OSINT: Что такое разведка на основе открытых источников и как она используется?

OSINT может использоваться кем угодно, как в хороших, так и в плохих целях — вот как защитники могут использовать его, чтобы опередить нападающих.

Индустрия кибербезопасности часто зацикливается на технологиях: новейших эксплойтах, хакерских инструментах и программном обеспечении для поиска угроз. На самом деле многое зависит от людей. Это люди, которые разрабатывают вредоносные программы, люди, которые нажимают красную кнопку для запуска атак, и, с другой стороны, люди, которым поручено защищаться от них. С этой целью OSINT или разведка с открытым исходным кодом является важным, но часто упускаемым из виду «человеческим» элементом кибербезопасности.

Суть в том, что все, что вы можете узнать в интернете о своей организации, могут узнать и злоумышленники. Сама по себе эта мысль должна стимулировать постоянные усилия OSINT по снижению киберрисков.

 

Как используется OSINT?

Термин OSINT впервые был использован за пределами индустрии кибербезопасности, имея в виду военные и разведывательные усилия по сбору стратегически важной, но общедоступной информации по вопросам национальной безопасности. В то время как послевоенные шпионские усилия были сосредоточены на различных способах получения информации (например, HUMINT, SIGINT), к 1980-м годам OSINT вернулся. С появлением интернета, социальных сетей и цифровых сервисов у участников OSINT появился огромный ресурс для сбора информации о каждой части ИТ-инфраструктуры организации, а также о ее сотрудниках.

Для руководителей по информационной безопасности основная цель — найти любую информацию, которая может представлять риск для организации, чтобы они могли снизить этот риск до того, как она будет использована злоумышленниками. Один из наиболее очевидных способов сделать это — проводить регулярные тесты на проникновение и упражнения Red Team, которые касаются OSINT, чтобы найти слабые места.

 

Как службы безопасности могут использовать OSINT

Для пентестеров и групп безопасности OSINT — это раскрытие общедоступной информации о внутренних активах, а также информации за пределами организации. Иногда конфиденциальная информация находится в метаданных, случайно опубликованных организацией. Полезная информация об ИТ-системах может включать:

  • Открытые порты и небезопасно подключенные устройства
  • Неустановленное программное обеспечение
  • Информация об активах, такая как версии программного обеспечения, имена устройств, сети и IP-адреса
  • Утечка информации, такой как проприетарный код, на Pastebin или GitHub

За пределами организации веб-сайты и особенно социальные сети могут быть кладезем информации, особенно о сотрудниках. Поставщики и партнеры также могут делиться некоторыми деталями вашей ИТ-среды, которые лучше держать в секрете. Кроме того, существует огромное количество неиндексированных веб-сайтов и файлов, известных под общим названием «глубокая сеть». Технически это все еще общедоступно и, следовательно, честная игра для OSINT.

 

Как злоумышленники используют OSINT

Конечно, у всего этого есть и обратная сторона. Если информация является общедоступной, любой может получить к ней доступ, включая злоумышленников.

Среди наиболее распространенных примеров:

  • Поиск в социальных сетях личной и профессиональной информации о сотрудниках. Это можно использовать для выбора целей целевого фишинга (т.е. тех, у кого могут быть привилегированные учетные записи). LinkedIn — отличный ресурс для такого рода OSINT. Однако другие социальные сети также могут раскрывать такие подробности, как даты рождения и имена детей и домашних животных, любые из которых могут быть использованы для подбора паролей.
  • Сканирование активов, открытых портов и неправильно настроенных хранилищ данных в облаке без исправлений стало относительно дешевым и простым благодаря мощности облачных вычислений. Если они знают, что искать, злоумышленники также могут искать на таких сайтах, как GitHub, учетные данные и другую утекшую информацию. Иногда пароли и ключи шифрования встроены в код, и именно так Uber был взломан через утечку на GitHub.

 

Законен ли OSINT?

OSINT — это поиск общедоступной информации, поэтому в этом отношении это абсолютно законно, по крайней мере, в большинстве западных стран. Там, где данные защищены паролем или каким-либо иным образом сделаны конфиденциальными, команды OSINT могут столкнуться с серьезными последствиями, если они начнут их искать. Сбор данных с сайтов социальных сетей также противоречит условиям использования большинства этих компаний. Команды пентестинга обычно стремятся определить, что разрешено, а что запрещено, прежде чем начать работу с клиентом.

 

Популярные инструменты OSINT

Для руководителей по информационной безопасности, желающих использовать OSINT в рамках своих усилий по управлению киберрисками, важно начать с четкой стратегии. Поймите, чего вы хотите получить от проектов — обнаружение слабых мест в сети и уязвимостей программного обеспечения или получение информации о том, где сотрудники слишком много делятся в социальных сетях? Затем составьте краткий список инструментов и методов, которые вы хотите использовать для сбора и обработки этих данных. Объемы задействованных данных потребуют здесь высокой степени автоматизации.

 

Некоторые распространенные инструменты включают в себя:

  • Shodan: очень популярный способ поиска устройств IoT, систем OT, открытых портов и ошибок.
  • Maltego: предназначен для выявления скрытых отношений между людьми, доменами, компаниями, владельцами документов и другими организациями и визуализации их с помощью интуитивно понятного пользовательского интерфейса.
  • Metagoofil: извлекает метаданные из общедоступных документов, чтобы предоставить пользователям полезную информацию об ИТ-системах (деревья каталогов, имена серверов и т. д.).
  • Google Dorking: не инструмент как таковой, а метод более продвинутого использования поисковых систем для поиска конкретной информации. Создавая конкретные запросы, люди могут получить доступ к серверам, веб-страницам и информации, которую администраторы в противном случае могли бы считать конфиденциальными. Это также известно как взлом Google.
  • Было бы упущением не выделить OSINT Framework и OSINT.Link, два обширных хранилища ресурсов, которые можно исследовать и использовать для сбора информации из общедоступных источников.

В заключение, какой бы путь вы ни выбрали, OSINT становится все более важной частью кибербезопасности. Хорошо продуманная стратегия может добавить еще одно измерение к вашим усилиям по управлению рисками.

 

Оригинал материала

19 июля, 2021

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
09.10.2024
«Необходимо внедрить архитектурный подход к производству ПО»
09.10.2024
Две недели до XI Форума ВБА-2024 «Вся банковская автоматизация»
09.10.2024
Легенды не врали: Роскомнадзор таки заблокировал Discord
09.10.2024
«Ты делаешь запрос, но делаешь его без уважения». «Нобелевку» по физике забрал «крёстный отец ИИ»
09.10.2024
BREAKING NEWS: ИИ-мошенники действуют под прикрытием ураганов
08.10.2024
Операторы связи начнут валидировать коммерческие спам-обзвоны
08.10.2024
YouTube не отдаёт свой контент потенциальным скрейперам
08.10.2024
ВТБ — о клиентском пути, «который изменит платёжный рынок страны»
08.10.2024
Консорциум исследователей ИИ расширяет состав участников

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных