки нежелательные действия совершили 80 % сотрудников, подвергшихся вишингу. Как думаете, какие рекомендации по минимизации нежелательных последствий окажутся полезнее для клиента?
• 1-й вариант
Социальный инженер рекомендует продолжать проводить тесты и поощрять правильную реакцию на вишинг.
• 2-й вариант
По результатам анализа кампании социальный инженер рекомендует в процессе информирования сотрудников сделать упор на следующие аспекты:
• При использовании одних и тех же легенд женщины-пентестеры добивались большего успеха, чем мужчины. Возможно, стоит подробнее рассказывать сотрудникам о механизмах извлечения информации, действующих независимо от пола звонящего.
• Когда пентестер называл выдуманное имя, лишь 12 % сотрудников попытались его проверить. Еще меньшее количество людей решили не раскрывать информацию после того, как завершить проверку не удалось. Таким образом, очевидно, что необходимо информировать сотрудников о возможных последствиях игнорирования этой меры предосторожности.
При желании мы можем созвониться и обсудить перспективы воплощения этих рекомендаций по мере продолжения тестирования.
Второй вариант лучше, это очевидно. Но слишком часто заказчики вместо практических рекомендаций получают явно сформулированные «для галочки» идеи, которые невозможно воплотить в реальной жизни (к сожалению, и моя команда этим тоже иногда грешила).
И хотя я работаю в СИ уже много лет, все равно постоянно себе напоминаю, что нужно выкладываться для каждого клиента на 100 %. В противном случае есть риск стать слишком самонадеянным.
Следующие шаги
Часто, даже получив представление о конкретных мерах защиты, клиенты задаются вопросом: «И что дальше?» Поэтому в финальной части любого отчета крайне важно прописать вероятные шаги, которые предпримет заказчик. Это поможет ему понять, что делать и чего ожидать в будущем.
Конечно, не нужно просто писать: «Увидимся на следующем пентесте». В данном случае стоит руководствоваться принципами, которые я описывал в предыдущем подразделе. Отвечайте на этот вопрос настолько подробно, чтобы в руках у клиента оказались средства, необходимые для дальнейших изменений.
Со многими клиентами у нас заключены договоры на проведение ежемесячных проектов. Но даже это я не считаю поводом расслабляться. Постоянным клиентам тоже хочется вовремя узнавать, нужно ли что-то менять в программах информирования сотрудников, расширять их или адаптировать.
Планомерное выполнение всех описанных шагов поможет вам писать по-настоящему хорошие отчеты, которые принесут клиентам пользу и удовлетворение.
Вопросы СИ-пентестеру
В завершение этой главы я хочу ответить на те вопросы о социальной инженерии в пентестинге, которые мне чаще всего задают. Конечно, осветить все нюансы у меня не получится, поэтому я остановлюсь лишь на самых актуальных. Надеюсь, информация окажется полезной как для состоявшихся социальных инженеров, так и для тех, кто только ступил на этот путь.
Как найти заказчиков?
Пожалуй, по популярности это вопрос № 1. Итак, вы решили, что социальная инженерия — ваш путь. Что делать дальше? Нужно с чего-то начинать, а с чего — непонятно. Часто в социальную инженерию приходят люди, строившие карьеру в других областях. Предположим, на протяжении 10 лет вы развивались в совершенно другой сфере, набирали навыки и опыт, ваша зарплата тоже постепенно росла. Если же вы решите поменять специальность, вам придется увеличивать с условного нуля не только знания, но и зарплату. Поэтому надо быть готовым к тому, чтобы:
• выйти из зоны комфорта;
• начать с малого;
• осваивать неизвестные навыки;
• поначалу получать меньшую зарплату.
Если вы на все это готовы, можете смело начинать карьеру в социальной инженерии. Но (вечно попадаются эти противные но и все портят, да?) не стоит ждать, что компании, уже занявшие свое место на рынке, сами будут выходить с вами на связь и предлагать заказы. Социальных инженеров пока не так много, но вам все равно придется продемонстрировать свои конкурентные преимущества по сравнению с другими кандидатами. А для этого надо приложить усилия.
Не забывайте, что профессиональные социальные инженеры занимаются не только получением доступа в здания банков или сбором данных с помощью фишинга. Большая часть нашей работы происходит в офисе, и существенная доля времени уходит на составление отчетов. Для профессионала социальная инженерия — это не просто умение находить общий язык с окружающими, быстро соображать или не теряться под давлением обстоятельств. Это серьезная работа.
Когда тема старости подступает к нашим дверям, нам приходится делать выбор: изображать, что нас нет дома, прикидываться кем-то другим, баррикадировать дверь, бежать со всех ног или готовиться к встрече. И тогда — постараться достойно стареть. Стать по-настоящему свободным человеком. Чувствовать, Думать, Быть мудрым и милосердным. Ценить жизнь и радоваться ей. Автор книги Юлия Жемчужникова — психотерапевт, публицист, писатель.
Каждого из нас время от времени посещает желание заглянуть в голову другого человека. О чем он думает? Чего хочет? Как ко мне относится? Книга Сюзанны Стабил – путеводитель по девяти типам личности и их отношениям друг с другом. Она учит понимать людей, максимально непохожих на нас, и разбираться в своих собственных мотивах, страхах и ограничениях. В основе авторской системы лежит концепция эннеаграммы – модели, которая описывает девять типов личности и связи между ними. А еще – помогает определить свой собственный тип и при необходимости трансформировать его в желаемый.
Эта книга для тех, кто устал от бесконечной гонки за теплое место под солнцем, за лучший кусок хлеба, за более высокую ступеньку на карьерной лестнице, кто понял, что богатство и власть не приносят долгожданного счастья. Всё, пора приземлиться, вспомнить, что жизнь одна и поэтому должна приносить только удовольствие! И это правильно: добро пожаловать в мир философии наслаждения, радости и пофигизма – Акуна Матата! Она доказывает: когда ты не «паришься», живешь в свое удовольствие, радуешься жизни, любишь себя, людей и весь мир, то становишься счастливчиком, обласканным богиней Фортуной.
Почему психически больные радуются от страдания? Почему иногда и здоровый человек чувствует приятные ощущения при физической или психологической боли? На эти вопросы вы здесь сможете получить ответ. А самое главное, увидите практические примеры проявления мазохизма и садизма у людей, которым проводился психоанализ.
Эта книга – про нарушение пищевого поведения, лишний вес и глубинные причины его появления. Но вы не найдете в ней диет и советов ограничить себя в еде.Здесь даны практические инструменты «психологической стройности», представлены истории клиентов и личный опыт автора.Автор книги – психолог со стажем. Она знает, что чувствует женщина, которая мечтает похудеть, изнуряет себя диетами и походами в зал. Она сама прошла этот путь.Книга заменит вам десятки визитов в кабинет психолога.
Эксперименты позволили человеку обосноваться и понять свое место в этом мире. Мы достигли всего опытным путем, путем проб и ошибок, дорогой разочарований и невероятных успехов. Эксперимент затрагивает взрослых и детей, людей и животных. Он следует за нами везде, во всех областях нашего существования, на всех этапах истории. Изготовление орудий труда, приручение диких животных, поиск съедобных растений или путешествия к неизведанным землям — не эксперимент ли для древнего человека? Но если окружающий мир изведан, что остается изучать? Верно, нашу психику.