Поведенческая аналитика против OSINT: как защитить самое важное и сохранить бизнес

Для начала давайте определим понятия. Open source intelligence — разведывательная практика, включающая в себя поиск, выбор и сбор информации из общедоступных источников, а также ее анализ. И когда кто-то использует глагол «осинтить», то он говорит о разведке по открытым источникам. 

Очень много задокументированных методик появилось во времена Второй мировой войны, эти технологии применялись исключительно в военных и разведывательных целях, но с развитием технологий и интернета вышли на уровень деловой разведки. И сегодня это метод, которым пользуются повсеместно: кто-то проверяет новых знакомых, кто-то потенциальных сотрудников, а кто-то собирает информацию с целью навредить бизнесу конкурентов.  

Законно ли это? Не всегда. Границу легальности OSINT принято проводить где-то на уровне «информация, собранная на законных основаниях из свободно опубликованных доступных источников». Но нет законов, разделяющих основания на сбор на законные и незаконные.

Современный мир в информационном поле напоминает Дикий Запад и времена золотой лихорадки. Каждый школьник готов собрать досье на учителя или даже «запилить» новый ролик прямо из школы. Люди с легкостью делятся чужими секретами или создают фейки. Как не стать жертвой OSINT, когда шпионят в промышленных целях поговорим далее.   

Инструменты OSINT в деловой разведке

Как могут быть применены инструменты деловой разведки злоумышленником и какую информацию атакующий смог бы получить о компании. Представим некоторую обобщенную карту информации о компании (рис. 1)

Рисунок 1. Карта сокровищ компании глазами OSINT 

И сразу посмотрим на то, какие открытые источники использует наш эмпирический атакующий (рис. 2). Для примера введем ограничение и скажем, что наш злоумышленник смотрит только на то, что транслируется или издается для публичной аудитории человеком — сотрудником компании.

Рисунок 2. Категории источников данных OSINT атакующего

А теперь посмотрим, где во всем этом оставляет свой отпечаток человек, подразумеваем сотрудника компании. Для примера мы соберем данные в таблицу (это неисчерпывающая информация, но ее можно считать основной).

Как может помочь поведенческая аналитика

Поведенческая аналитика — технология моделирования поведения, которая часто используется в информационной безопасности. На «Хабре» мы писали о том, что такое UEBA. Важно, что такая аналитика помогает обнаружить вредоносного инсайдера или скомпрометированного пользователя. Например, в продукте Ankey ASAP поведенческая аналитика помогает обнаружить атаки или аномалии. 

Предлагаем посмотреть на конкретные примеры.

Пример №1. Халатный (неосторожный) инсайдер. Утечка конфиденциальных данных

Некая компания «Ромашка», которая является крупным R&D-центром в РФ, имеет собственный отдел разработки, собственное производство беспилотного транспорта. У компании есть интеллектуальная собственность, ценные активы. А к конфиденциальной информации относятся: разрабатываемый софт, конструкторская документация и финансовые документы. И вдруг сотрудник случайно показал конфиденциальные данные, опубликовав селфи из кабинета, а за спиной висела схема. 

Как мы обнаружим факт утечки? Только если будем смотреть страницы в социальных сетях сотрудника и распознавать текст из изображений, сравнивать со списком конфиденциальной информации. Можем ли мы это делать? Да, конечно. Но потребуется нейронная сеть для работы с изображениями. И это уже расширенная аналитика.

Справочная информация: в информационной безопасности сотрудника, который умышленно или не умышленно разглашает конфиденциальные данные, называют вредоносным инсайдером. 

Пример №2. Инсайдер. Репутационный ущерб

Вернемся к некой компании «Ромашка» с ее самоходными приборами.  Есть еще стандартный кейс. Сотрудник разместил резюме на портале поиска работы, его рабочий электронный адрес становится публично доступным, сотрудник подвергается фишингу, компрометации своей почты, и вот она уже открывает доступ к некоторым внутренним информационным ресурсам компании. 

Видели ли мы такие ситуации в жизни? Да, конечно. Можем ли мы обнаружить информационную атаку на репутацию компании? Конечно. Но как в море данных найти эти сообщения максимально быстро, ведь скорость реакции в таких случаях будет определять и тяжесть последствий? Ответ: применять современное ПО с элементами машинного обучения и поведенческой аналитики. Оно поможет найти ресурс с публикацией, саму публикацию, увидеть комментарии и т.д.

И в первом, и во втором примере мы выбрали такие события, когда сам сотрудник не планировал становиться причиной события информационной безопасности (security events). Где-то действовал неосторожно, где-то что-то сказал импульсивно. Но все-таки компании был нанесен ущерб. 

В общем, примеров привести можно очень много, случаются они ежедневно, и контролировать их без использования современных технологий практически невозможно. OSINT может быть не только опасным методом, способным повредить бизнесу или личной жизни, но и источником данных для поведенческой аналитики в системах мониторинга информационной безопасности. 

Хотите знать больше о том, как ИИ помогает обеспечивать информационную безопасность бизнеса и технологиях UEBA — присоединяйтесь к нам на «Хабре». 

Фото на обложке и в тексте: предоставлено ООО «Газинформсервис»

ООО «ГАЗИНФОРМСЕРВИС»
erid: 4CQwVszH9pWvKJuYiWe