Как определить стоимость своих услуг?

Х

отя этот вопрос мне задают очень часто, я не хотел освещать его в своей книге, потому что ответить на него сложно. Но раз уж я взялся за составление этого своеобразного FAQ, совсем обойти такую тему не получится. Так что постараюсь раскрыть ее максимально полно.

Во-первых, разберитесь, сколько в принципе вы можете просить за час своей работы в роли консультанта. Я провел небольшое исследование на этот счет и нашел несколько сайтов, на которых приводилась ориентировочная стоимость услуг специалистов в сфере обеспечения безопасности по всему миру.

Этот показатель зависит от разных факторов: опыта и качества работы, статуса вашей компании, перечня оказываемых услуг.

Теперь давайте подсчитаем. Предположим, я определю стоимость часа своей работы в $100. По предыдущему опыту могу сказать, что фишинг 1000 e-mail в месяц обычно занимает у меня порядка 20 часов. Еще три часа обычно уходит на сбор данных из открытых источников, семь — на подготовку отчетов. Так что в общей сложности в месяц я потрачу на выполнение работы около 30 часов. Считаем:

30 часов в месяц × $100 в час × 12 месяцев = годовой контракт на $36 000.

 

Естественно, при работе с разными клиентами цифры варьируются, но примерную стоимость своих услуг я рассчитываю именно таким образом. Цена часа работы может меняться в зависимости от:

• размера компании;

• сроков контракта;

• моего отношения к клиенту (очень субъективный фактор).

Подобные подсчеты помогают рассчитать примерную сумму заказа, хоть и могут оказаться неточными. Однако, по крайней мере, теперь вы представляете, в какую сторону двигаться.

 

ОБРАТИТЕ ВНИМАНИЕ

Этот список вопросов нельзя назвать исчерпывающим. Но разобрать все важные темы в рамках одной книги физически невозможно. Впрочем, я обещаю: если вы напишете мне через форму на нашем сайте https://www.social-engineer.com/contact-us/, я сделаю все возможное, чтобы дать интересующие вас ответы.

Резюме

О

днажды мне попался отчет, в котором сообщалось, что лишь небольшой процент работающих в США компаний ежемесячно занимается информированием и обучением сотрудников способам противостояния фишингу.

И тем не менее за последние три года моя компания выросла на 300 %. Что же случится, когда 20, 30 а то и 50 % американских компаний активно займутся просвещением своих сотрудников?

На самом деле потребность в профессиональных пентестерах, владеющих методами социальной инженерии, просто огромна. Я не могу один ее удовлетворить, поэтому и стараюсь помочь максимальному количеству заинтересованных в этом людей примкнуть к нашему профессиональному сообществу и начать оказывать качественные услуги нуждающимся в этом компаниям.

Не думаю, что наступит время, когда люди вообще перестанут работать. А значит, человеческий фактор будет актуален всегда. Кто-то постоянно будет пытаться использовать нашу эмпатию и страхи, манипулировать нами. От такого давления волей-неволей устаешь и незаметно для самого себя принимаешь неверные решения.

Социальные инженеры всегда будут нужны компаниям для того, чтобы обучать людей противостоять подобным атакам. Наверняка в будущем нам на помощь придут искусственный интеллект и другие технологии, но не думаю, что наступит время, когда люди смогут обойтись совсем без помощи других людей.

Возможно, вы читаете эту книгу, потому что хотите начать свой путь в мире профессиональной социальной инженерии. Или уже работаете в этой области и надеетесь пополнить профессиональный арсенал новыми приемами. А может, эта книга заинтересовала вас по какой-то другой причине. В любом случае я уверен: следующая глава будет вам особенно интересна, потому что благодаря ей вы сможете создать собственный план минимизации и предотвращения последствий.

Есть ли у вас ПЛАН?

Я верю в необходимость контролировать то, что можно контролировать; забывать то, что контролировать нельзя; и не тратить энергию на вещи, которые этого не заслуживают.

Джош Цитрон

К

нига, посвященная привлечению новых специалистов в мир профессиональной социальной инженерии, пожалуй, не была бы полноценной без этой главы. Результатов можно достичь, если изучить типы атак и лежащие в их основе психологические и физиологические принципы, а также если набить руку в написании отчетов — но если отсутствует ПЛАН, все равно будет не хватать чего-то очень важного. Что такое ПЛАН? Это план минимизации и предотвращения последствий (ПМиП).

Зачем его составлять и как помочь клиентам это сделать? О минимизации каких последствий можно говорить в контексте социальной инженерии? Ответы на эти вопросы вы найдете ниже.

Когда я только начинал свой профессиональный путь, то понял нечто очень важное: мне нужно было достичь довольно странной цели — работать настолько профессионально, чтобы клиентам больше не нужны были мои услуги. Да, вы все верно поняли. Я стремился обучать клиентов защищаться от социальных инженеров настолько хорошо, чтобы они больше не нуждались в услугах сторонних специалистов.

Вам наверняка попадалась реклама компаний, занимающихся пентестингом и хвастающих тем, что их проверки всегда успешны на 100 %? Представляете, как клиента, выписывающего вам чек, должна демотивировать мысль о том, что лучше никогда не станет: как бы они ни старались, социальный инженер все равно окажется на шаг впереди! Подобные слоганы сообщают клиентам, что надежды нет. Какие бы усилия они ни прикладывали, дыры в системе безопасности не залатать ничем. Если рассуждать таким образом, становится ясно, почему некоторые клиенты не понимают, «зачем вообще что-то делать».

И вот когда до меня это дошло, я решил, что всегда буду помогать клиентам готовить план минимизации возможных последствий подобных атак, а также их предотвращения. Чтобы со временем у них отпала потребность заказывать у меня проверки, потому что останется только совершенствовать уже имеющиеся навыки. Если вы придерживаетесь тех же убеждений, эта глава будет очень важна для вашего профессионального успеха. Ну а если вы из лагеря клиентов, она поможет вам составить собственный ПМиП.

Я окончательно убедился в необходимости ПЛАНа, когда понял, что нужно заняться своим здоровьем. Попытки самостоятельно улучшить физическое состояние с треском провалились. Однако в сообществе добрых хакеров у меня было несколько знакомых, которые добились успеха в этом нелегком деле. Я спросил одного из них, как ему удалось взять себя в руки. И тот связал меня с человеком по имени Джош Цитрон.

Джош предложил провести первую консультацию по видеосвязи. Меня эта идея не вдохновила: я знал, что он находится в идеальной физической форме, и мне совсем не хотелось видеть свою толстую тушку рядом с его подтянутой фигурой. Ситуация только усугубилась, когда я нашел в интернете его фотографии (это было не сложно). Он оказался не просто подтянут — передо мной предстал один из тех супергероев, которые, знаете, могут голыми руками поднять машину и пробежать с ней 5 км.

И представьте, что бы произошло, если бы на первой же встрече с Джошем (а она все же состоялась) я услышал от него такие слова: «Крис, если вы будете следовать каждому моему совету, слушать каждое мое слово, исправно мне платить и при этом не мухлевать… у вас все равно ничего не получится. Вы будете толстым и слабым всю жизнь. Ну что ж, начнем?» Скорее всего, я бы подумал, что он не в себе. А если бы он смотрел на меня надменно или демонстрировал плохое ко мне отношение (ведь выгляжу-то я не очень), я бы вряд ли стал с ним работать.

Однако Джош поступил по-другому. Он пообещал: если я буду выполнять все его указания, через какое-то время начну замечать постепенные изменения. А после достижения поставленных целей смогу самостоятельно поддерживать результат. При этом он обращался ко мне очень уважительно, так что по итогам беседы я был готов действовать.

По большому счету, Джош помог мне составить ПЛАН в отношении старых вредных привычек и освоении новых, более полезных. Мы не говорили о радикальных диетах, в которых отсутствуют продукты, обладающие хоть каким-то вкусом: типа на ужин — только салаты и грусть. С ним я перестроил привычки и научился принимать более эффективные решения.

То же самое применимо и к социальной инженерии. Я сформулировал четыре основных шага, которые помогают создать качественный ПЛАН и пользоваться всеми его преимуществами:

• Шаг 1: научиться выявлять СИ-атаки.

• Шаг 2: разработать реализуемые и реалистичные правила для сотрудников.

• Шаг 3: проводить регулярные проверки.

• Шаг 4: реализовывать программы информирования сотрудников по вопросам безопасности.

 

И я обещаю: если вы выполните каждый из перечисленных шагов, необходимые изменения на уровне корпоративной культуры действительно произойдут. Конечно, не мгновенно (скорость осуществления изменений зависит от множества факторов: количества задействованных сотрудников, текущего состояния корпоративной культуры и прочего). Процесс может занять даже несколько лет — но изменения на самом деле будут.

Ну что, вы готовы?