Апофеоз пентеста: Стань мастером донесения информации руководителям
Был такой кейс: продвигались по сети, попали в интересную подсеть, где была машина с очень злой уязвимостью и сессией достаточно значимого человека в домене. Эксплуатацию мы проводили по согласованию, поэтому позвонили devops-у (не хотелось ронять ему сервис своим эксплоитом и прерывать процессы), описали ситуацию и свои мысли, мотивы. На что получили ответ:
«Да, обязательно это делайте, я даю добро! И вне зависимости от результата, пожалуйста, опишите это в отчете — я уже год прошу выделить ресурсы на то, чтобы эту подсеть перестроить, но меня никто не слушает. Если получится, значит меня наконец-то услышат». В течение следующих 15 минут мы забрали DA.
Из этой истории и опыта работы с большими компаниями с глубокой субординацией, мы сделали вывод — даже оказывая сложную техническую услугу, общаться следует на языке денег.
Владельцы бизнеса мыслят прибылью, в этой связи ИБ — это просто траты. Но избежать этих трат все равно не выйдет. Запросы к начальству со стороны ИБ, нередко оказываются сфокусированы на локальной задаче, выражены сложным техническим языком и требуют дополнительной «расшифровки», а значит и дополнительной аргументации.
Не нужно говорить «тут уязвимость, это опасно», нужно говорить «если мы сейчас не вложим сюда $, то когда нас пробьют — мы потеряем $$$, решайте сами». Да, это требует подготовки и анализа активов, но благодаря такому подходу проблемы недостатка бюджета или ресурсов, решаются гораздо быстрее.
Окончание пентеста — это всего лишь начало большой работы для наших коллег. Они будут заниматься устранением найденных уязвимостей, построением новых ИБ-процессов и прочими изменениями, направленными на защиту систем. Весомой добавочной ценностью пентеста станет еxecutive summary, которое поймет совет директоров и захочет пойти на встречу ИБ. Еще лучше если вы в состоянии провести защиту проекта бизнес-заказчику и заставить биг-боссов быстро понять — насколько все уязвимо, и что нужно делать, чтобы изменить это.
Что нужно для хорошего executive summary?
1) Конкретика и цифры. Поскольку этот раздел читает бизнес, которые не понимает технических слов, важно доходчиво донести бизнес-риски, к которым ведут уязвимости.
2) Объяснить, каким был перечень работ, например, сделали пентест, фишинг, и так далее. Рассказать зачем это было нужно и к каким выводам привело. Схемы, картинки, например, ход пентеста верхнеуровнево «для самых маленьких».
3) Небольшая аналитика, например, количество критичных уязвимостей, время, необходимое злоумышленнику для компрометации инфраструктуры, необходимый уровень злоумышленника для реализации всех атак, сколько человек в компании попалось на фишинг и так далее.
4) Декомпозиция рисков — какой ущерб может нанести реализации атаки, к чему может привести успешный фишинг и тд
5) И конечно, отработка возражении. Рекомендации, понятные всем, например, внедрение таких-то средств защиты, позволит избежать реализацию атаки номер 1, непрерывный анализ защищенности позволит не допустить таких-то событий и так далее.
Надеемся, что серия постов на тему «идеальный пентест» 🙌 была полезной для коллег и заказчиков. Ставьте лайк, если хотите продолжения демонстрации внутренней offensive-кухни🙂
__________________
Предыдущие посты на тему #бенчмарк_пентеста
— Как оценивать результаты пентеста?
— Общие принципы хорошего пентеста и признаки качественного отчета.
— Каким НЕ ДОЛЖЕН быть пентест?
Был такой кейс: продвигались по сети, попали в интересную подсеть, где была машина с очень злой уязвимостью и сессией достаточно значимого человека в домене. Эксплуатацию мы проводили по согласованию, поэтому позвонили devops-у (не хотелось ронять ему сервис своим эксплоитом и прерывать процессы), описали ситуацию и свои мысли, мотивы. На что получили ответ:
«Да, обязательно это делайте, я даю добро! И вне зависимости от результата, пожалуйста, опишите это в отчете — я уже год прошу выделить ресурсы на то, чтобы эту подсеть перестроить, но меня никто не слушает. Если получится, значит меня наконец-то услышат». В течение следующих 15 минут мы забрали DA.
Из этой истории и опыта работы с большими компаниями с глубокой субординацией, мы сделали вывод — даже оказывая сложную техническую услугу, общаться следует на языке денег.
Владельцы бизнеса мыслят прибылью, в этой связи ИБ — это просто траты. Но избежать этих трат все равно не выйдет. Запросы к начальству со стороны ИБ, нередко оказываются сфокусированы на локальной задаче, выражены сложным техническим языком и требуют дополнительной «расшифровки», а значит и дополнительной аргументации.
Не нужно говорить «тут уязвимость, это опасно», нужно говорить «если мы сейчас не вложим сюда $, то когда нас пробьют — мы потеряем $$$, решайте сами». Да, это требует подготовки и анализа активов, но благодаря такому подходу проблемы недостатка бюджета или ресурсов, решаются гораздо быстрее.
Окончание пентеста — это всего лишь начало большой работы для наших коллег. Они будут заниматься устранением найденных уязвимостей, построением новых ИБ-процессов и прочими изменениями, направленными на защиту систем. Весомой добавочной ценностью пентеста станет еxecutive summary, которое поймет совет директоров и захочет пойти на встречу ИБ. Еще лучше если вы в состоянии провести защиту проекта бизнес-заказчику и заставить биг-боссов быстро понять — насколько все уязвимо, и что нужно делать, чтобы изменить это.
Что нужно для хорошего executive summary?
1) Конкретика и цифры. Поскольку этот раздел читает бизнес, которые не понимает технических слов, важно доходчиво донести бизнес-риски, к которым ведут уязвимости.
2) Объяснить, каким был перечень работ, например, сделали пентест, фишинг, и так далее. Рассказать зачем это было нужно и к каким выводам привело. Схемы, картинки, например, ход пентеста верхнеуровнево «для самых маленьких».
3) Небольшая аналитика, например, количество критичных уязвимостей, время, необходимое злоумышленнику для компрометации инфраструктуры, необходимый уровень злоумышленника для реализации всех атак, сколько человек в компании попалось на фишинг и так далее.
4) Декомпозиция рисков — какой ущерб может нанести реализации атаки, к чему может привести успешный фишинг и тд
5) И конечно, отработка возражении. Рекомендации, понятные всем, например, внедрение таких-то средств защиты, позволит избежать реализацию атаки номер 1, непрерывный анализ защищенности позволит не допустить таких-то событий и так далее.
Надеемся, что серия постов на тему «идеальный пентест» 🙌 была полезной для коллег и заказчиков. Ставьте лайк, если хотите продолжения демонстрации внутренней offensive-кухни
__________________
Предыдущие посты на тему #бенчмарк_пентеста
— Как оценивать результаты пентеста?
— Общие принципы хорошего пентеста и признаки качественного отчета.
— Каким НЕ ДОЛЖЕН быть пентест?