Дослідження на основі відкритих джерел або OSINT є важливим, але часто недооціненим елементом кібербезпеки. Оскільки інформація, яку можна дізнатись про певну організацію в Інтернеті, доступна і для кіберзлочинців.
Вперше термін OSINT (Open-Source Intelligence) був використаний військовими та розвідувальними службами для позначення збору стратегічно важливої, але загальнодоступної інформації у питаннях національної безпеки. З появою Інтернету, соціальних медіа та цифрових сервісів з’явились широкі можливості для збору інформації про ІТ-інфраструктуру організації, а також її співробітників.
Оскільки OSINT передбачає пошук загальнодоступної інформації, що є цілком законною діяльністю, принаймні, у більшості країн. У випадку захисту даних паролем або будь-яким іншим способом, отримання доступу до них може бути порушенням.
Основна ціль ІТ-спеціаліста – знайти будь-яку інформацію, яка може становити ризик для організації та зменшити наслідки до того, як зловмисники скористаються цими даними у своїх цілях. Для цього необхідно робити регулярне тестування, щоб знайти слабкі місця.
Як спеціалісти з безпеки можуть використовувати OSINT
Для спеціалістів з безпеки метод використання OSINT допомагає знайти загальнодоступну інфомацію про внутрішню діяльність компанії, а також дані за її межами. Іноді конфіденційна інформація міститься в метаданих, які організація випадково опублікувала. Серед таких даних:
- відкриті порти та незахищені підключені пристрої;
- неоновлене програмне забезпечення;
- версії програмного забезпечення, назви пристроїв, мережі та IP-адреси;
- витік таких даних, як власний код на GitHub.
Крім цього, веб-сайти та соціальні мережі можуть бути джерелом інформації, особливо про співробітників. Постачальники та партнери можуть також надавати доступ до певних деталей вашого ІТ-середовища, які краще було б тримати в обмеженому доступі. Крім цього, існує велика кількість неіндексованих веб-сайтів та файлів, відомих під назвою «глибинна мережа», які залишаються технічно загальнодоступними.
Як зловмисники використовують OSINT
Звичайно, існує і зворотний бік. Оскільки інформація є загальнодоступною, то кожен може отримати до неї доступ, включно з кіберзлочинцями. Серед найпоширеніших прикладів:
- Пошук у соціальних мережах особистої інформації співробітників та даних щодо їх роботи, які можуть використовуватись для вибору цілей фішингових атак. LinkedIn добре підходить для дослідження на основі відкритих джерел. Хоча інші соціальні мережі також містять дати народження, імена дітей та домашніх тварин, які часто використовуються у паролях користувачів.
- Сканування невиправленого програмного забезпечення, відкритих портів та неправильно налаштованих хмарних сховищ стало порівняно дешевим та простим завдяки потужності хмарних обчислень. Зловмисники можуть також використовувати такі веб-сайти, як GitHub, для отримання облікових даних та іншої інформації, яка могла стати доступною у випадку витоку. Іноді паролі та ключі шифрування вбудовуються в код, саме так було скомпрометовано мережу компанії Uber через витік на GitHub.
Популярні інструменти для OSINT
Для спеціалістів з безпеки, які прагнуть використовувати OSINT як частину управління кіберризиками, важливо почати з чіткої стратегії. Спочатку необхідно з’ясувати, який результат ви хочете отримати – виявляти слабкі місця в мережі та уразливості програмного забезпечення чи дізнаватись, яку інформацію поширюють співробітники у соцмережах.
Потім потрібно скласти список інструментів та технік, які ви хочете використовувати для збору даних та управління ними. Обсяги задіяних даних вимагатимуть високого ступеня автоматизації. Серед поширених інструментів:
- Shodan для сканування пристроїв Інтернету речей, OT-систем, відкритих портів та помилок.
- Maltego для викриття прихованих зв’язків між користувачами, доменами, компаніями, власниками документів та іншими організаціями, а також візуалізації за допомогою простого інтерфейсу.
- Metagoofil для збору метаданих із загальнодоступних документів, щоб надати користувачам інформацію про ІТ-системи (дерева каталогів, імена серверів тощо).
- Google Dorking для пошуку певної інформації, зокрема шляхом створення конкретних запитів користувачі можуть отримати доступ до серверів, веб-сторінок та конфіденційних даних.
Крім цього, варто виділити два великих сховища – OSINTFramework та OSINT.Link, які можна використовувати для збору інформації із загальнодоступних джерел.
У будь-якому випадку OSINT стає все важливішою частиною кібербезпеки, а розробка правильної стратегії може покращити управління ризиками компанії.