#хакнутыефакты «Да мы маленькая компания, мы никому не нужны», - говорит тот, кто делает поставки в Газпром. Да-да, начнем с типичного примера. Такие компании сложно убедить, но всё же - какова реальная стоимость утечки данных для бизнеса, о чем можно подумать в рамках этого вопроса? Все сводится к тому, что нужно разговаривать с топ-менеджментом. Не со стороны CISO, и даже не с коллегами из ИТ/ИБ, а с точки зрения финансовых директоров. Пример: ❌ Вышла уязвимость и она у нас есть, могут взломать. ☑ Если нас взломают то мы понесем финансовые убытки "в размере" и репутационные потери. Например, в техническом отчете при компрометации доменной инфраструктуры active directory, для технарей пишем: «мы захватили домен такой-то, привилегии администратора домена мы получили таким-то способом» и скриншот выхлопа утилиты, где имеется учетка доменного админа. Для СЕО это вообще ни о чем не говорит. Просто набор каких-то символов в командной строке. Он может не понять куда смотреть, даже если 10000 стрелочек нарисуешь. Когда ты во внутренней инфраструктуре компрометируешь 1С, конфлюенс, корпоративную почту, что более для них примечательно. Для атакующих это кажется более минорной вещью. Если иметь привилегии администратора, а эти сервисы входят в доменную инфраструктуру, то компрометация произойдет постфактум для картинки в отчете. В будущем при обосновании репутационных, финансовых и прочих рисков, нужно показывать эти громкоговорящие скриншоты с замазанными паролями чьих-то пользователей, паспортами и документами. Чем больше простых и понятных тезисов доносишь, тем с большей долей вероятности СЕО задумается о том, что нужно внедрять какие-то процессы и проводить хотя бы 1 раз в год пентест. ⭐ Больше интересных фактов в выпуске "Эгида киберзащиты".