Поиск по сайту:

Как использовать OSINT для защиты вашей организации

Организации имеют цифровой след, как и все их сотрудники. Эти следы могут содержать множество конфиденциальной информации или информации, которую можно использовать в качестве оружия. OSINT позволяет увидеть то, что видят хакеры.

Интеллект с открытым исходным кодом

Несмотря на название, разведка с открытым исходным кодом (OSINT) не связана с программным обеспечением с открытым исходным кодом, хотя существует множество программных инструментов с открытым исходным кодом, которые могут помочь вам в сборе разведданных с открытым исходным кодом. OSINT — это информация, собранная из общедоступных источников. Для получения этой информации не требуется никаких киберпреступлений, она легко доступна, если вы знаете, где искать и как искать.

OSINT можно собирать из таких источников, как Интернет, средства массовой информации, социальные сети, исследовательские журналы, а также поисковые инструменты правительства штата или национального правительства, такие как «Поиск государственного секретаря штата Калифорния» и «Поиск компаний Дома компаний Соединенного Королевства».

OSINT открыт для всех. Вы просматриваете только общедоступную информацию, а не незаконно просматриваете личные материалы или используете учетные данные человека без его разрешения. В этом разница между просмотром их общедоступных сообщений и взломом их учетной записи для чтения личных личных сообщений.

По большей части OSINT бесплатен. Есть несколько специализированных поисковых инструментов, использующих модель freemium, но, как правило, OSINT является бесплатным, с низким уровнем риска и очень эффективным. Неудивительно, что злоумышленники используют OSINT на этапе разведки при планировании кибератак, таких как фишинговые атаки и атаки с использованием социальной инженерии, или других разрушительных действий, таких как корпоративный или личный шантаж.

Чтобы защитить себя, вам нужно знать, что происходит вокруг вашей организации и ваших сотрудников.

Почему участники угроз любят OSINT

OSINT помогает службам безопасности находить и понимать информацию, улики и другие непреднамеренные «хлебные крошки», которые ваши сотрудники оставляют в своих общедоступных цифровых данных, что ставит под угрозу вашу безопасность.

Например, у вас может быть веб-разработчик, который создал профиль в LinkedIn. Профили разработчиков обычно содержат описание того, какими технологиями они владеют и над какими технологиями работают. Это также сообщает миру, на каких технологиях построен ваш веб-сайт, что, в свою очередь, дает представление о том, к каким уязвимостям он может быть подвержен.

Также вполне вероятно, что у этого человека есть учетная запись администратора на вашем веб-сайте. Другая информация, которую они публикуют, такая как имена домашних животных, детей или их близких, часто используется в качестве основы для паролей, и эта информация также будет собираться злоумышленниками.

В Даркнете хранятся базы данных обо всех утечках данных. В мае 2016 года в LinkedIn произошла утечка данных, в результате которой были раскрыты 164 миллиона адресов электронной почты и паролей. Если данные вашего разработчика были обнаружены в результате этого взлома, и он повторно использовал этот пароль на вашем веб-сайте, у злоумышленников теперь есть простой способ обойти безопасность вашего веб-сайта.

Связанный: Как проверить, не являются ли электронные письма персонала утечкой данных

Вы тоже можете использовать OSINT

Многие организации используют тестирование на проникновение для обнаружения уязвимостей в сетевых активах и службах, подключенных к Интернету. Аналогичным образом можно использовать OSINT для обнаружения уязвимостей, которые создаются при раскрытии информации.

Есть ли у вас кто-то, кто неосознанно выдает слишком много информации? Если на то пошло, сколько информации уже есть, которая может быть полезна злоумышленнику? Фактически, большинство команд тестирования на проникновение и безопасности Red Team выполняют поиск OSINT в качестве первого этапа сбора данных и разведки.

Что другие могут узнать о вашей организации и ваших сотрудниках по их цифровым следам? Очевидный способ выяснить это — провести поиск OSINT в вашей собственной организации.

Простые методы OSINT

Какой бы инструмент или технику вы ни использовали, лучше всего начинать с более широкого поиска и постепенно уточнять его до более узкого направления, руководствуясь результатами предыдущих поисков. Если вы начнете со слишком узкой направленности, вы можете потерять информацию, которая появляется только при более мягком наборе условий поиска.

Помните, что не только ваши сотрудники имеют цифровой след. Ваша организация сама имеет цифровой след, начиная с нетехнических репозиториев, таких как записи о регистрации бизнеса, финансовые документы, и заканчивая результатами сайтов поиска оборудования, таких как Shodan и ZoomEye. Подобные сайты поиска оборудования позволяют искать устройства определенного типа, марки и модели или общей категории, например «IP-веб-камеры». Вы можете искать протоколы, открытые порты или характеристики, такие как «пароль по умолчанию». Поиски можно фильтровать и уточнять по географическому региону.

Ваш собственный веб-сайт может содержать всевозможную полезную информацию для злоумышленника. На странице «Знакомство с командой» указаны роли и имена, а также, возможно, адреса электронной почты. Если вы видите, как формируются адреса электронной почты — «имя.фамилия@», или «начальные.фамилия@», «фамилияначальные@» без точки и т. д., — вы можете определить, какой адрес электронной почты для любого в компания, если у вас есть их имя. Список клиентов можно получить на странице отзывов.

Это все, что нужно злоумышленнику для проведения целевой фишинговой атаки. Они могут отправить электронное письмо сотруднику среднего звена в финансовом отделе, которое, как представляется, исходит от старшего сотрудника. Электронное письмо будет иметь тон срочности. Он попросит, чтобы срочный платеж названному клиенту был сделан как можно скорее. Конечно, банковские реквизиты — это банковские реквизиты злоумышленника.

Фотографии в социальных сетях и блогах должны быть тщательно проверены на наличие информации, которая запечатлена на заднем плане или на столе. Компьютерные терминалы, доски, документы на столах, пропуски безопасности и удостоверения личности могут раскрывать полезную информацию для злоумышленника.

Планы этажей уязвимых зданий были обнаружены в Интернете на общедоступных порталах приложений планирования. Незащищенные репозитории Git могут выявить уязвимости в веб-приложениях или позволить злоумышленникам внедрить свой собственный бэкдор в исходный код.

Профили в социальных сетях на таких сайтах, как LinkedIn, Facebook и Twitter, часто могут раскрывать огромное количество информации о людях. Даже учетная запись Twitter на рабочем месте, которая публикует радостный твит о дне рождения сотрудника, может содержать информацию, которая может оказаться полезной и пригодной для использования. Предположим, в Твиттере делается сообщение о ком-то по имени Ширли, которому исполнился 21 год и которому на работе подарили торт. Любой, кто может видеть твит, теперь знает свое имя и год рождения. Возможно, их пароль «Shirley1999» или «Shirley99».

Информация, найденная в социальных сетях, особенно подходит для социальной инженерии. Социальная инженерия — это коварное, но умелое манипулирование сотрудниками с целью получения несанкционированного доступа к вашему зданию, сети и информации о компании.

Это действительно законно?

Использование методов OSINT в США и Великобритании является законным. В других юрисдикциях вам следует проверить местное законодательство. Как правило, если данные не защищены паролем и не требуют обмана или проникновения для их получения, то доступ к ним является законным. Злоумышленников эти моменты, конечно, не волнуют.

Протокол Беркли определяет основу для проведения OSINT-расследований военных преступлений и нарушений прав человека. Это или что-то подобное является хорошим эталоном для определения законности и этичности поисков OSINT.

Инструментарий OSINT

Это некоторые из хорошо известных и часто используемых инструментов OSINT. Многие из них включены в Kali Linux, другие доступны в виде загружаемых образов контейнеров, на GitHub или в виде отдельных установок. Обратите внимание, что большинство из них предназначены только для Linux. Конечно, веб-сайты можно использовать откуда угодно.

  • Ghunt: находит как можно больше информации о человеке в его профиле Google, выполняя поиск всего, что связано с его адресом электронной почты Gmail.
  • ReNgine: объединяет и отображает совокупное представление результатов сканирования с помощью различных инструментов OSINT. ReNgine выполняет сканирование с помощью других инструментов и создает смешанное представление возвращаемой информации.
  • Shodan: поисковая система устройств, протоколов и оборудования. Он обычно используется для обнаружения небезопасных устройств, особенно устройств Интернета вещей.
  • ZoomEye: альтернатива Shodan.
  • Social Mapper: Social Mapper использует распознавание лиц и имена для отслеживания целей на нескольких платформах социальных сетей. Это бесплатно, но вам необходимо зарегистрироваться.
  • Spiderfoot: инструмент автоматизации OSINT, доступный в открытой и коммерческой версиях. В версии с открытым исходным кодом некоторые функции высокого класса отключены.
  • Sublist3r: перечислитель поддоменов на основе Python
  • theHarvester: помогает «определить ландшафт внешних угроз компании в Интернете», собирая «электронные письма, имена, поддомены, IP-адреса и URL-адреса».
  • Maltgo: Maltego – это инструмент поиска, который собирает данные из многих источников OSINT и отображает набор графических связей между данными и отдельными лицами.
  • Google Dorking: Google dorking или Google hacking использует расширенные методы поиска для поиска элементов, которые были проиндексированы Google, но не отображаются при обычном поиске, например файлы конфигурации и списки паролей. Такие сайты, как Exploit Database, предназначены для обмена поисковыми запросами Google.

Это (в основном) бесплатно, так что используйте его

Если ваша команда безопасности еще не использует OSINT, они действительно упускают хитрость. Возможность находить, редактировать или удалять конфиденциальную информацию из общедоступных источников — отличный способ свести к минимуму уязвимости, основанные на информации, от доступа злоумышленников.