В век стремительного развития информационных технологий и цифровизации люди невольно оставляют свои цифровые отпечатки. В результате этого для каждого человека в интернете формируется его цифровой двойник (аватар).
Современный бизнес и государство не могут существовать без определенной медийности, рекламы, экспертных публикаций или без публичных заявлений. В итоге мы получаем «самое слабое звено» в информационной безопасности компании или государства — человека с его цифровым двойником. То есть того, кто может стать объектом кибератаки. Цель такой атаки — нанесение репутационного ущерба или преодоление периметра защиты инфраструктуры компании, государства и получение материального обогащения.
Спросили у Лидии Витковой, product owner Ankey ASAP компании «Газинформсервис», как поведенческая аналитика может использовать OSINT и какое ПО сможет снизить риски бизнеса.
Для начала давайте определим понятия. Open source intelligence — разведывательная практика, включающая в себя поиск, выбор и сбор информации из общедоступных источников, а также ее анализ. И когда кто-то использует глагол «осинтить», то он говорит о разведке по открытым источникам.
Очень много задокументированных методик появилось во времена Второй мировой войны, эти технологии применялись исключительно в военных и разведывательных целях, но с развитием технологий и интернета вышли на уровень деловой разведки. И сегодня это метод, которым пользуются повсеместно: кто-то проверяет новых знакомых, кто-то потенциальных сотрудников, а кто-то собирает информацию с целью навредить бизнесу конкурентов.
Законно ли это? Не всегда. Границу легальности OSINT принято проводить где-то на уровне «информация, собранная на законных основаниях из свободно опубликованных доступных источников». Но нет законов, разделяющих основания на сбор на законные и незаконные.
Современный мир в информационном поле напоминает Дикий Запад и времена золотой лихорадки. Каждый школьник готов собрать досье на учителя или даже «запилить» новый ролик прямо из школы. Люди с легкостью делятся чужими секретами или создают фейки. Как не стать жертвой OSINT, когда шпионят в промышленных целях поговорим далее.
Инструменты OSINT в деловой разведке
Как могут быть применены инструменты деловой разведки злоумышленником и какую информацию атакующий смог бы получить о компании. Представим некоторую обобщенную карту информации о компании (рис. 1)
Рисунок 1. Карта сокровищ компании глазами OSINT
И сразу посмотрим на то, какие открытые источники использует наш эмпирический атакующий (рис. 2). Для примера введем ограничение и скажем, что наш злоумышленник смотрит только на то, что транслируется или издается для публичной аудитории человеком — сотрудником компании.
Рисунок 2. Категории источников данных OSINT атакующего
А теперь посмотрим, где во всем этом оставляет свой отпечаток человек, подразумеваем сотрудника компании. Для примера мы соберем данные в таблицу (это неисчерпывающая информация, но ее можно считать основной).
Профессиональное | Личное |
Доклады и выступления на конференциях, круглых столах и т.д. | Страницы в социальных сетях |
Статьи на «Хабре», «Дзене» | Сообщества в мессенджерах |
Видеохостинги, например, YouTube | Комментарии |
Комментарии в СМИ | Отзывы |
Научные публикации | HR-порталы |
Открытые лекции и курсы |
Как может помочь поведенческая аналитика
Поведенческая аналитика — технология моделирования поведения, которая часто используется в информационной безопасности. На «Хабре» мы писали о том, что такое UEBA. Важно, что такая аналитика помогает обнаружить вредоносного инсайдера или скомпрометированного пользователя. Например, в продукте Ankey ASAP поведенческая аналитика помогает обнаружить атаки или аномалии.
Предлагаем посмотреть на конкретные примеры.
Пример №1. Халатный (неосторожный) инсайдер. Утечка конфиденциальных данных
Некая компания «Ромашка», которая является крупным R&D-центром в РФ, имеет собственный отдел разработки, собственное производство беспилотного транспорта. У компании есть интеллектуальная собственность, ценные активы. А к конфиденциальной информации относятся: разрабатываемый софт, конструкторская документация и финансовые документы. И вдруг сотрудник случайно показал конфиденциальные данные, опубликовав селфи из кабинета, а за спиной висела схема.
Как мы обнаружим факт утечки? Только если будем смотреть страницы в социальных сетях сотрудника и распознавать текст из изображений, сравнивать со списком конфиденциальной информации. Можем ли мы это делать? Да, конечно. Но потребуется нейронная сеть для работы с изображениями. И это уже расширенная аналитика.
Справочная информация: в информационной безопасности сотрудника, который умышленно или не умышленно разглашает конфиденциальные данные, называют вредоносным инсайдером.
Пример №2. Инсайдер. Репутационный ущерб
Вернемся к некой компании «Ромашка» с ее самоходными приборами. Есть еще стандартный кейс. Сотрудник разместил резюме на портале поиска работы, его рабочий электронный адрес становится публично доступным, сотрудник подвергается фишингу, компрометации своей почты, и вот она уже открывает доступ к некоторым внутренним информационным ресурсам компании.
Видели ли мы такие ситуации в жизни? Да, конечно. Можем ли мы обнаружить информационную атаку на репутацию компании? Конечно. Но как в море данных найти эти сообщения максимально быстро, ведь скорость реакции в таких случаях будет определять и тяжесть последствий? Ответ: применять современное ПО с элементами машинного обучения и поведенческой аналитики. Оно поможет найти ресурс с публикацией, саму публикацию, увидеть комментарии и т.д.
И в первом, и во втором примере мы выбрали такие события, когда сам сотрудник не планировал становиться причиной события информационной безопасности (security events). Где-то действовал неосторожно, где-то что-то сказал импульсивно. Но все-таки компании был нанесен ущерб.
В общем, примеров привести можно очень много, случаются они ежедневно, и контролировать их без использования современных технологий практически невозможно. OSINT может быть не только опасным методом, способным повредить бизнесу или личной жизни, но и источником данных для поведенческой аналитики в системах мониторинга информационной безопасности.
Хотите знать больше о том, как ИИ помогает обеспечивать информационную безопасность бизнеса и технологиях UEBA — присоединяйтесь к нам на «Хабре».
Фото на обложке и в тексте: предоставлено ООО «Газинформсервис»
ООО «ГАЗИНФОРМСЕРВИС»
erid: 4CQwVszH9pWvKJuYiWe
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
ВОЗМОЖНОСТИ
28 января 2025
03 февраля 2025
28 февраля 2025