OSINT. Что такое разведка из открытых источников и как ее использовать?
OSINT (Open Source Intelligence) может использоваться кем угодно, как в хороших, так и в плохих целях — вот как защитники могут использовать его, чтобы опередить нападающих
Индустрия кибербезопасности часто одержима технологиями: последними эксплойтами, хакерскими инструментами и программным обеспечением для поиска угроз. На самом деле многое зависит от людей. Это люди, которые разрабатывают вредоносные программы, люди, которые нажимают красную кнопку, чтобы начать атаки, и, с другой стороны, люди, которым поручено защищаться от них. В связи с этим OSINT, или разведка из открытых источников, является важным, но часто упускаемым из виду «человеческим» элементом кибербезопасности.
Суть в том, что все, что вы можете узнать в Интернете о своей организации, могут узнать и злоумышленники. Одна только эта мысль должна стимулировать постоянные усилия OSINT по снижению кибер-рисков.
Как используется OSINT?
Термин OSINT был впервые использован за пределами индустрии кибербезопасности, имея в виду усилия вооруженных сил и разведки по сбору стратегически важной, но общедоступной информации по вопросам национальной безопасности. В то время как послевоенные шпионские усилия были сосредоточены на различных способах получения информации (например, HUMINT, SIGINT), к 1980-м годам OSINT вернулся. С появлением Интернета, социальных сетей и цифровых сервисов у участников OSINT появился огромный ресурс для сбора информации о каждой части ИТ-инфраструктуры организации, а также о ее сотрудниках.
Основная цель директоров по информационной безопасности — найти любую информацию, которая может представлять риск для организации, чтобы они могли снизить этот риск до того, как он будет использован злоумышленниками. Один из самых очевидных способов сделать это — проводить регулярные тесты на проникновение и упражнения Red Team, которые используют OSINT для поиска слабых мест.
Вот как OSINT могут использовать злоумышленники и защитники:
Как отделы безопасности могут использовать OSINT
Для пен-тестеров и команд безопасности, OSINT предназначен для раскрытия общедоступной информации о внутренних активах, а также информации за пределами организации. Иногда конфиденциальная информация обнаруживается в метаданных, случайно опубликованных организацией. Полезная информация об ИТ-системах может включать:
- Открытые порты и небезопасно подключенные устройства
- Неисправленное программное обеспечение
- Информация об активах, такая как версии программного обеспечения, имена устройств, сети и IP-адреса.
- Утечка информации, например проприетарный код на Pastebin или GitHub
За пределами организации, веб-сайты и особенно социальные сети могут быть источником информации, особенно о сотрудниках. Поставщики и партнеры также могут раскрывать некоторые сведения о вашей ИТ-среде, которые лучше держать в секрете. Кроме того, есть огромное количество неиндексированных веб-сайтов и файлов, известных под общим названием «глубокая сеть»(deep web). Технически это все еще общедоступно и, следовательно, честная игра для OSINT.
Как злоумышленники используют OSINT
Конечно, у всего этого есть обратная сторона. Если информация находится в открытом доступе, любой может получить к ней доступ, включая злоумышленников.
Среди наиболее распространенных примеров:
- Поиск в социальных сетях личной и профессиональной информации о сотрудниках. Это можно использовать для выбора целей целевого фишинга (то есть тех, у кого могут быть привилегированные учетные записи). LinkedIn — отличный ресурс для такого рода OSINT. Однако другие социальные сайты также могут раскрывать такие детали, как даты рождения, имена детей и домашних животных, которые можно использовать для подбора паролей.
- Поиск неисправленных активов, открытых портов и неправильно настроенных облачных хранилищ данных стал относительно дешевым и простым благодаря мощности облачных вычислений. Злоумышленники, зная, что искать, могут также искать на таких сайтах, как GitHub, учетные данные и другую утечку информации. Иногда пароли и ключи шифрования встроены в код, что и привело к взлому Uber через утечку на GitHub.
Законен ли OSINT?
Целью OSINT является поиск общедоступной информации, поэтому в этом отношении он абсолютно законен, по крайней мере, в большинстве западных стран. Там, где данные защищены паролем или каким-либо иным образом сделаны конфиденциальными, могут быть последствия для групп OSINT, если они начнут их искать. Сбор данных с сайтов социальных сетей также противоречит условиям обслуживания большинства этих компаний. Команды пен-тестеров обычно стремятся определить, что разрешено, а что запрещено, прежде чем начинать работу с клиентом.
Популярные инструменты OSINT
Директорам по информационной безопасности, которые хотят использовать OSINT в рамках своих стараний по управлению киберрисками, важно начать с четкой стратегии. Поймите, что вы хотите получить от проектов — выявить слабые места в сети и уязвимости программного обеспечения или узнать, где сотрудники делятся информацией в социальных сетях? Затем перечислите инструменты и методы, которые вы хотите использовать для сбора и управления этими данными. Объемы задействованных данных потребуют здесь высокой степени автоматизации.
Популярные инструменты включают в себя:
Shodan: очень популярный поисковик устройств IoT, систем OT, открытых портов и ошибок. В целом самый популярный поисковик подключённых устройств к сети.
Maltego: предназначен для выявления скрытых отношений между людьми, доменами, компаниями, владельцами документов и другими объектами и визуализации их с помощью интуитивно понятного пользовательского интерфейса.
Metagoofil: извлекает метаданные из общедоступных документов, чтобы предоставить пользователям полезную информацию об ИТ-системах (древо каталогов, имена серверов и т. д.).
Google Dorking: не инструмент как таковой, а метод использования поисковых систем более продвинутым способом для поиска конкретной информации. Создавая определенные запросы, люди могут получить доступ к серверам, веб-страницам и информации, которые в противном случае администраторы могут считать конфиденциальными. Это также называют "взломом Google".
Было бы упущением не выделить OSINT Framework и OSINT.Link, два обширных хранилища ресурсов, которые можно исследовать и использовать для сбора информации из общедоступных источников.
В заключении, каким бы путем вы ни пошли, OSINT становится все более важной частью кибербезопасности. Хорошо продуманная стратегия может добавить еще одно измерение к вашим усилиям по управлению рисками.
