Никто не любит писать отчеты Pentest - так что мы превратили это в игру
leadership cybersecurity pentest-reports gamifying-cybersecurity gamifying-software-testing gamifying-productivity gamifying-report-writing gamifying-pentesting

Никто не любит писать отчеты Pentest - так что мы превратили это в игру

31 июля 2025 г.

Если вы из наступательного мира безопасности, вы можете знать, что самая скучная задача для этических хакеров - это отчет.

И это разочаровывает, когда вы думаете об этом - у вас может быть лучший хакер в мире в вашей команде, но 80% их работы во время Pentest остается невидимым для клиента. Остальные 20%, отчет, - это то, что составляет большую часть фактической доставки.

Конечно, вы могли бы сказать,«Флориан, есть также общение, отношения с клиентами, поддержку и т. Д.»Я согласен, но вот в чем дело: если клиент не понимает отчет, не любит его или не видит, что их качественные ожидания отражаются в нем ... большая часть вашей работы может даже не быть признан.

Это самая важная часть доставки.

Это показывает ваш опыт, как вы предлагаете смягчения, наметить следующие шаги и устанавливать приоритеты. Это дает клиенту наглядность, которую он пропал.

Так что, если самый важный документ также является тем, что ваша команда любит меньше всего ... возможно, стоит сделать процесс более приятным. В конце концов, вы бы создали прекрасную вазу, если бы не любили гончарную посуду? Наверное, нет.

Контекст

Прежде чем объяснить вам, как я действительно сделал весь этот процесс более увлекательным, вам, возможно, придется понять мою роль в процессе отчетности, поскольку это может отличаться от того, к чему вы привыкли.

Первоначально в нашей команде у нас часто была следующая ситуация: Пентестеры всегда откладывали написание отчета до конца миссии. В результате было часто много разочарования перед Днем доставки (например, в следующий понедельник).

Итак, мы решили попробовать новый подход: сделатьнемного каждый день, даже если было только несколько открытий. Новое правило было простым:

  • Пентестеры обновляютсообщать ежедневно
  • Менеджер это рассматривает этоежедневно

Как мы применили это? Одно слово:ДисциплинаПолем

У каждого из нас был фиксированный часовой слот в наших календарях, посвященных написанию или просмотру отчета.

Если вам любопытно узнать, как мы управляли нашими встречами, срочностью, побочными квестами и т. Д. При уважении этого расписания.

Хорошо не стесняйтесьдобраться до меняна LinkedIn & Let's Gr️ab a ☕

В нашем случае менеджер (роль, которую я играл), должен был рассмотреть качество документа, охоту на опечатки, неясные объяснения или описания, и даже оспаривать определенные выводы. Но что еще более важно, они должны были убедиться, что техническое сообщение было должным образом переведено на язык, который может понять аудитория уровня C (по крайней мере, для их заинтересованных частей).

ЭтотПервое изменениезаставил нас переключиться на это 👇

Уже лучше, верно? Вы ожидали увидеть счастливые лица вокруг? Нет, они инженеры, чего вы ожидали? Вы не можете просто сделать их счастливыми.

Давайте проявим творческий подход

АПервый трюкРаньше я зажигал немного положительных эмоций, пока они делали то, что им не нравилось, было, внимательно посмотрите на комментарий:

“I think you forgot a critical information here, please check this:”

Я бы оставил комментарий во время обзора, выступая довольно серьезно относиться к тому, что они могли пропустить или плохо сформулировать. Тогда я бросил странную ссылку Reddit, которая заставила их уйти - «о чем, о котором говорит этот парень?» А потом:

source: https://www.reddit.com/r/CybersecurityMemes/

Просто сбросил случайный мем из кустах

В открытом пространстве вы можете заметить того, кто просто упал в ловушку. Также это произошло с несколькими неожиданными преимуществами:

  1. Немного весело,
  2. Иногда тему обсуждения (хорошие дебаты на обеденное время),
  3. Со временем они фактически начали охотиться за моими пасхальными яйцами в обзорах, что также помогло мне подтвердить, что они читали мои комментарии ».

📝 Конечно, я не всегда сделал бы это так очевидно ... это заставило меня быть более креативным при создании ловушек.

Второй трюк - создание культуры, где ошибки осветляют настроение

Поскольку я также застрял, занимаясь не очень популярной частью-обзор- Я подумал, что могу также найти способы его осветлить. Время от времени мы сталкивались с веселыми опечатками:

  • «Приложение протекаетразумныйданные…"
  • «служитьответил медленно »
  • «Запрос домашнего животного» (не совсем так же, как получить 😅)

Если вы французский оратор, некоторые из них, вероятно, попали домой. Вместо придирания я бы бросил легкий комментарий или личное сообщение с шуткой. Ничего публичного, просто что -то тонкое, чтобы сказать: «Я видел это, и я смеюсьсты."

Это стало небольшим общим моментом веселья, и это заставило фазу обзора почувствовать себя немного более человечным.

⭐ Кстати, для менеджеров/лидеров, не забывайтезолотое правило: ХорошийОбратная связь вПубличныйВПлохойобратная связь вЧастный, поскольку предел может быть тонким здесь, перейдите к частному 👌).

Третьи трюки - делают отличные открытия, чувствуя себя великолепно

Следуя той же логике, что и хорошая обратная связь, я хотел привнести больше ценности их выводов и заставить их гордиться своей работой. Что -то, что не только вознаградит усилия, но и мотивирует их продолжать копаться за драгоценные камни и придавать все возможное.

Итак, я начал делать это: каждый раз, когда появлялось сильное открытие (особенно критические уязвимости), я праздновал его тремя способами:

  • Прямой комментарий в отчете 👍, только для них
  • Крик на нашем внутреннем канале 🔥, перед командой
  • Я также спрашиваю:«Можете ли вы провести меня через то, как вы это нашли? Что заставило вас пойти по этому пути?»

Это превратило небольшие победы в гордые моменты - и поощряло мышление любопытства и общего обучения.

Нам всем нравится говорить о том, как мы нашли что -то великое. Это приятно - это напоминает нам, что мы на самом деле хороши в том, что делаем. Это также нарушает рутину. Когда вы застряли в спине к спине Pentest, когда планирование заполнено в течение нескольких недель, и вы чувствуете себя как аппарат.

Бонус 🎯:Если вы проходите тестирование на проникновение для вашей компании, я имею в виду внутренне, у вас есть несколько команд, местоположение и т. Д. Я бы просто достигнет директора проекта, просящего его обратную связь, ему понравился наш способ общения? Означала ли презентация уязвимости его ожидания? Информация была достаточно ясной и т. Д.

Это простой способ получить отличный вклад для вашегоУроки извлечены-И это отправляет несколько заслуженных положительных вибраций обратно в вашу команду.

Со временем это стало тем, что мы назвали «Стена славы- Коллекция электронных писем и сообщений, восхваляющих нашу работу, от клиентов или внутренних команд.

В тяжелые дниКогда мораль опустился, мы прокручиваем эти ноты и вспоминали, где мы его раздавили. Напоминание, что мы сделали великие дела - и еще больше. 🚀

На этом этапе мы уже начали достигать этого 👇

Больше трюков

Поскольку мы уже достигнем критического размера для этой первой статьи, я думаю, я оставлю эти очки для следующего:

  • Как мы сократили время отчетности, удвоив его влияние?
  • Как мы создали привычки, которые поддерживают глубокий фокус - без микроуправления никого?
  • Как мы проектировали процессы, которые не рухнули, когда кто -то офлайн?

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE