В небольших командах пентеста фактором эффективности становятся не только инструменты и техники, но и организация работы специалистов на основе глубокого понимания их личности, характера, талантов и способов мотивации. Я использую ряд практик, которые помогают сохранять продуктивность, глубину исследований, хороший климат в команде и мотивацию пентестеров.
Дмитрий Орлов, руководитель отдела анализа защищенности ИБ компании Simplity
1. Защита команды от операционного шума
Я придерживаюсь принципа «защищенного контура работы команды» - это значит, что постановка задач моим специалистам на 95% происходит через меня. На уровне топ-менеджмента или коллег могут быть просьбы, если у ребят есть свободное время, и я дам «зеленый свет». Дело не только в том, что «айтишники» - интроверты, и работа белых хакеров требует концентрации. Такой подход защищает экспертов от переключений на небольшие просьбы и позволяет сосредоточиться на проектах и поиске сложных уязвимостей.
2. Персонализированное распределение задач
Я стараюсь учитывать сильные стороны каждого специалиста. Я знаю, кто лучше работает с эксплуатацией уязвимостей, кто сильнее в анализе инфраструктуры и исследовательской работе, кто лучше продумывает социотехнические учения (фишинг и вишинг*), а кто готов их провести (да, мы такое тоже делаем). Что еще входит в пентест?
Например, глубокому интроверту обзвонить 50 сотрудников клиента с целью выманить пароль будет тяжелее, чем общительному коллеге. Благодаря этому задачи распределяются не только по загрузке, но и по компетенциям, что ускоряет выполнение проектов и сохраняет мотивацию.
В информационной безопасности вишинг – это вид социотехнического учения, с помощью которого исследователь проверяет уровень устойчивости сотрудников клиента к атакам хакеров методами социальной инженерии, в т.ч. мошенническим звонкам.
3. Декомпозиция «непопулярных» этапов работы
В пентесте значительная часть времени уходит на подготовку отчётности, что часто подразумевает подготовку презентаций для наглядности. Белые хакеры любят ломать и предлагать решения, а не подготавливать документы. Чтобы сохранять мотивацию, я стараюсь декомпозировать такие задачи: например, специалист, который пробил периметр ИТ инфраструктуры, пишет технический отчет по найденному им же вектору атаки (способу взлома). Более творческий сотрудник уже может подготовить презентацию. Это позволяет сохранить скорость работы и при этом не перегружать сотрудников рутинными задачами.
4. Культура профессионального признания
На уровне компании Simplity и команды пентеста мы придерживаемся культуры признания личных достижений: например, обнаружение сложной уязвимости или публикация Zero-Day (уязвимость нулевого дня, то есть ранее неизвестная), или получение профессионального сертификата становятся праздничным поводом и темой для новости во внутреннем СМИ.
5. Выделенное время на исследовательскую работу
Я поддерживаю, если сотрудники тратят рабочее время на получение и обмен профессиональными знаниями. Если специалисты хотят тратить время на изучение новых техник атак, инструментов и уязвимостей, не привязанных к конкретному проекту, обсудить их и поспорить - это надо поддерживать. Компания в свою очередь поддерживает профессиональный рост сотрудников через оплату обучения и сертификаций.
6. Внутренние лаборатории
Для обучения и обмена опытом мы регулярно используем внутренние стенды, где специалисты совместно моделируют реальные инфраструктуры и сценарии атак. Такие упражнения позволяют не только поддерживать практические навыки, но и передавать опыт младшим специалистам через совместное решение сложных кейсов.
7. Визуализация задач и синхронизации
Проектная работа при этом не останавливается: команда использует Kanban-доску для визуализации задач, проводит короткие ежедневные синхронизации и подводит итоги после завершения проектов. Для стажёров и начинающих специалистов я применяю персональный план развития, слежу, чтобы из месяца в месяц белый хакер двигался от джуна к миддлу и мог брать на себя больше задач и ответственности.
Руководителю важно не просто управлять задачами, а создавать среду, в которой эксперты по безопасности могут максимально раскрывать свои сильные стороны. Именно такой подход превращает отдельную группу специалистов в по-настоящему результативную команду Simplity.