— Как бы вы описали понятие OSINT, о котором эксперты ИБ так часто говорят в последнее время? Какие цели преследуют лица, использующие OSINT?
— Концепция OSINT (Open Source Intelligence) в последние годы стала занимать важное место в сфере информационной безопасности. Разведка по открытым источникам, то есть сбор и анализ информации, полученной из разных общедоступных каналов, при определённых обстоятельствах может стать одним из опасных инструментов в руках киберпреступников.
На мой взгляд, следует разделять OSINT, связанный с физическими лицами и с юридическими, поскольку цели сбора информации и её источники в двух этих случаях существенно отличаются. OSINT вокруг юридических лиц очень часто используется злоумышленниками как подготовительный этап перед атакой на организацию.
Для иллюстрации прибегнем к матрице MITRE ATT&CK — это матрица тактик и техник кибератак, которая может быть полезна для оценки угроз и разработки стратегии защиты информационной системы. Разведка по открытым источникам входит в самую первую тактику, позволяя злоумышленникам получить большой набор сведений. Затем они анализируется злоумышленником для того, чтобы найти слабое звено для организации эффективной атаки на избранную цель.
Например, злоумышленники после сбора необходимой информации могут приехать по адресу компании и подключиться к корпоративной Wi-Fi-сети, доступной без пароля, и таким образом попасть в периметр организации. На моей памяти было несколько таких атак на коммерческие организации в России, и они были вполне успешны. Информация об используемых корпоративных сервисах и их уязвимостях, также может дать злоумышленникам доступ в организацию.
— Каковы особенности атак злоумышленников в отношении физических лиц? В каких случаях они могут прибегать к более технически продвинутым атакам с использованием шпионских программ?
— OSINT вокруг физических лиц имеет отношение к личной жизни. Правда, он может быть продолжением OSINT вокруг организации. Злоумышленники могут провести исследование доступной публичной информации о каком-либо сотруднике, чтобы потом использовать её для организации социотехнической атаки. Например, с помощью фейкового аккаунта «коллеги» можно злоупотребить доверием сотрудника и заставить его выполнить желаемые действия. В целом OSINT, связанный с физическим лицом, обычно имеет своей целью шантаж или мошенничество.
Однако бывает и так, что физическое или юридическое лицо атакуют не целенаправленно. Допустим, сделали массовую фишинговую рассылку с «вредоносом». А потом, оценив чувствительный характер полученной информации, злоумышленники решили ей воспользоваться. То есть конкретный человек или организация изначально не были целью, но стали ей по мере развития атаки.
Для лучшего понимания приведу несколько примеров социотехнической атаки. Злоумышленники использовали методику OSINT, чтобы выяснить, кто является генеральным директором фирмы, и собрать о нем информацию: фамилия, имя, отчество, фото. Затем создали фейковый аккаунт и начали писать от его имени. Другой пример: имея электронную почту главного бухгалтера и проанализировав публичную бухгалтерскую информацию об организации, которая, например, доступна на портале бухгалтерской (финансовой) отчетности (БФО), злоумышленники пишут ему письмо от лица налоговой службы и просят открыть вложение, которое содержит вредоносный код.
OSINT привлекает злоумышленников своей простотой. Зачем использовать специальные программы, если информация есть в открытом доступе и можно идти по пути наименьшего сопротивления? Кроме того, в большинстве случаев публично доступной информации вполне достаточно для начала злонамеренных действий.
— Как может повлиять на OSINT ужесточение законодательства в области защиты и нераспространения персональных данных? Позволят ли эти меры поставить барьер перед неправомерным использованием конфиденциальных данных? Следует ли идти по пути ужесточения наказания должностных лиц, ответственных за утечки данных, или сделать бОльший акцент на обучении сотрудников?
— Решения государства в сфере законодательного регулирования, связанные с повышением ответственности организаций и должностных лиц, усилением штрафных санкций за утечку персональных данных, должны дать свой эффект. При этом не следует прибегать к ограничению доступа к информации. Я считаю это плохим подходом. В идеальном мире надо повышать осведомленность пользователей, сотрудников, разработчиков, чтобы, даже если произошла какая-то утечка информации, она не привела к негативным последствиям. Это первая мера противодействия.
Вторая мера, связанная с законодательным регулированием, более уместна в тех случаях, когда персональные данные получены незаконным путем и их появление в открытых источниках в принципе не было предусмотрено. Вот тогда должна быть ответственность, которая помогает такие ситуации устранить или предотвратить.
Например, в ноябре 2024 года вышли новые требования законодательства в области обработки персональных данных, которые очень сильно помогли поставить под контроль распространение информации. Например, в случае с Telegram-ботом «Глаз Бога», который выступал в роли агрегатора утечек персональных данных, поправки в законодательстве ограничили эту деятельность. Теперь нельзя свободно распространять информацию, содержащую персональные данные, если она более не доступна в публичном пространстве. Думаю, было бы неплохо, если бы аналогичные меры были применены к сервисам «пробивов». Будем надеяться, что и до них дойдет черёд.
— Есть ли на российском рынке информационной безопасности современные продукты и решения, помогающие в вопросах профилактики утечек данных и их использования в преступных целях? Какие решения может предложить клиентам ваша компания?
— Есть решения, которые призваны бороться с утечками — это продукты класса DLP (Data Loss/Leak Prevention). Однако продукты класса NGFW, SIEM, WAF также могут дополнить и усилить комплекс технических средств и сервисов, применяемых для защиты от утечек. Например, они позволяют распознать вредоносную активность внутри сети, выявить событие информационной безопасности и, возможно, злоумышленников внутри организации, быстро локализовать обнаруженную проблему, устранить её и тем самым не допустить утечку.
Отдельное большое направление в ИБ — это обучение персонала и администраторов. Это могут быть учебные курсы, связанные с повышением осведомленности сотрудников, где специалисты рассказывают, что такое фишинг, как отличить легальное письмо от нелегального, подлинный аккаунт от фиктивного, и что делать в этой ситуации. Мы нацелены на осуществление целого комплекса мер, обеспечивающих ИБ.
Если вы осведомлены, это повышает общий уровень ИБ. И речь идёт обо всех — и технических специалистах, и разработчиках, и бухгалтерии, и обычных пользователях, и руководителях, и архитекторах, которые проектируют какие-то системы. Всё это положительно повлияет на общий уровень защищенности.
— Какие дополнительные меры контроля следует принимать компаниям, с тем чтобы снизить потенциальный ущерб от атаки с использованием OSINT и социальной инженерии? В каком направлении следует двигаться для решения проблем, связанных с таким ущербом?
— Какие бы меры регулирования мы ни вводили, какую бы информацию ни пытались удалить из публичных источников, конечные действия все равно зависят от пользователя. Поэтому очень хотелось бы, чтобы повышение осведомленности людей помогало избегать инцидентов даже в случае утечек данных, будь то личных, или корпоративных.
Следует свыкнуться с мыслью о том, что в целом мы живем в довольно уязвимом мире с точки зрения данных, циркулирующих вокруг нас. Поэтому, наверное, нам всем стоит быть в определённой степени психологически готовыми к тому, что данные о нас в принципе могут быть раскрыты и известны окружающим. Если мы примем это как данность, то, пожалуй, станем более защищенными.
Вопросы задавал Усам Оздемиров
.jpg)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.png)