Создайте культуру бдительности

Ч

тобы проиллюстрировать этот пункт, я снова расскажу о том, как работал с Джошем. Мы выяснили, какие ситуации и формы моего поведения мешают прогрессу. Например, мелочи вроде отказа от подсчета калорий и взвешивания порций приводили к замедлению прогресса. А если я заходил в пиццерию на шведский стол, убеждая себя, что остановлюсь после пары кусочков, обычно случались серьезные срывы.

Джош помог мне понять, что здоровый образ жизни складывается из маленьких ежедневных решений. Мне вовсе не обязательно съедать полкило стейка, чтобы наесться: достаточно 200 г филе. А если я собираюсь заказать на ужине в ресторане десерт, то стоит с умом подходить к приемам пищи, начиная с самого завтрака, и к концу дня удержаться в собственных рамках. И так далее.

Какое отношение все это имеет к корпоративной культуре осведомленности в вопросах безопасности? Да самое прямое!

Если должным образом готовить сотрудников, регулярно напоминать им о необходимых мерах безопасности и поощрять следование протоколу, то со временем в компании сформируется соответствующая культура. Каждый сотрудник будет знать, что любое его мелкое решение может иметь долгосрочные последствия. И каждый будет знать о том, какой вред компании могут нанести более серьезные ошибки с его стороны.

Благодаря работе с Джошем я сбросил вес, стал лучше себя чувствовать и выглядеть, мое здоровье окрепло. Эти улучшения вдохновили меня продолжать работу. Однако не каждый сотрудник будет так же мотивирован, если «раскусит» фишинговый e-mail или «сообщит» о случае вишинга. Не потому, что ему все равно, не потому, что он ненавидит компанию. Просто у него может быть слишком много других дел и обучающие программы будут казаться ему бесполезной тратой драгоценного времени.

С таким настроем сотрудников работать сложно— но возможно. Например, однажды мне довелось работать в организации, где менеджер отдела однозначно и открыто продемонстрировал свое негативное отношение к нашей деятельности. В результате 450 его подчиненных превратились в главное уязвимое место компании. В его отделении постоянно возникали проблемы с вирусами, фишингом и другими формами атак.

Руководитель понял, что его сотрудники попросту не выполняют требований безопасности. Он не знал, что делать, и пытался исправить ситуацию через наказание виноватых. Лично я ни разу не видел, чтобы такой подход работал: обычно он, наоборот, лишь усиливает напряжение в отношениях между начальником и подчиненными. Если сотрудники все же следуют протоколу в таких ситуациях, то делают это со страхом, злостью и презрением. Поэтому в ходе очередной встречи с клиентом я предложил провести среди работников его колл-центра шуточный конкурс. В качестве приза взять мягкую игрушку в форме рыбы. А первый сотрудник, который не перейдет по вредоносной ссылке и сообщит о фишинговой атаке руководителю, получит эту игрушечную рыбу на свой рабочий стол и заработает статус «Главного фишера»[18] на целый месяц.

Возможно, вы сейчас сидите и думаете, что это дурацкая идея. Согласен. Тем не менее два месяца спустя 450 взрослых сотрудников сражались за то, чтобы заполучить игрушечную рыбу. А званием «Главного фишера» по-настоящему гордились.

В результате существенно увеличилось количество людей, активно вовлеченных в программу. Сотрудники искали «плохие» письма, и количество сообщений о них за несколько месяцев возросло с 7 до 87 %. Количество переходов по опасным ссылкам за то же самое время сократилось с 57 до 10 %. Но самое главное, объем вредоносного кода, выявляемого в Сети, снизился более чем на 79 %.

Одна простая мера позволила изменить отношение к безопасности в компании. Сотрудники начали принимать более грамотные решения, увидели последовавшие за этим изменения и ощутили мотивацию их поддерживать.

Как добиться таких же изменений в вашей организации? Без личной беседы с вами я точно на этот вопрос не отвечу. Но могу посоветовать несколько методов, которые за годы работы показали свою эффективность.

 

Поощрения. Я на своем веку повидал самые разные способы вознаграждения сотрудников: от упомянутой выше игрушки до подарочных сертификатов. Были и другие формы поощрения за соблюдение правил безопасности на протяжении нескольких месяцев. Конечно, если речь идет о большом коллективе, подарки могут недешево обойтись руководству. А если в качестве поощрения использовать никому не нужные безделушки, это вряд ли кого-то мотивирует. Например, мне довелось работать с компанией, которая обещала выдать подарочный сертификат на $5 за безоговорочное следование требованиям безопасности на протяжении целого квартала. Такой подарок, естественно, никого не впечатлил. Награда должна мотивировать. Конечно, я не настаиваю, что надо обещать сотрудникам телевизор с диагональю в 60 дюймов или годовую зарплату. Просто поощрение должно демонстрировать, что для вас на самом деле важны действия и отношение, которых вы добиваетесь от сотрудников.

Положительное подкрепление. В некоторых компаниях создают списки сотрудников, которые идеально соблюдали требования безопасности на протяжении Х месяцев. Или списки «самых внимательных сотрудников»: в них попадают люди, на протяжении нескольких месяцев отследившие Х фишинговых сообщений. В долгосрочной перспективе положительное подкрепление стимулирует желаемое поведение намного эффективнее, чем попытки пристыдить или унизить.

Дополнительное обучение. Погодите, не набрасывайтесь на меня, позвольте объяснить, что конкретно я имею в виду. Например, я неоднократно видел, какого успеха добивались компании, запускавшие программы в духе «Обучение на обеде». Они покупали пиццу или что-то подобное (если вдруг вы задумаете пригласить меня на такое мероприятие, пожалуйста, закажите зеленый салат, а то Джош будет недоволен) и собирали сотрудников. Пока люди поедали пиццу, им показывали обучающее видео или же спикер проводил презентацию по теме, связанной с безопасностью. Конечно, многие изначально шли на такую встречу за бесплатной едой. Однако с большинства подобных мероприятий многие посетители уносили и полезную информацию. Мне доводилось бывать на таких собраниях, так что я знаю, о чем говорю. И кроме того, это еще одна отличная возможность продемонстрировать, как на самом деле для вас важны идеи и действия, которые вы хотите распространить среди сотрудников.

Воздействие «сверху». Этот метод производит почти мистический эффект, работает как заклинание. Если генеральный директор сообщит сотрудникам, что руководство компании проходит проверку фишингом раз в месяц вместе со всеми, он озвучит очень важное сообщение: «Мы все с вами в одной лодке… серьезно». Однажды я работал в компании, сотрудники которой восприняли новую программу безопасности без особого энтузиазма. Одна сотрудница неправильно отреагировала на фишинговые сообщения. Узнав, что это была проверка, она потребовала связаться со мной напрямую и 10 минут отчитывала: говорила, что я ужасный человек и мне стоило бы подумать над тем, достойное ли я выбрал дело жизни. Спустя несколько месяцев весь штат компании собрали на массовое совещание, на котором выступал в том числе и гендиректор. И вот, рассказывая о программе, он упомянул, что тоже подвергся проверке, повел себя неправильно и на собственном опыте убедился, что впредь нужно быть осторожнее. После этого ситуация в компании изменилась как по мановению волшебной палочки. Рядовые сотрудники больше не злились, агрессия по отношению к моей СИ-команде практически сошла на нет, а процент людей, соблюдавших новые требования, резко возрос. Иногда сотрудникам кажется, что руководство просто издевается над ними и пытается выставить дураками. Естественно, отношения в компании от этого не улучшаются. А вот если члены правления выражают такой инициативе поддержку действием — ситуация в корне меняется.

И еще два важных момента, о которых не стоит забывать:

• Терпение

Не думайте, что запуск программы по обучению сотрудников возымеет мгновенный и повсеместный результат. Могут потребоваться время и серьезные усилия, чтобы персонал в конце концов проникся вашим видением проблемы.

• Управляйте ожиданиями

Звучит знакомо? Все верно. Этот принцип работает не только с раппортом, но и в процессе создания необходимой культуры отношения к безопасности на уровне организации. Если вы сами научились «разоблачать» фишинговые письма, не поддаваться на вишинг и видеть людей, которые пытаются проникнуть куда не следует, это не значит, что каждый сотрудник способен освоить все эти навыки с такой же скоростью.

Будьте терпеливыми и не требуйте слишком многого. Через какое-то время сотрудники окажутся на одной волне с вами.

Резюме

Х

отя поначалу кажется, что это слишком сложно, поверьте мне: вы способны сформировать в своей компании культуру осведомленности в отношении вопросов безопасности. Возможно, вы оцениваете, в какой «форме» компания находится сейчас, и вам кажется, что на это уйдет слишком много времени и сил. Но дело того стоит. Польза, которую такая культура принесет компании, перевешивает все риски.

Как-то Джош прислал мне e-mail, в котором говорились: «Это путешествие на всю жизнь. Не на три месяца, не на полгода. Да, менять привычки сложно. Но ведь все мы постоянно меняемся».

Глупо повторять привычные действия в надежде получить новый результат. Допустив ошибку, старайтесь быстро двигаться дальше. Попробуйте воспользоваться советами, собранными в этой главе, но, если не добьетесь желаемого, найдите другое решение. Если метод не работает, ищите другой.

Джош постоянно трансформирует мою программу. Иногда новые требования приходят раз в неделю, но бывает, что они не меняются более месяца. Вам не обязательно менять все так же часто, но задуматься на этот счет стоит. Моя программа работает так эффективно, потому что раз в неделю я отправляю Джошу отчет о своих успехах. Он учитывает все мои перемещения, еду, активность упражнений и уровень стресса. Вся эта информация помогает ему корректировать общий курс программы. И я уверен: любое его решение основывается на детальном анализе.

Вы можете точно так же подойти к реализации программы информирования сотрудников. Для начала сформируйте подробное представление о том, что происходит в вашей организации: начиная с состояния физических объектов и заканчивая психологическими особенностями сотрудников. Постарайтесь понять, с чем связано испытываемое ими напряжение и как оно будет влиять на их решения. И когда у вас сложится полная картина, вам будет проще планировать реализацию такой программы. Продумайте траекторию развития, запустите программу и внимательно отслеживайте прогресс.

Не буду обещать, что в результате вы непременно создадите непробиваемую защиту от хакеров. Даже предполагаемый процент успеха называть не стану. Тем не менее я могу пообещать вот что: изменения вы увидите. Постепенно вы начнете замечать, как у сотрудников формируются устойчивые представления о типах атак и способах защиты от них.

Как же применить все полученные при прочтении этой книги знания и стать пентестером, владеющим навыками социальной инженерии? Как использовать эту информацию руководству компании, которая хочет защититься от злоумышленников? Обобщающие выводы вы найдете в последней главе. И обещаю, что про Джоша в книге больше не будет ни слова (прости, Джош, твои 15 минут славы подошли к концу).

Что теперь?

Ограничивать себя легко. Но если вы будете это делать постоянно, то никогда не раскроете свой истинный потенциал.

Крис Уитти

В

осемь-девять лет назад, начиная любимое дело, я даже не предполагал, что оно превратится в успешный бизнес и что я продолжу заниматься им в рамках некоммерческого фонда по защите детей от злоумышленников.

Случившееся за эти годы многому научило, сформировало, помогло стать тем, кем я являюсь на данный момент. Не все шло идеально, да и сейчас у меня еще есть огромные перспективы для роста. Думаю, на этом и хотелось бы сделать упор в последней главе книги.

Не существует волшебной палочки, которая превращала бы простых людей в социальных инженеров. Прочитав эту книгу, не стоит думать, будто рецепт создания идеального социального инженера прост, что стоит смешать немного раппорта, влияния, присыпать невербаликой, сдобрить доверием — и вуаля, дело сделано. Нет, это длительный процесс, требующий титанических усилий, анализа, а потом — еще больших усилий.

Ко мне постоянно обращаются с вопросами о том, как попасть в профессию, как стать настоящим социальным инженером. Ответить в двух словах не получится. Так что в этой главе я подробно расскажу о качествах, которыми просто обязан обладать профессиональный социальный инженер.

Социальные навыки[19]

Я

 встречал множество людей, которые отлично владели техникой и технологиями, но с работой социального инженера не справлялись: у них не получалось развиваться. В то же время мне часто попадались неуверенные в своих способностях люди, которые в итоге стали крутыми специалистами.

Я расскажу о четырех основных вещах, которые отличали этих людей. Думаю, эта информация поможет вам, если вы находитесь на этапе планирования своего профессионального развития, а возможно, даже окажется ключевой.

Скромность

В

се специалисты, которым удалось преуспеть в социальной инженерии, по натуре своей скромны. И хотя смирение и мягкость принято считать проявлением слабости, я предлагаю не идти на поводу у стереотипов и задуматься. Вспомните знакомого, которого считаете по-настоящему скромным. Вспомнили? (Кстати, если называете себя — скорее всего, вы не очень правильно понимаете, о чем я тут пишу.)

А теперь, не задумываясь, ответьте: «Как я чувствую себя в обществе этого человека?» Лично я всегда ощущаю радость от того, что меня уважают, что я важен. А социальному инженеру намного полезнее вызывать у людей такие ощущения, чем считаться всезнайкой, которого даже поправить нельзя (нескромным, одним словом).

Когда мне выпала честь лично работать с Полом Экманом, я очень ясно это ощутил. Я думал, что сработаться с таким одаренным человеком будет сложно, что он окажется слишком требовательным. Но Пол показал себя очень скромным и открытым к иным точкам зрения ценителем творческой свободы. Когда меня нужно было в чем-то поправить, он действовал жестко, но при этом проявлял поразительную проницательность и умение направить в нужную сторону.

Все знакомые мне специалисты в области социальной инженерии, с которыми, кстати, было приятно работать, оказывались скромными людьми и всегда рады были выслушать конструктивную критику.

Мотивация

К

 работе можно относиться как к «обязаловке»: хоть это и помогает добиться поставленных целей, но тогда о своих рабочих обязанностях с радостью забываешь по окончании трудового дня. Если вы хотели найти именно такое занятие, то социальная инженерия вряд ли вам подойдет. Потому что эта профессия изменит вас — как профессионала и как личность. Причем необходимые для этого вида деятельности навыки не возникают сами по себе, а значит, чтобы сохранять конкурентоспособность, вам понадобится мотивация для роста и саморазвития.

Экстраверсия

С

топ-стоп. Прежде чем бросать книгу в шредер с криками «О нет!!! Я же интроверт!», пожалуйста, прислушайтесь ко мне: я не утверждаю, что вам обязательно нужно меняться. Я просто считаю, что это важное для социального инженера качество и нужно научиться «включать» его на работе.

Помните, в третьей главе, посвященной профайлингу, я писал о директивном D-типе. Обычно такие люди рассказывают, что нужно делать другим, не приглашая их к обсуждению. И я часто веду себя именно так. Но чем больше я выступал и обучал других, тем больше понимал, что общение по I-типу больше подходит для преподавателя. Я решил освоить новую для себя манеру взаимодействия и «опробовал» ее на учениках. В результате я не так уставал от преподавания, а посетители еще больше полюбили мои программы.

Предлагаю вам отрабатывать один навык за раз, до тех пор пока он не превратится в удобный инструмент, который всегда под рукой и которым в любой момент можно воспользоваться. И хотя вам может не понравиться ставить перед собой задачу «заговорить сегодня с двумя незнакомцами», я очень рекомендую это делать. Со временем выполнять такие задания станет намного легче и можно будет их усложнять.

После этого вы сможете перейти к другим аспектам общения — и так до тех пор, пока не научитесь включать и выключать необходимые навыки по желанию.

 

ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ

Согласно исследованиям Майерс — Бриггс (https://www.myersbriggs.org/my-mbti-personality-type/mbti-basics/extraversion-or-introversion.htm?bhcp=1), экстраверты «заряжаются» в условиях социального взаимодействия, а интроверты, наоборот, теряют силы в тех же ситуациях. Экстраверты обычно общительны, свободно чувствуют себя в группе, заводят много друзей, быстро действуют, но в то же время им может не хватать внимания к деталям.

Интроверты же рефлексируют, они комфортно чувствую себя в одиночестве, имеют узкий круг общения, много времени посвящают планированию и часто долго сомневаются, прежде чем начинают действовать.

Готовность пробовать

П

о моим наблюдениям, боязнь ошибаться — одна из главных причин, по которым люди бросают социальную инженерию. Некоторых этот страх буквально парализует. А кто находит в себе силы для выхода из зоны комфорта, добирается до вершин успеха в СИ. Эти люди понимают, что иногда неудачи оказываются лучшим учителем. Кто готов пробовать новое, легко вливается в разные группы и быстрее адаптируется к необычным ситуациям. Я часто видел, что тяжелее всего наша работа дается тем, кто боится другой культуры, незнакомой еды и людей.

Это правда работает!

Я

 знаю человека, который был уверен, что из него не получится социального инженера, но освоил вышеперечисленные навыки и стал прекрасным специалистом. Помню, как он впервые появился в моей аудитории: сел в самом последнем ряду, сложил руки на коленях и опустил голову.

Я сразу понял, что передо мной чистейшей воды интроверт. Стало интересно, как его вообще занесло на мои занятия по социальной инженерии. Может, начальник заставил? Или у его компании такая политика? Занятие я начал как обычно: с доброй порции Clutch (лучшей рок-группы на земле). Едва заслышав первые аккорды, этот молодой человек, Райан, поднял глаза, и по его лицу я заметил, что ему комфортно.

«Ага, он тоже любит Clutch», — отметил я про себя. После занятий мы разговорились, и выяснилось, что ни начальник, ни политика компании не имели к приходу Райана никакого отношения. Он просто хотел бросить самому себе вызов, выйти из зоны комфорта, попробовать что-то новое — хотя прекрасно понимал, как тяжело будет это сделать.

На протяжении последующих четырех дней он с большим рвением выполнял все мои задания, и у него хватало мотивации доводить их до конца. Райан даже немного приоткрылся людям за это время, а ко мне он подходил постоянно — чтобы попросить совета или получить обратную связь по домашним заданиям.

Когда курс подошел к концу, Райан по праву получил от группы награду за самые масштабные изменения в процессе учебы. Я же во всеуслышание пообещал через год или два взять его на работу.

Однако это оказалось не так легко сделать. Райан изменился, и в компании, где он работал, это заметили. Его стали продвигать: он перешел с должности ведущего пентестера на пост начальника по социальной инженерии. Он занимался вишингом, фишингом и проникновением в разные помещения, и не просто занимался, а делал это очень эффективно.

Чтобы переманить его в свою команду на должность руководителя социально-инженерных проектов, мне понадобилось три года. Райан остался интровертом и по-прежнему любит планировать (на мой взгляд, даже слишком любит). Но он мотивирован, готов пробовать новое, учится «включать» экстраверсию и все так же не боится просить совета и помощи.

Я знаю, что однажды сам буду работать на Райана. Прямо чувствую. Так вот, если даже он преуспел в социальной инженерии — это получится и у вас. Просто применяйте четыре принципа, которые я описал выше.

Технические навыки

О

дин из вопросов, который мне задают чаще всего, связан с техническими знаниями, которые необходимы социальному инженеру. И тут в двух словах тоже не ответишь, но я постараюсь задать верное направление вашему поиску.

В нашей сфере деятельности без технических навыков далеко не уйдешь, ведь мы постоянно так или иначе взаимодействуем с техникой. Даже представление о том, как использовать простые технологии вроде электронных ключей, загрузочных устройств и подключения к VPN, может существенным образом помочь вам в процессе разработки легенды и получения необходимого доступа.

Нужно ли при этом быть экспертом в создании эксплойтов? Вовсе не обязательно. Чтобы понять, насколько технологически подкованным должен быть социальный инженер, я использую следующее правило. Вы будете работать самостоятельно или в команде? Если самостоятельно, то без технических навыков вам не обойтись: любые ваши ограничения будут сужать спектр услуг, предлагаемых вами клиентам.

Если же вы собираетесь работать в команде, то ориентироваться нужно на наличие навыков у других ее членов: в отличие от одиночной работы, вы сможете позволить себе некоторые послабления. В моей команде работают прекрасные специалисты как технического, так и нетехнического профиля.

Если вы считаете, что технические навыки вам необходимо развивать, то рекомендую обратить внимание на следующие сферы:

• базовые знания о компьютерах;

• базовые знания об офисных программах (в частности, Word и Excel);

• знания о том, из каких элементов состоит компьютер и как эти элементы функционируют;

• умение работать в операционных системах Mac, Windows и Linux;

• понимание механизмов работы Сети;

• умение настраивать почтовый сервер;

• навыки фоторедактирования.

 

Если вы планируете использовать в пентестах эксплойты, вам также пригодятся:

• знания о платформах вроде Metasploit и Empire;

• умение читать и понимать код;

• умение писать код.

Образование

«К

акое образование нужно иметь, чтобы стать социальным инженером?» — каждый раз, когда мне задают этот вопрос (а происходит это намного чаще, чем можно себе представить), я отвечаю, что не считаю себя достаточно квалифицированным специалистом, чтобы советовать что-то конкретное. В конце концов, в свое время я расстался с колледжем после того, как написал программу, осуществлявшую автоматическое сканирование списка телефонных номеров и звонки на них. Тогда декан вместе с полицейскими «предложили» мне закончить обучение как можно скорее.

 

ЗАБАВНЫЙ ФАКТ

В начале 1990-х еще не были разработаны законы о компьютерных правонарушениях, и «хакерами» называли просто интересующихся энтузиастов, а не злоумышленников, стремящихся что-то разрушить. Я написал программу, которая работала так. Она связывала последовательно два телефонных модема, затем набирала номер и отправляла несколько цифр, которые отключали номер на пять минут, после чего обрывала соединение. Затем эти действия повторялись снова. Я использовал так называемую поточную обработку, позволявшую программе одновременно набирать огромное количество номеров. Этот скрипт на целый день вырубил 60 % телефонных систем штата. После чего меня и «попросили» покинуть альма-матер.

 

И хотя образовательная база у меня весьма сомнительная, хочу высказать несколько соображений о том, какое образование будет полезным для будущего социального инженера. Речь пойдет не о магистерской степени, но скорее о некоторых базовых знаниях в следующих сферах:

Психология. Не только психологам и психотерапевтам важно знать, как люди принимают решения. Социальным инженерам это тоже пригодится.

Устная и письменная речь, грамотность. Вы можете быть лучшим социальным инженером на земле, но, если вы при этом не способны сформулировать четкий и понятный отчет, ваши заслуги едва ли кто-то признает. Я рекомендую пройти качественные курсы по развитию языковых навыков и обогащению профессионального словаря.

Социальная психология. Понимание того, как люди взаимодействуют в социальных группах и какое влияние группы оказывают на них, обязательно поможет вам в работе.

Возможно, вы сейчас удивитесь: неужели этого достаточно? Но я ведь говорил, что не претендую на статус гуру из мира высшего образования. Просто советую, исходя из собственного опыта. Только, пожалуйста, не думайте, что без формального образования в перечисленных сферах вам заказан путь в мир социальной инженерии. Вы можете читать книги, изучать сайты, слушать подкасты и общаться с более опытными людьми. Этого бывает достаточно, чтобы сформировать необходимую базу знаний.

Нам необязательно становиться психологами, психотерапевтами, лингвистами и социальными психологами. Просто нужно понимать, какие принципы задействованы в происходящем и как именно они работают.