Через день зазвонил телефон, и я услышал примерно следующее (имейте в виду, здесь, в книге, я привожу смягченные формулировки):
«Крис, что за вонючую кучу мусора я от тебя получил? Это шутка какая-то? Ты что, тут самый главный весельчак? Неужели ты всерьез думаешь, что такой отчет кто-то примет? Доведи его до ума сейчас же!»
Отчет, который он мне прислал на доработку, был испещрен разноцветными исправлениями и комментариями. Казалось, ни один абзац не избежал редактуры.
На внесение исправлений у меня ушло две недели. Этот отчет смело можно назвать самым неудачным за всю мою СИ-карьеру. Но в то же время он меня многому научил. Я понял, как должен выглядеть хороший отчет и как его нужно готовить. Первая версия моего «шедевра» была посвящена тому, какой я крутой Джеймс Бонд. Который тем не менее забыл упомянуть целый ряд крайне важных для клиента подробностей.
Мне не хочется превращать эту главу в конспект семинара по подготовке отчетов. Но все же несколько основополагающих принципов я назову.
Профессионализм
Профессионализмом называется умение действовать в соответствии с профессиональными нормами. Возьмем, к примеру, врача: направляясь к нему, вы рассчитываете на его профессионализм. Но только представьте ситуацию: вы входите в кабинет доктора, а он восклицает: «Матерь божья, чем же питается этот огромный кит?!» Затем он хлопает вас по плечу и улыбаясь заверяет, что это «просто шутка».
Думаю, мало кому понравилось бы такое обращение. Вот и наши клиенты тоже не хотят слышать фразочки типа: «Как я вас обдурил!», «Представляете, он действительно додумался опубликовать эту информацию!» или «Теперь все ваши склады принадлежат нам» (последнюю фразу я, к сожалению, не выдумал, а позаимствовал из горького личного опыта).
Всегда нужно помнить: отчет прочитают многие люди, и больше всего конструктивных изменений произойдет, если при чтении они не будут чувствовать себя пристыженными или униженными. Стиль изложения, подбор выразительных определений и грамотное представление фактов — вот что поможет вам продемонстрировать свой профессионализм.
Правописание и грамматика
Правописание и грамматика — две мои любимые мозоли. Вектор атаки, не аттаки. Раппорт, а не раппорп. Короче, вы понимаете. Всегда нужно найти время на то, чтобы проверить грамотность ваших отчетов. А еще лучше — отдать их на проверку человеку, профессионализму которого доверяете.
Впрочем, ошибки могут оставаться в документах даже после неоднократных проверок. Бывает. Не нужно стремиться к совершенству, но и отсылать совершенно непроверенный текст тоже не стоит — иначе клиент подумает, что вы относитесь к работе спустя рукава.
Все подробности
Некоторые знакомые мне пентестеры предпочитают исключать из отчетов подробности: как именно они организовали сбор данных из открытых источников, какой была цепочка Google-поиска и т. п. Им кажется, что, получив такую информацию, клиент больше не станет обращаться к ним за услугами, потому что все будет знать сам.
На мой взгляд, это просто глупо. Впрочем, то же самое я не раз слышал и о своей книге «Темные воды фишинга», в которой были подробнейшим образом описаны методы и процессы создания фишинговых программ. Но эффект от книги получился прямо противоположным: компании использовали ее для разработки программ информирования сотрудников по вопросам фишинга, а в процессе обращались ко мне за помощью.
Поэтому я уверен: не стоит переживать, что клиенты получат от вас слишком много информации. Большинство заказчиков оценят ваши знания и находки. И наверняка захотят снова обратиться к человеку, который настолько уверен в себе как в профессионале, что не боится раскрыть свои карты.
В то же время, если вы наткнетесь на информацию, не предназначенную для распространения, имеет смысл обсудить с вашим контактным лицом в компании дальнейшие действия по ее представлению или не-представлению в отчете.
Защита
Описание действий, необходимых для защиты от будущих атак и от выявленных проблем, можно назвать, пожалуй, одной из важнейших частей отчета — хотя о ней говорят незаслуженно редко. Подумайте сами: как вы отнесетесь к ситуации, когда доктор, сообщив об опасной болезни, желает вам удачи и выходит из кабинета со словами: «Увидимся на следующем приеме… надеюсь»? Вот и с клиентами так себя не ведите. Предлагайте им конкретные шаги, которые можно будет предпринять для разрешения выявленных проблем.
Если же вы предложите банальности или чушь, что это даст клиенту? Предположим, в ходе проверки нежелательные действия совершили 80 % сотрудников, подвергшихся вишингу. Как думаете, какие рекомендации по минимизации нежелательных последствий окажутся полезнее для клиента?
• 1-й вариант
Социальный инженер рекомендует продолжать проводить тесты и поощрять правильную реакцию на вишинг.
• 2-й вариант
По результатам анализа кампании социальный инженер рекомендует в процессе информирования сотрудников сделать упор на следующие аспекты:
• При использовании одних и тех же легенд женщины-пентестеры добивались большего успеха, чем мужчины. Возможно, стоит подробнее рассказывать сотрудникам о механизмах извлечения информации, действующих независимо от пола звонящего.
• Когда пентестер называл выдуманное имя, лишь 12 % сотрудников попытались его проверить. Еще меньшее количество людей решили не раскрывать информацию после того, как завершить проверку не удалось. Таким образом, очевидно, что необходимо информировать сотрудников о возможных последствиях игнорирования этой меры предосторожности.
При желании мы можем созвониться и обсудить перспективы воплощения этих рекомендаций по мере продолжения тестирования.
Второй вариант лучше, это очевидно. Но слишком часто заказчики вместо практических рекомендаций получают явно сформулированные «для галочки» идеи, которые невозможно воплотить в реальной жизни (к сожалению, и моя команда этим тоже иногда грешила).
И хотя я работаю в СИ уже много лет, все равно постоянно себе напоминаю, что нужно выкладываться для каждого клиента на 100 %. В противном случае есть риск стать слишком самонадеянным.
Следующие шаги
Часто, даже получив представление о конкретных мерах защиты, клиенты задаются вопросом: «И что дальше?» Поэтому в финальной части любого отчета крайне важно прописать вероятные шаги, которые предпримет заказчик. Это поможет ему понять, что делать и чего ожидать в будущем.
Конечно, не нужно просто писать: «Увидимся на следующем пентесте». В данном случае стоит руководствоваться принципами, которые я описывал в предыдущем подразделе. Отвечайте на этот вопрос настолько подробно, чтобы в руках у клиента оказались средства, необходимые для дальнейших изменений.