Как и зачем использовать OSINT для защиты вашей компании

17 августа 2022 г. 11:00
 1084

Как использовать разведданные из открытых источников для защиты своих пользователей?

Вы любите фитнес-приложения для социальных сетей, такие как Strava? Вы не одиноки! Даже военнослужащие любят отслеживать и делиться своими пробежками. Это звучит замечательно, за исключением того, что все данные об активности и GPS, которые собирает и публикует приложение Strava, неизменно раскрывают точное местоположение военных баз.

Возможно, вы удивитесь, увидев, какая информация сегодня находится в открытом доступе в Интернете. Но это не должно удивлять, учитывая, как мы живем в эпоху чрезмерного обмена информацией. Мы сообщаем в Twitter и отправляем по электронной почте автоответы о своих планах на отпуск, по сути, приглашая грабителей. Специалисты по безопасности называют это OSINT (open source intelligence), и злоумышленники постоянно используют его для выявления и использования слабостей процессов, технологий и самих людей. Данные OSINT обычно легко собрать, а сам процесс незаметен для цели. Именно поэтому военная разведка использует его наряду с другими инструментами - такими как HUMINT, ELINT и SATINT.

Хорошая новость? Вы можете использовать данную технику для защиты своих пользователей! Но сначала вам нужно понять, как злоумышленники используют разведку по открытым источникам, чтобы в достаточной степени оценить масштаб вашей поверхности атаки и соответствующим образом укрепить вашу защиту.

OSINT - это вековая концепция. Традиционно информация из открытых источников собиралась из телепрограмм, радио и газет. Сегодня такая информация существует по всему Интернету, включая:

  • Социальные и профессиональные сети, такие как Facebook, Instagram и LinkedIn.
  • Публичные профили в приложениях для знакомств.
  • Интерактивные карты.
  • Медицинские и фитнес-трекеры.
  • Специальные OSINT-инструменты, такие как Censys и Shodan.

 

Вся эта общедоступная информация помогает людям делиться приключениями с друзьями, находить малоизвестные места, следить за приемом лекарств, находить работу мечты и даже вторую половинку. Но есть и другая сторона. Незаметно для потенциальных жертв, эта информация так же удобно доступна мошенникам и киберпреступникам.

Например, то же приложение ADS-B Exchange, которое вы используете для отслеживания полетов любимого человека в режиме реального времени, может быть использовано злоумышленниками для определения местонахождения своих целей и разработки криминальных планов.

 

Различные области применения OSINT.

Информация из открытых источников доступна не только тем, для кого она предназначена. Любой может получить к ней доступ и использовать ее, включая правительства и правоохранительные органы. Из-за дешевизны и легкодоступности разведывательные службы целых государств используют OSINT, потому что это отличный способ получить качественные данные, если все сделано правильно. А поскольку вся информация находится в свободном доступе - очень трудно приписать доступ к ней и ее использование какому-то одному субъекту.

Экстремистские организации и террористы могут использовать ту же информацию, чтобы собрать как можно больше данных о своих целях. Киберпреступники также используют OSINT для создания высокотаргетированных фишинговых атак и социальной инженерии.

Предприятия используют информацию из открытых источников для анализа конкурентов, прогнозирования рыночных тенденций и выявления новых возможностей. Даже частные лица в какой-то момент и по разным причинам используют OSINT - будь то поиск в Google старого друга или любимой знаменитости.

 

Как используются многие OSINT-техники.

Переход на удаленную работу был неизбежен, но процесс пришлось ускорить, когда ударил COVID-19. Поиск уязвимостей и данных против людей, работающих дома, вне традиционного периметра безопасности организаций, иногда сводится к быстрому поиску в Интернете.

 

Сайты социальных сетей: Киберпреступники могут собирать такие данные, как личные интересы, прошлые достижения, семейные подробности, а также текущее и даже будущее местонахождение сотрудников и руководителей целевых организаций. Впоследствии они могут использовать эти данные для создания фишинговых сообщений, звонков и электронных писем.

 

Google: Злоумышлденники могут найти в Google такую информацию, как пароли по умолчанию для определенных марок и моделей IT-оборудования и IoT-устройств, таких как маршрутизаторы, камеры безопасности и домашние термостаты.

 

GitHub: Несколько поисковых запросов по GitHub могут выявить учетные данные, мастер-ключи, ключи шифрования и маркеры аутентификации для приложений, сервисов и облачных ресурсов в общем открытом коде. Печально известный взлом Capital One является ярким примером такой атаки.

 

Google-хакинг: Эта техника OSINT, также известная как «Google-дорки», позволяет злоумышленникам использовать передовые методы поиска в Google для поиска уязвимостей в приложениях, конкретной информации о людях, файлов, содержащих учетные данные пользователей, и многого другого.

 

Shodan и Censys: Shodan и Censys - это поисковые платформы для подключенных к Интернету устройств и промышленных систем управления. Поисковые запросы могут быть уточнены для поиска конкретных устройств с известными уязвимостями, доступных баз данных эластичного поиска и т.д.

 

Применение OSINT в практиках кибербезопасности.

Предприятиям, которые уже используют OSINT для выявления возможностей и изучения конкурентов, необходимо расширить применение разведки для обеспечения кибербезопасности.

OSINT Framework, набор инструментов, является хорошей отправной точкой для безопасника, чтобы использовать возможности OSINT. Он помогает пентестерам и исследователям безопасности обнаруживать и собирать свободно доступные и потенциально пригодные для использования данные.

Такие инструменты, как Censys и Shodan, в первую очередь предназначены для пентестов. Они позволяют предприятиям выявлять и защищать свои подключенные к Интернету активы.

Чрезмерный обмен личными данными создает проблемы как для отдельных людей, так и для организаций, в которых они работают. Предприятия должны обучать сотрудников безопасному и ответственному использованию социальных сетей.

Обучение сотрудников по вопросам кибербезопасности должно проводиться как минимум раз в полгода. Тестовые кибератаки и симуляции фишинга должны быть частью этих учебных семинаров.

 

Источник: https://www.darkreading.com

Системы Информационной Безопасности