Sign in Subscribe
Безопасность

OSINT. Что такое разведка из открытых источников и как ее использовать?

OSINT. Что такое разведка из открытых источников и как ее использовать?
Photo by Marten Newhall / Unsplash

OSINT (Open Source Intelligence) может использоваться кем угодно, как в хороших, так и в плохих целях — вот как защитники могут использовать его, чтобы опередить нападающих

Индустрия кибербезопасности часто одержима технологиями: последними эксплойтами, хакерскими инструментами и программным обеспечением для поиска угроз. На самом деле многое зависит от людей. Это люди, которые разрабатывают вредоносные программы, люди, которые нажимают красную кнопку, чтобы начать атаки, и, с другой стороны, люди, которым поручено защищаться от них. В связи с этим OSINT, или разведка из открытых источников, является важным, но часто упускаемым из виду «человеческим» элементом кибербезопасности.

Суть в том, что все, что вы можете узнать в Интернете о своей организации, могут узнать и злоумышленники. Одна только эта мысль должна стимулировать постоянные усилия OSINT по снижению кибер-рисков.

Как используется OSINT?

Термин OSINT был впервые использован за пределами индустрии кибербезопасности, имея в виду усилия вооруженных сил и разведки по сбору стратегически важной, но общедоступной информации по вопросам национальной безопасности. В то время как послевоенные шпионские усилия были сосредоточены на различных способах получения информации (например, HUMINT, SIGINT), к 1980-м годам OSINT вернулся. С появлением Интернета, социальных сетей и цифровых сервисов у участников OSINT появился огромный ресурс для сбора информации о каждой части ИТ-инфраструктуры организации, а также о ее сотрудниках.

Основная цель директоров по информационной безопасности — найти любую информацию, которая может представлять риск для организации, чтобы они могли снизить этот риск до того, как он будет использован злоумышленниками. Один из самых очевидных способов сделать это — проводить регулярные тесты на проникновение и упражнения Red Team, которые используют OSINT для поиска слабых мест.

Вот как OSINT могут использовать злоумышленники и защитники:

Как отделы безопасности могут использовать OSINT

Для пен-тестеров и команд безопасности, OSINT предназначен для раскрытия общедоступной информации о внутренних активах, а также информации за пределами организации. Иногда конфиденциальная информация обнаруживается в метаданных, случайно опубликованных организацией. Полезная информация об ИТ-системах может включать:

  • Открытые порты и небезопасно подключенные устройства
  • Неисправленное программное обеспечение
  • Информация об активах, такая как версии программного обеспечения, имена устройств, сети и IP-адреса.
  • Утечка информации, например проприетарный код на Pastebin или GitHub

За пределами организации, веб-сайты и особенно социальные сети могут быть источником информации, особенно о сотрудниках. Поставщики и партнеры также могут раскрывать некоторые сведения о вашей ИТ-среде, которые лучше держать в секрете. Кроме того, есть огромное количество неиндексированных веб-сайтов и файлов, известных под общим названием «глубокая сеть»(deep web). Технически это все еще общедоступно и, следовательно, честная игра для OSINT.

Как злоумышленники используют OSINT

Конечно, у всего этого есть обратная сторона. Если информация находится в открытом доступе, любой может получить к ней доступ, включая злоумышленников.

Среди наиболее распространенных примеров:

  • Поиск в социальных сетях личной и профессиональной информации о сотрудниках. Это можно использовать для выбора целей целевого фишинга (то есть тех, у кого могут быть привилегированные учетные записи). LinkedIn — отличный ресурс для такого рода OSINT. Однако другие социальные сайты также могут раскрывать такие детали, как даты рождения, имена детей и домашних животных, которые можно использовать для подбора паролей.    
  • Поиск неисправленных активов, открытых портов и неправильно настроенных облачных хранилищ данных стал относительно дешевым и простым благодаря мощности облачных вычислений. Злоумышленники, зная, что искать, могут также искать на таких сайтах, как GitHub, учетные данные и другую утечку информации. Иногда пароли и ключи шифрования встроены в код, что и привело к взлому Uber через утечку на GitHub.

Законен ли OSINT?

Целью OSINT является поиск общедоступной информации, поэтому в этом отношении он абсолютно законен, по крайней мере, в большинстве западных стран. Там, где данные защищены паролем или каким-либо иным образом сделаны конфиденциальными, могут быть последствия для групп OSINT, если они начнут их искать. Сбор данных с сайтов социальных сетей также противоречит условиям обслуживания большинства этих компаний. Команды пен-тестеров обычно стремятся определить, что разрешено, а что запрещено, прежде чем начинать работу с клиентом.

Популярные инструменты OSINT

Директорам по информационной безопасности, которые хотят использовать OSINT в рамках своих стараний по управлению киберрисками, важно начать с четкой стратегии. Поймите, что вы хотите получить от проектов — выявить слабые места в сети и уязвимости программного обеспечения или узнать, где сотрудники делятся информацией в социальных сетях? Затем перечислите инструменты и методы, которые вы хотите использовать для сбора и управления этими данными. Объемы задействованных данных потребуют здесь высокой степени автоматизации.

Популярные инструменты включают в себя:

Shodan: очень популярный поисковик устройств IoT, систем OT, открытых портов и ошибок. В целом самый популярный поисковик подключённых устройств к сети.

Maltego: предназначен для выявления скрытых отношений между людьми, доменами, компаниями, владельцами документов и другими объектами и визуализации их с помощью интуитивно понятного пользовательского интерфейса.

Metagoofil: извлекает метаданные из общедоступных документов, чтобы предоставить пользователям полезную информацию об ИТ-системах (древо каталогов, имена серверов и т. д.).

Google Dorking: не инструмент как таковой, а метод использования поисковых систем более продвинутым способом для поиска конкретной информации. Создавая определенные запросы, люди могут получить доступ к серверам, веб-страницам и информации, которые в противном случае администраторы могут считать конфиденциальными. Это также называют "взломом Google".

Было бы упущением не выделить OSINT Framework и OSINT.Link, два обширных хранилища ресурсов, которые можно исследовать и использовать для сбора информации из общедоступных источников.

В заключении, каким бы путем вы ни пошли, OSINT становится все более важной частью кибербезопасности. Хорошо продуманная стратегия может добавить еще одно измерение к вашим усилиям по управлению рисками.

Перевод

Read next

Как сохранить вашу криптовалюту в безопасности

Как сохранить вашу криптовалюту в безопасности

«Атака газовым ключом за 5 долларов — это когда кто-то узнает, что у вас много криптовалюты, и физически атакует вас или угрожает вам и принуждает поделиться вашим закрытым ключом». «Когда меня похитила мафия, у меня был выбор: заплатить выкуп фиатными деньгами или биткойнами. Я не раздумывая выбрал последнее. Если бы я
eddqd
2FA: удвойте свою безопасность

2FA: удвойте свою безопасность

Второй фактор аутентификации может доставить небольшие неудобства, но он значительно повысит безопасность. Поскольку последние годы были полны нарушений безопасности, пришло время оценить, как мы защищаем наше присутствие в Интернете. Обычный способ защитить большинство ваших цифровых учетных записей — использовать пароль, в этом нет никаких сомнений. Проблема в том, что вам нужно
eddqd
Почему ExpressVPN и ProtonVPN не стоит использовать? Какой VPN выбрать в 2022 году

Почему ExpressVPN и ProtonVPN не стоит использовать? Какой VPN выбрать в 2022 году

Так случается что приходится использовать VPN хотим ли мы этого или нет, на некоторые обстоятельства повлиять очень сложно. Для обхода блокировок в принципе можно использовать любой популярный VPN сервис (посмотреть на котиков в инстаграмме), но если вы всё же хотите больше безопасности то выбор становится не очень большим. В целом
eddqd

Comments ()