OSINT может использоваться кем угодно, как в хороших, так и в плохих целях — вот как защитники могут использовать его, чтобы опередить нападающих.
Индустрия кибербезопасности часто зацикливается на технологиях: новейших эксплойтах, хакерских инструментах и программном обеспечении для поиска угроз. На самом деле многое зависит от людей. Это люди, которые разрабатывают вредоносные программы, люди, которые нажимают красную кнопку для запуска атак, и, с другой стороны, люди, которым поручено защищаться от них. С этой целью OSINT или разведка с открытым исходным кодом является важным, но часто упускаемым из виду «человеческим» элементом кибербезопасности.
Суть в том, что все, что вы можете узнать в интернете о своей организации, могут узнать и злоумышленники. Сама по себе эта мысль должна стимулировать постоянные усилия OSINT по снижению киберрисков.
Как используется OSINT?
Термин OSINT впервые был использован за пределами индустрии кибербезопасности, имея в виду военные и разведывательные усилия по сбору стратегически важной, но общедоступной информации по вопросам национальной безопасности. В то время как послевоенные шпионские усилия были сосредоточены на различных способах получения информации (например, HUMINT, SIGINT), к 1980-м годам OSINT вернулся. С появлением интернета, социальных сетей и цифровых сервисов у участников OSINT появился огромный ресурс для сбора информации о каждой части ИТ-инфраструктуры организации, а также о ее сотрудниках.
Для руководителей по информационной безопасности основная цель — найти любую информацию, которая может представлять риск для организации, чтобы они могли снизить этот риск до того, как она будет использована злоумышленниками. Один из наиболее очевидных способов сделать это — проводить регулярные тесты на проникновение и упражнения Red Team, которые касаются OSINT, чтобы найти слабые места.
Как службы безопасности могут использовать OSINT
Для пентестеров и групп безопасности OSINT — это раскрытие общедоступной информации о внутренних активах, а также информации за пределами организации. Иногда конфиденциальная информация находится в метаданных, случайно опубликованных организацией. Полезная информация об ИТ-системах может включать:
- Открытые порты и небезопасно подключенные устройства
- Неустановленное программное обеспечение
- Информация об активах, такая как версии программного обеспечения, имена устройств, сети и IP-адреса
- Утечка информации, такой как проприетарный код, на Pastebin или GitHub
За пределами организации веб-сайты и особенно социальные сети могут быть кладезем информации, особенно о сотрудниках. Поставщики и партнеры также могут делиться некоторыми деталями вашей ИТ-среды, которые лучше держать в секрете. Кроме того, существует огромное количество неиндексированных веб-сайтов и файлов, известных под общим названием «глубокая сеть». Технически это все еще общедоступно и, следовательно, честная игра для OSINT.
Как злоумышленники используют OSINT
Конечно, у всего этого есть и обратная сторона. Если информация является общедоступной, любой может получить к ней доступ, включая злоумышленников.
Среди наиболее распространенных примеров:
- Поиск в социальных сетях личной и профессиональной информации о сотрудниках. Это можно использовать для выбора целей целевого фишинга (т.е. тех, у кого могут быть привилегированные учетные записи). LinkedIn — отличный ресурс для такого рода OSINT. Однако другие социальные сети также могут раскрывать такие подробности, как даты рождения и имена детей и домашних животных, любые из которых могут быть использованы для подбора паролей.
- Сканирование активов, открытых портов и неправильно настроенных хранилищ данных в облаке без исправлений стало относительно дешевым и простым благодаря мощности облачных вычислений. Если они знают, что искать, злоумышленники также могут искать на таких сайтах, как GitHub, учетные данные и другую утекшую информацию. Иногда пароли и ключи шифрования встроены в код, и именно так Uber был взломан через утечку на GitHub.
Законен ли OSINT?
OSINT — это поиск общедоступной информации, поэтому в этом отношении это абсолютно законно, по крайней мере, в большинстве западных стран. Там, где данные защищены паролем или каким-либо иным образом сделаны конфиденциальными, команды OSINT могут столкнуться с серьезными последствиями, если они начнут их искать. Сбор данных с сайтов социальных сетей также противоречит условиям использования большинства этих компаний. Команды пентестинга обычно стремятся определить, что разрешено, а что запрещено, прежде чем начать работу с клиентом.
Популярные инструменты OSINT
Для руководителей по информационной безопасности, желающих использовать OSINT в рамках своих усилий по управлению киберрисками, важно начать с четкой стратегии. Поймите, чего вы хотите получить от проектов — обнаружение слабых мест в сети и уязвимостей программного обеспечения или получение информации о том, где сотрудники слишком много делятся в социальных сетях? Затем составьте краткий список инструментов и методов, которые вы хотите использовать для сбора и обработки этих данных. Объемы задействованных данных потребуют здесь высокой степени автоматизации.
Некоторые распространенные инструменты включают в себя:
- Shodan: очень популярный способ поиска устройств IoT, систем OT, открытых портов и ошибок.
- Maltego: предназначен для выявления скрытых отношений между людьми, доменами, компаниями, владельцами документов и другими организациями и визуализации их с помощью интуитивно понятного пользовательского интерфейса.
- Metagoofil: извлекает метаданные из общедоступных документов, чтобы предоставить пользователям полезную информацию об ИТ-системах (деревья каталогов, имена серверов и т. д.).
- Google Dorking: не инструмент как таковой, а метод более продвинутого использования поисковых систем для поиска конкретной информации. Создавая конкретные запросы, люди могут получить доступ к серверам, веб-страницам и информации, которую администраторы в противном случае могли бы считать конфиденциальными. Это также известно как взлом Google.
- Было бы упущением не выделить OSINT Framework и OSINT.Link, два обширных хранилища ресурсов, которые можно исследовать и использовать для сбора информации из общедоступных источников.
В заключение, какой бы путь вы ни выбрали, OSINT становится все более важной частью кибербезопасности. Хорошо продуманная стратегия может добавить еще одно измерение к вашим усилиям по управлению рисками.