Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеЧтобы подготовиться к целевым атакам с использованием социальной инженерии, кибермошенники часто собирают информацию о жертве из открытых источников: соцсетей, форумов, СМИ, справочников и каталогов и др. Такой подход называется Open-source intelligence (сокращенно — OSINT). Однако он используется не только злоумышленниками, но и маркетологами, журналистами, спецслужбами, офицерами служб информационной, экономической, внутренней безопасности. Цели — сбор детальных сведений о персоне или компании. В статье расскажем о применении этого инструмента мошенниками и экспертами по безопасности.
OSINT-разведка: понятие, методы и инструменты
Open-source intelligence — это разведка по открытым информационным источникам. Собирать необходимые сведения можно в разных каналах, например, в социальных сетях, в средствах массовой информации, в мессенджерах, в чатах и на форумах.
Существует мнение, что при желании и технических возможностях в интернете можно найти что угодно и про кого угодно. Это факт, поскольку люди сами публикуют о себе подробную информацию, не задумываясь, что кто-то может использовать ее в своих целях. Также в интернете есть слитые данные о конкретных персонах и компаниях, о чем жертвы нередко даже не догадываются.
С учетом того, что большая часть коммуникаций сейчас осуществляется в цифровой среде, OSINT становится одним из самых эффективных путей сбора сведений, которым активно пользуются как мошенники.
OSINT в информационной безопасности: зло и добро
Рассмотрим, как OSINT-разведка используется для двух противоположных сценариев: для расследования внутренних инцидентов ИБ и подготовки целевых атак на организации.
Использование Open-source intelligence злоумышленниками
Мошенники часто собирают информацию в открытых источниках, чтобы затем использовать ее в корыстных целях с помощью социальной инженерии — манипулировать жертвой, побуждая совершить какое-либо действие. Например, злоумышленник может позвонить, представиться коллегой и попросить сообщить какую-то конфиденциальную информацию, сделать денежный перевод, дать учетные данные от аккаунта и др. Аналогично и с электронными письмами. Хакеры с помощью OSINT отрабатывают круг общения человека, выбирают доверенное лицо жертвы, присылают от его имени сообщения с различными запросами или зараженные файлы. Жертва, не подозревая подвоха, открывает такие письма, делает требуемое или открывает файлы и заражает свое устройство вредоносными программами.
Open-source intelligence для расследования внутренних инцидентов
Разведка по открытым источникам часто используется как в целях проверки нового нанимаемого сотрудника, так и при расследовании инцидентов внутренней безопасности. Эксперты отрабатывают круг общения подозреваемых, ищут информацию о наличии проблем с законом, долговых обязательствах, фактах мошенничества, связях с конкурентами и др. Данные такого характера можно найти в интернете. Например, круг общения легко установить, изучив социальные сети, информация о кредитах есть на сайте ФССП. Ее можно получить, если знать дату рождения и ФИО.
Зачем экспертам по кибербезопасности данные, собранные с помощью OSINT? Например, чтобы установить, кому сотрудник компании мог сливать корпоративную информацию. Или с целью предположить, зачем и почему человек пошел на нарушение. Например, у него есть долги, которые толкнули его на продажу конфиденциальных данных своей компании конкурентам.
Как защитить компанию и ее сотрудников от OSINT-разведки
Технически — никак. Можно только снизить риски, регулярно проводя организационную работу с персоналом. Целесообразно действовать в двух направлениях:
- Объяснить опасность публикации чувствительных данных в интернете, особенно в социальных сетях.
- Рассказать о социальной инженерии, как об одном из эффективных методов психологического воздействия на жертву. Сотрудники должны знать, что не следует доверять всем письмам, звонкам и сообщениям, даже если они поступают якобы от проверенных источников.
Чтобы повышать осведомленность персонала об актуальных угрозах, в том числе реализуемых с применением информации, собранной из открытых источников, следует регулярно проводить обучение с привлечением экспертов по кибербезопасности, которые расскажут о методах OSINT, используемых злоумышленниками.
DLP-система и OSINT для сбора доказательной базы, восстановления контекста инцидента и проведения расследований
В расследовании внутренних инцидентов, например, корпоративного мошенничества, шпионажа, утечек данных системы класса Data Leak Prevention (далее — DLP) помогают собрать данные, выстроить взаимосвязи и провести расследование.
В портфеле ГК «Солар» есть DLP-платформа Solar Dozor. Рассказываем о четырех ключевых модулях, которые помогают в расследовании инцидентов ИБ:
- Endpoint Agent — агент Solar Dozor, который устанавливается непосредственно на рабочие станции и контролирует действия сотрудников. При обнаружении подозрительной активности он может отправить уведомление ответственным лицам либо заблокировать операции.
- Dossier — модуль Solar Dozor, анализирующий действия сотрудников за компьютером. В Dossier позволяет строить карту внешних и внутренних коммуникаций, выявлять скрытые связи сотрудников, строить отчеты по персоне, исследовать интенсивность коммуникаций и используемые каналы связи, посещаемые веб-ресурсы, запущенные приложения.
- User Behavior Analytics. Уникальная технология UBA позволяет исследовать поведение пользователей на базе различных паттернов, заложенных в настройки DLP-системы. С ее помощью можно выявлять нетипичные действия, которые могут быть свойственны потенциальным инсайдерам и формировать группы особого контроля. В такие группы входят сотрудники, подозреваемые в причастности к внутренним инцидентам, демонстрирующие подозрительное поведение. Например, офицеры службы ИБ смогут контролировать работников, которые проявляют аномальную активность при действиях с данными, обращаются к конфиденциальной информации, не относящейся к их непосредственным задачам, много контактируют с внешними получателями, задерживаются после трудового дня и т.д.
- Detective – модуль для проведения внутренних расследований, который помогает объединить в одном интерфейсе всю доказательную базу, в том числе собранную с помощью методов OSINT, визуализировать связи фигурантов дела, сформировать отчет для принятия мер комиссией. Detective полностью автоматизирует процесс расследования и значительно сокращает время сотрудника службы безопасности на рутинные операции.
В чем отличие сбора доказательной базы с использованием DLP-платформы и OSINT-разведки? Solar Dozor накапливает данные о действиях пользователей за рабочей станцией в корпоративном периметре. OSINT используется для поиска «внешней» информации, которая тоже будет полезна для расследования инцидентов. Оба источника данных часто применяются совместно, чтобы составить более полную картину нарушения.
Законно ли применение DLP-систем и OSINT в компании
Компании имеют право применять разрешенные законодательством средства мониторинга и раскрытия корпоративных преступлений, следовательно, могут внедрять в контур ИБ DLP-решения. Чтобы не возникло проблем с законом, необходимо правильно провести процедуру легитимизации. Она осуществляется в несколько этапов:
- Определяется правовая основа использования DLP-системы.
- Устанавливаются допустимые границы эксплуатации решения, определяются цели и задачи системы в контуре ИБ.
- Разрабатываются и утверждаются нормативные документы, на основе которых происходит легитимизация системы.
- Персонал компании оповещается о внедрении автоматизированного мониторинга действий внутри информационной инфраструктуры организации.
OSINT также может применяться в качестве одного из методов формирования характеристики на того или иного сотрудника, при расследовании внутренних нарушений. Поскольку собираемая информация находится в открытых источниках, она не является конфиденциальной. Следовательно, сотрудники службы безопасности и форензик-специалисты не нарушат закон, прибегая к OSINT-разведке.
