Одним из многих опасных инструментов в арсенале киберпреступников является OSINT. В этом посте мы объясним, что это такое, какую опасность оно представляет и как защитить вашу компанию от OSINT.
Что такое OSINT?
OSINT расшифровывается как разведка с открытым исходным кодом. То есть сбор и анализ данных, полученных из общедоступных информационных каналов. Такими источниками могут быть в основном все, что угодно: газеты и журналы, телевидение и радио, данные, опубликованные официальными организациями, научные исследования, отчеты конференций и т.д.
В настоящее время, конечно, такая разведка в основном основана на информации, полученной из Интернета. За последние 10–15 лет в качестве инструментов сбора OSINT особенно ценными стали онлайн-платформы публичных коммуникаций: чаты, форумы, социальные сети, мессенджеры.
Круг людей, использующих OSINT, достаточно разнообразен: журналисты, ученые, гражданские активисты, государственные и бизнес-аналитики, а также сами разведчики. В двух словах, OSINT является важным и эффективным инструментом для сбора данных. Но, возможно, более важный вопрос заключается в том, как такая информация используется.
OSINT и информационная безопасность
OSINT можно использовать при планировании целевой атаки на вашу компанию. Ведь для успешной операции злоумышленникам необходимо огромное количество информации об организации-жертве.
Это особенно верно в случае злоумышленников, которые меньше полагаются на высокотехнологичные инструменты (дорогостоящие эксплойты нулевого дня, сложные вредоносные программы и т. д.) и больше на уловки социальной инженерии. Для этого типа злоумышленников OSINT часто является инструментом номер один.
Наиболее ценным источником открытых данных при подготовке атаки на организацию является активность сотрудников в социальных сетях. В первую очередь, это означает LinkedIn. Там, как правило, можно найти полную организационную структуру компании со всеми именами, должностями, историей работы, социальными связями и множеством другой чрезвычайно полезной информации о сотрудниках.
Вам не нужно далеко ходить за примерами того, насколько эффективным может быть OSINT. Помните печально известный взлом Twitter (теперь X) пару лет назад, который был нацелен на целую кучу людей и компаний, от Маска, Гейтса и Apple до Обамы и Байдена)? Все началось с того, что хакеры нашли сотрудников Twitter в LinkedIn, которые имели доступ к внутренней системе управления учетными записями Twitter, и связались с ними. Тогда это был простой вопрос применения социальной инженерии и старого доброго фишинга, чтобы обмануть их, чтобы раскрыть учетные данные, необходимые для захвата громких учетных записей.
Как защитить свою компанию от OSINT
Разведка из открытых источников является преимущественно пассивным методом сбора информации, поэтому нет простого и универсального способа противостоять ей. К счастью, есть меры, которые вы можете принять на нескольких фронтах.
Обучение и осведомленность сотрудников
Как упоминалось выше, современный OSINT в значительной степени основан на социальных сетях, и информация, собранная с помощью OSINT, наиболее эффективна для атак социальной инженерии. Таким образом, человеческий фактор здесь выходит на первый план.
Поэтому, чтобы противодействовать OSINT и его потенциальным последствиям, вам необходимо тесно сотрудничать со своими сотрудниками. Обучение здесь играет ключевую роль в повышении осведомленности о потенциальных угрозах и способах защиты от них.
Акцент должен быть сделан на двух аспектах: во-первых, на опасностях размещения конфиденциальной информации о вашей компании в социальных сетях. Во-вторых, сотрудники должны научиться более осторожно относиться к звонкам, электронным письмам и текстовым сообщениям, которые подталкивают их к каким-то потенциально рискованным действиям (и уметь определять «потенциально рискованные действия»). Должно быть ясно, что даже если в электронном письме используются реальные данные компании, это не обязательно означает, что отправитель является реальным коллегой. Информация могла быть собрана из открытых источников.
Грубо говоря, если звонящий, представляясь, скажем, Джоном Смитом, говорит вам, что он работает на такой-то должности и запрашивает имя пользователя и пароль, это совершенно недостаточная аутентификация - даже если Джон Смит действительно занимает эту должность в компании.
Чтобы повысить осведомленность, вы можете разработать и провести собственную программу обучения или нанять экспертов-консультантов. Другой вариант — использовать интерактивную образовательную платформу.
Контрразведка с открытым исходным кодом
За последнее десятилетие мир киберпреступности стал сильно разделенным. Некоторые субъекты создают вредоносное ПО, другие собирают данные - все это покупается в даркнете и используется для конкретных атак другими.
Тот факт, что информация о вашей компании была собрана, является верным индикатором надвигающейся атаки. Таким образом, мониторинг такого рода даст вам предварительное предупреждение об угрозе. Например, если кто-то выставит данные о вашей компании на продажу, очень вероятно, что позже они будут использованы для проведения атаки. Так, занимаясь собственной контрразведкой, можно предпринять упреждающие действия: предупредить сотрудников о том, какими данными располагают злоумышленники; привести аналитиков безопасности в состояние повышенной готовности; и так далее.
Но такой мониторинг не обязательно проводить собственными силами: есть готовые сервисы, на которые можно подписаться.
Сегментация, управление правами и модель "Никому не доверяй"
Третий фронт — смягчить потенциальный ущерб от атак с использованием OSINT и социальной инженерии. Основная цель здесь должна заключаться в ограничении распространения по корпоративной сети в случае компрометации конечных точек.
Первое требование здесь — правильная сегментация сети: разделение ресурсов компании на отдельные подсети; определение политик безопасности и параметров для каждого из них; и ограничение передачи данных между ними.
Также обратите внимание на управление доступом пользователей. В частности, реализовать принцип наименьших привилегий; То есть определять и предоставлять пользователям только те доступы, которые им необходимы для выполнения их задач. И регулярно пересматривать эти права, чтобы отразить изменения в их ролях и обязанностях.
Идеальным вариантом было бы принять концепцию "Никому не доверяй", которая предполагает, что нет безопасного периметра, и поэтому, по определению, ни одно устройство или пользователь не являются доверенными как внутри, так и за пределами корпоративной сети.
Подведение итогов
Разведка из открытых источников может стать мощным инструментом в арсенале преступников. Поэтому вам необходимо знать об опасностях и принимать меры для смягчения потенциального ущерба. Вот краткое изложение моих мыслей о том, как защитить вашу компанию от OSINT:
- Обязательно обучайте сотрудников основам информационной безопасности.
- Наладить внутренний канал коммуникаций для информирования сотрудников об информационной безопасности.
- Старайтесь следить за сбором и продажей данных вашей компании в даркнете.
- Заранее примите меры для минимизации потенциального ущерба: управляйте правами пользователей с максимально возможной детализацией; Используйте сегментацию сети.