Новейшие методы интернет-разведки сегодня используют в своей деятельности не только те, кто занят в сфере кибербезопасности. Сбор информации в сети – это часть работы полицейских, детективов и даже секретных служб. При этом поиск нужной информации с обращением к открытым источникам можно осуществлять с куда большей эффективностью, чем при использовании привычных всем поисковиков – для этого применяются средства OSINT.
OSINT является уникальной технологией, которая позволяет осуществлять сбор и последующий анализ информации на всем пространстве современного интернета. С ее помощью можно получать сведения о людях и компаниях, применяя различные фильтры (личные данные, место жительства или работы и пр.). Основными источниками интересующей информации становятся социальные сети, форумы и блоги, а также газеты, журналы, выступления, отчеты – то есть все, что когда-то и каким-то образом «засветилось» в сети.
Из истории
Эффективность OSINT стала очевидной с первого дня своего существования – вернее, даже до этого момента. В начале 40-х чем-то подобным занимались, вырезая фотоснимки парадов из газет Германии. После специалисты брали лупу и просто считали количество вооружения, которое на них «засветилось». Уже после войны состояние дел в «верхах» СССР определялось по тому, кто и как стоял на трибуне московского Мавзолея в праздничные дни. Прошло время, технологии изменились, но принципы все-таки остались теми же.
Одной из основных задач при применении в работе OSINT tools является обнаружение потенциально опасной деятельности. Компании – крупные или не очень – просто обязаны защитить собственные данные и данные клиентов от посягательств мошенников. Кроме того, крайне важным является анализ, который возможен только при наличии необходимой информации.
Особенности
Так почему технология OSINT – это то, что действительно необходимо многим из тех, кто активно задействован в интернет-пространстве? Поисковая система с открытым исходным кодом действительно проста в использовании – он является идеальным вариантом для обнаружения интересующей информации в открытых источниках. Алгоритм действий понятен любому, а риски практически отсутствуют, поскольку процесс поиска можно осуществлять «за чашечкой чая». Не нужно куда-то спешить, менять место своего расположения и т.д. – данные доступны везде и всюду. А потому, определяя ключевые преимущества, можно выделить скорость и объем получаемой информации вне зависимости от типа запроса.
Но каков он – список инструментов для разведки? Сегодня таковых на рынке присутствует множество, а потому специалистам не грех предложить общественности ознакомиться с лучшими вариантами и помочь разобраться в вопросе.
1. Maltego – польза правильного визуального представления ссылок
Данный инструмент адресован тем, кто осуществляет поиск данных о компаниях и людях в сети. Он может быть задействован на таких платформах как Linux, Mac и Windows. Особенностью программы является то, что она в состоянии соотнести информацию, полученную из разных источников, и создать ее графическое отображение. На предлагаемых диаграммах и подробнейшим образом выстроенных графиках можно просмотреть до миллиона объектов. Поиск автоматизирован, а это означает, что пользователь может осуществить несколько запросов буквально в один клик.
Поиск осуществляется среди данных соцсетей, записей DNS и whois. После того как сбор информации завершится, приложение самостоятельно сформирует связи - они сделают очевидными для пользователя соотношения между компаниями, именами, электронными адресами и пр. Данное решение используется довольно часто, поскольку предоставляет максимум информации, используя около 60 направлений обнаружения данных в различных областях.
2. Cobwebs – исчерпывающий выбор инструментов
Разработчиком предлагается сразу 5 продуктов OSINT, действие которых весьма разнообразно. При этом продукты решения работают в тесной взаимосвязи друг с другом, задействуя широкий спектр возможностей каждого из предложений.
Платформа дает возможность отслеживать активность в сети, а также собирать данные из открытых источников и подвергать их анализу. Поисковая система действует на основе принципов работы искусственного интеллекта, интернет-расследования являются автоматизированными и не требуют участия в них пользователя. Используя Cobwebs, можно проводить мониторинг даркнета, своевременно и эффективно выявляя угрозы.
Решение, анализирующее угрозы, необходимо для получения данных с использованием алгоритмов машинного обучения ИИ. Технология позволяет обрабатывать значительные объемы информации и выявлять кибергугрозы в режиме real time.
Предлагаемый защищенный помощник аналитики использует в работе Lynx, обеспечивая безопасный просмотр для последующего ручного сбора информации и ее детального анализа. Пользователю доступна вся информация как из открытой сети, так и из даркнета.
Благодаря Cobwebs становится возможным проведение финансовых расследований, что расширяет возможности бизнеса и помогает его обезопасить. Инструмент активно задействован в сфере противодействия отмыванию средств и мошенничеству. Финансовые специалисты могут сэкономить временной ресурс – исследовательские процессы полностью автоматизированы.
Где используются продукты Cobwebs? Их активно применяют банки и другие финансовые учреждения для того чтобы противостоять мошенникам. Востребовано решение и в криминалистике – постепенно оно становится одним из наиболее важных инструментов функционирования правоохранительных органов. Аналитические данные, полученные Cobwebs обеспечат достойный уровень защиты предприятия от киберугроз.
3. DarkOwl Vision – «по ту сторону» Сети
Платформа предоставляет возможность поиска и анализа угроз в Dark web, позволяя обнаружить скомпрометированную конфиденциальную информацию.
Программа занимается сбором, индексацией, а также ранжированием необходимых данных из даркнета. Все действия осуществляются автоматически. Пользовательский интерфейс позволяет работать с комфортом, поддерживается ряд фильтров и логических выражений.
При использовании Search API данные даркнета интегрируются в вашу платформы, запрашивая набор данных DarkOwl – для поиска доступен архив за период, составляющий более чем 8 лет. Поиск доступен на 47 языках.
Entity API является универсальным инструментом, позволяющим запрашивать адреса IP, адреса электронной почты и даже кредитные карты. Можно выявить список всех адресов, принадлежащих конкретному домену или выяснить все о конкретном адресе. Пользователи используют различные параметры поиска, благодаря которым могут определить, присутствует ли конкретный IP-адрес в даркнете.
Так называемые API-вымогатели анализируют активность соответствующих программ. Результаты выбора в отношении веб-сайтов и блогов проходят автоматическую фильтрацию, позволяя запрашивать обновляемые сайты вымогателей, при этом обеспечивая собственную безопасность. Это необходимо, чтобы выяснить, подвергалась ли отслеживаемая компания вымогательству и сделать соответствующие выводы.
4. Singularity Signal – анализ угроз с использованием ИИ и машинного обучения
Компанией SentinelOne был создан сервис, помогающий анализировать угрозы на основе данных. Singularity Signal используем их в масштабе, предотвращая тем самым дальнейшие действия злоумышленников. Искусственный интеллект, действующий автономно, определяет все текущие угрозы и прогнозирует, что же ждет в будущем. Об угрозах пользователя информируют отчеты и сообщения. Имеется возможность интеграции киберданных и сторонних решений для анализа угроз с использованием Singularity Marketplace и Threat Intel API. Singularity Signal – это сочетание искусственного интеллекта с машинным обучением, а значит масштабируемый анализ пройдет быстро и без проблем.
Платформа предлагает постоянный сбор изменяемого ландшафта угроз и оценивает уровень влияния методов, используемых хакерами в отношении вашей компании. Signal дает возможность составить четкую картину того, как на среду влияют угрозы – благодаря этому можно своевременно отреагировать на них в полном масштабе. Такая аналитика полезна всем организациям без исключения, поскольку в современном мире крайне важна информация о том, как киберугрозы могут повлиять на ведение бизнеса и какова степень риска в зависимости от направления деятельности, ее объемов, места нахождения и пр.
5. Metasploit – тестирование проникновения
Программа позволяет получить всю необходимую информацию по использованию обнаруженных уязвимостей. Пользователи могут скачивать, загружать и изменять все файлы, которые были найдены. На мобильных устройствах доступно создание скриншотов, активация камеры и микрофон, позволяющий организовать удаленное прослушивание.
Инструмент предлагает 7 модулей, используемых для различных процессов по сбору данных (кодировщики, эксплойты и пр.). Кодировщики необходимы для того чтобы преодолеть средства защиты, NOP используется, чтобы запустить скрипты. Программой используются так называемые «этичные хакеры» и киберпреступники для обнаружения скрытых уязвимостей.
Решение доступно как для бесплатного, так и коммерческого использования и может запускаться на устройствах Windows, Linux, macOS.
6. SpiderFoot – решение, доступное в облачной версии с использованием браузера
В десятку наиболее востребованных средств OSINT входит инструмент SpiderFoot, который можно загрузить с установкой на ПК с Linux или Windows или использовать облачную версию, запускаемую с использованием браузера. Программа в состоянии выявить нарушения безопасности и скомпрометировать учетные записи.
Программа придерживается следующей системы работы: как только объект поиска выбран (им может стать домен, имя пользователя и пр.), осуществляется основное сканирование. Для поиска используется более сотни источников общедоступных данных. При завершении сканирования на почту поступает соответствующее предупреждение, а на панели инструментов становится доступным детальный отчет.
Возможна и интеграция с другими приложениями, к примеру, со Slack, что даст возможность и другим людям подключиться к работе над проектом. Из преимуществ решения хочется отметить простой, интуитивно понятный пользовательский интерфейс, подходящих для максимально полного сбора данных. Очевидным минусом является то, что страницы noindex в этом случае не отображаются, а потому складывающаяся картина может быть неполной.
7. Recon-ng – автоматизация ряда процессов OSINT
Фреймворк в этом случае создавался на Python, как правило решение используется для отслеживания угроз и их мониторинга, будучи встроенным в Kali Linux. Новичкам интерфейс программы покажется жутко запутанным и даже пугающим, но спустя несколько дней работы данное впечатление пропадает. Тем, кто хоть раз работал Unix/Linux, программа не покажется осложненной.
В фреймворке уже присутствуют модули, а это говорить о возможности предоставления обширного функционала. Recon-ng автоматизирует ряд трудоемких операций – таких как вырезание и вставка, программа может использоваться для автоматизации популярным вариантом сбора информации.
Частью интерфейса становятся и общие задачи: