Одним из опасных инструментов в руках киберпреступников является OSINT. Сегодня поговорим о том, что это такое, какую представляет опасность и как можно защититься от его использования против вашей организации.
Что такое OSINT
OSINT расшифровывается как Open-source intelligence, разведка по открытым источникам. То есть сбор и анализ информации, полученной из разных общедоступных информационных каналов. По сути, такими источниками может быть что угодно: газеты и журналы, телевидение и радио, данные, публикуемые официальными организациями, научные исследования и доклады на конференциях и так далее.
Сейчас все чаще такая разведка представляет собой сбор и анализ информации, опубликованной в Интернете. Особенно ценными инструментами для поиска OSINT за последние десять-пятнадцать лет стали разнообразные места публичного общения: чаты, форумы, социальные сети и мессенджеры.
Разведкой по открытым источникам занимаются весьма разнообразные категории людей: журналисты, ученые, гражданские активисты, непосредственно разведчики, аналитики государственных ведомств и коммерческих организаций. Вообще говоря, OSINT — это просто один из важных и эффективных инструментов сбора информации. А вот как информация будет использована — вопрос интересный.
OSINT и информационная безопасность
OSINT могут использовать для подготовки целевой атаки на вашу компанию. Ведь для проведения успешной операции преступникам необходимо значительное количество информации об атакуемой организации.
В особенности это так, когда речь идет об атакующих, которые меньше полагаются на технологически продвинутые инструменты — дорогостоящие эксплойты нулевого дня, сложное вредоносное ПО и так далее — и больше рассчитывают на приемы социальной инженерии. Для таких преступников OSINT часто становится инструментом номер один.
Наиболее ценным источником открытых данных при подготовке атаки на организацию является активность сотрудников в социальных сетях. И в первую очередь речь идет про LinkedIn. В этой соцсети, как правило, можно найти полную оргструктуру компании, со всеми именами, фамилиями, должностями, историей работы, социальными связями и множеством прочей крайне полезной информации о сотрудниках.
За примерами того, насколько эффективна может быть разведка по открытым источникам, не надо далеко ходить. Помните нашумевший взлом Твиттера (сейчас известного как X) пару лет назад (в ходе него взломали целую кучу аккаунтов известнейших людей и компаний, от Маска, Гейтса и Apple до Обамы и Байдена)? Он начался с того, что хакеры с помощью LinkedIn выявили сотрудников Twitter, через которых можно получить доступ к внутренней системе управления аккаунтами, и обзавелись их контактами. Ну а дальше с помощью социальной инженерии и старого, доброго фишинга банально развели их на необходимые для угона аккаунтов логины и пароли.
Как защитить организацию от OSINT
Разведка по открытым источникам — преимущественно пассивный метод сбора информации, поэтому какого-то простого и универсального способа защиты от нее не существует. Тем не менее обезопаситься от OSINT как-то надо. Для этого можно предпринять шаги по нескольким направлениям.
Обучение сотрудников и повышение осведомленности
Как уже было сказано выше, в наше время разведка по открытым источникам часто основывается на социальных сетях. А собранная с помощью OSINT информация может быть наиболее полезна для атак, использующих социальную инженерию. Таким образом, на первый план здесь выходит человеческий фактор.
Поэтому для противодействия OSINT и возможным последствиям его применения нужно работать с персоналом. Тут наиболее важную роль играет обучение: необходимо повышать осведомленность сотрудников о возможных угрозах и методах защиты от них.
Основное внимание стоит сфокусировать на двух аспектах: с одной стороны, следует донести до работников опасность публикации слишком чувствительной информации о компании в социальных сетях. С другой стороны, надо обучить коллег с большей подозрительностью относиться к звонкам, письмам и текстовым сообщениям, которые побуждают их к совершению каких-то потенциально опасных действий (а также обозначить, что можно считать «потенциально опасными действиями»). Сотрудники должны четко понимать, что даже если в письме используется реальная информация о компании, это вовсе не обязательно означает, что автор послания — действительно коллега. Возможно, информация была собрана по открытым источникам.
Грубо говоря, если звонящий, представившись Иван Иванычем, говорит, что он работает на такой-то должности, и просит сообщить ему логин и пароль, то этого совершенно недостаточно для надежной аутентификации звонящего. Даже если некий Иван Иваныч действительно работает в компании на этой должности.
Для повышения осведомленности можно разработать программу тренингов самостоятельно и самостоятельно же их провести или нанять внешних специалистов. Еще один вариант — использовать интерактивную образовательную платформу. Например, такую как Kaspersky Automated Security Awareness Platform.
Также полезно будет наладить внутренние коммуникации по кибербезопасности, то есть организовать внутри компании канал для эффективного донесения до коллег информации об актуальных угрозах.
Контрразведка по открытым источникам
За последнее десятилетие киберпреступный мир стал высоко специализированным. Одни люди занимаются созданием вредоносного ПО, совсем другие промышляют сбором данных, а покупают в даркнете и используют все это для конкретных атак — вообще третьи.
Но то, что о вашей компании собрали информацию, — отличный индикатор готовящейся атаки. Поэтому отслеживание активности позволит вовремя заметить угрозу. Например, если кто-то выставил на продажу пакет данных о вашей организации, то очень вероятно, что через некоторое время эта информация будет использована для проведения атаки. Таким образом, используя собственную разведку, вы сможете заранее подготовиться к действиям злоумышленников: предупредить сотрудников о том, какие данные есть в распоряжении атакующих, привести в состояние повышенной готовности ИБ-аналитиков и так далее.
Заниматься таким мониторингом самостоятельно совершенно необязательно: для этого есть готовые сервисы, на которые можно приобрести подписку, — например, Kaspersky Threat Intelligence. Кстати, мониторинг упоминаний вашей компании в даркнете — не единственная функция нашего сервиса. Он также позволяет мониторить атаки на ваших поставщиков и клиентов, APT-кампании, которые могут затронуть вашу компанию или отрасль, предоставляет анализ уязвимостей и многое другое.
Сегментация, управление правами и zero-trust
И, конечно же, третье направление — это снижение потенциального ущерба от атаки с использованием OSINT и социальной инженерии. Основной целью тут должно быть ограничение ее распространения по сети компании в случае компрометации одного или нескольких эндпоинтов.
В первую очередь следует отметить необходимость грамотной сегментации сети: разделение ресурсов компании на отдельные подсети, определение политик и параметров безопасности для каждой из них и ограничение перемещения данных между ними.
Также следует уделять внимание управлению правами пользователей. В частности, внедрить принцип минимальных привилегий, то есть определить и предоставить пользователям только те права, которые необходимы для выполнения их задач. И время от времени пересматривать этот набор прав с учетом изменений в ролях и обязанностях пользователей.
В идеале можно перейти на концепцию Zero Trust, предполагающую отсутствие безопасного периметра, то есть что по определению доверенным не является ни одно устройство и ни один пользователь — как внутри, так и за пределами корпоративной сети.
Подведем итоги
Разведка по открытым источникам может стать серьезным инструментом в руках преступников. Поэтому следует иметь в виду эту опасность и предпринимать шаги для снижения возможного ущерба. Защитить компанию от OSINT поможет следующее:
- Обязательно занимайтесь обучением сотрудников основам информационной безопасности. Для этого можно использовать нашу интерактивную образовательную платформу Kaspersky Automated Security Awareness Platform.
- Наладьте в компании внутреннюю коммуникацию по информационной безопасности.
- Старайтесь следить за сбором данных о вашей компании и продажей их в даркнете. В этом поможет наш сервис Kaspersky Threat Intelligence.
- Заранее примите меры по минимизации возможного ущерба: установите как можно более четкий контроль над правами пользователей, используйте сегментацию сети. А в идеале, конечно же, возьмите на вооружение концепцию Zero Trust.