Исследование на основе открытых источников или OSINT является важным, но часто недооцененным элементом кибербезопасности. Поскольку информация, которую можно узнать об определенной организации в Интернете, доступна и для киберпреступников.
Впервые термин OSINT (Open-Source Intelligence) был использован военными и разведывательными службами для обозначения сбора стратегически важной, но общедоступной информации в вопросах национальной безопасности. С появлением Интернета, социальных медиа и цифровых сервисов появились широкие возможности для сбора информации об ИТ-инфраструктуре организации, а также ее сотрудниках.
Поскольку OSINT подразумевает поиск общедоступной информации, что является вполне законной деятельностью, по крайней мере, в большинстве стран. В случае защиты данных паролем или любым другим способом, получение доступа к ним может быть нарушением.
Основная цель ИТ-специалиста – найти любую информацию, которая может представлять риск для организации и уменьшить последствия до того, как злоумышленники воспользуются этими данными в своих целях. Для этого необходимо делать регулярное тестирование, чтобы найти слабые места.
Как специалисты по безопасности могут использовать OSINT
Для специалистов по безопасности метод использования OSINT помогает найти общедоступную инфомацию о внутренней деятельности компании, а также данные за ее пределами. Иногда конфиденциальная информация содержится в метаданных, которые организация случайно опубликовала. Среди таких данных:
- открытые порты и незащищенные подключенные устройства;
- необновленное программное обеспечение;
- версии программного обеспечения, названия устройств, сети и IP-адреса;
- утечка таких данных, как собственный код на GitHub.
Кроме этого, веб-сайты и социальные сети могут быть источником информации, особенно о сотрудниках. Поставщики и партнеры могут также предоставлять доступ к определенным подробностям вашей ИТ-среды, которые лучше было бы держать в ограниченном доступе. Кроме этого, существует большое количество неиндексированных веб-сайтов и файлов, известных под названием «глубокая сеть», которые остаются технически общедоступными.
Как злоумышленники используют OSINT
Конечно, существует и обратная сторона. Поскольку информация является общедоступной, то каждый может получить к ней доступ, включая киберпреступников. Среди самых распространенных примеров:
- Поиск в социальных сетях личной информации сотрудников и данных об их работе, которые могут использоваться для выбора целей фишинговых атак. LinkedIn хорошо подходит для исследования на основе открытых источников. Хотя другие социальные сети также содержат даты рождения, имена детей и домашних животных, которые часто используются в паролях пользователей.
- Сканирование неисправленного программного обеспечения, открытых портов и неправильно настроенных облачных хранилищ стало сравнительно дешевым и простым благодаря мощности облачных вычислений. Злоумышленники могут также использовать такие сайты, как GitHub, для получения учетных данных и другой информации, которая могла стать доступной в случае утечки. Иногда пароли и ключи шифрования встраиваются в код, именно так было скомпрометировано сеть компании Uber из-за утечки на GitHub.
Популярные инструменты для OSINT
Для специалистов по безопасности, которые хотят использовать OSINT как часть управления киберрисками, важно начать с четкой стратегии. Сначала необходимо выяснить, какой результат вы хотите получить – выявлять слабые места в сети и уязвимости программного обеспечения или узнавать, какую информацию распространяют сотрудники в соцсетях.
Затем нужно составить список инструментов и техник, которые вы хотите использовать для сбора данных и управления ими. Объемы задействованных данных требуют высокой степени автоматизации. Среди распространенных инструментов:
- Shodan для сканирования устройств Интернета вещей, OT-систем, открытых портов и ошибок.
- Maltego для разоблачения скрытых связей между пользователями, доменами, компаниями, владельцами документов и другими организациями, а также визуализации с помощью простого интерфейса.
- Metagoofil для сбора метаданных из общедоступных документов, чтобы предоставить пользователям информацию об ИТ-системах (дерево каталогов, имена серверов).
- Google Dorking для поиска определенной информации, в частности, путем создания конкретных запросов пользователи могут получить доступ к серверам, веб-страницам и конфиденциальным данным.
Кроме этого, стоит выделить два больших хранилища – OSINTFramework и OSINT.Link, которые можно использовать для сбора информации из общедоступных источников.
В любом случае OSINT становится все более важной частью кибербезопасности, а разработка правильной стратегии может улучшить управление рисками компании.