На PHDays Fest 2, который отгремел в мае 2024 года, я пообщался со специалистами в разных областях, в том числе в области OSINT, очень важной в ИБ. У нас получился необычный разговор про то, что делать специалисту по OSINT, а скорее, рассуждения о том, что OSINT — это только инструмент. Читайте интервью с Вадимом Соловьёвым, руководителем направления анализа и прогнозирования киберугроз компании Positive Technologies.

Как давно вы занимаетесь OSINT — поиском данных по открытым источникам? И какими его видами занимались?

Я занимался OSINT и HUMINT. Второе — это вступление в переписку, в диалоги с различными хакерскими группировками, чтобы выяснить, какие у них интересы и прочее.

Вообще говоря, каждый из нас начал заниматься OSINT ещё ребёнком, когда искал в газетах программу передач и смотрел их по телевизору. Мы выбирали из этого массива информации то, что нам будет интересно, например мультфильмы, какие‑то передачи про животных и так далее. Если же говорить про мою профессиональную деятельность, то я начал этим заниматься 10 лет назад.

Получается, у вас долгий профессиональный путь. За это время какие‑то мысли появились?

Да, позанимавшись различными задачами по поиску информации по открытым источникам, я пришёл к тому, что данные вокруг сами по себе не представляют ценности. Информация просто есть, и собрать её не так уж сложно, потому что уже есть куча инструментов. И появилась мысль о том, чтобы придумать, как эти данные можно обрабатывать, систематизировать и анализировать. В идеале в автоматическом виде. И вот так родилась эта идея про такое понятие «киберпогода», на PHDays Fest 2 мы с Яной Юраковой делали доклад о ней. Концептуально «киберпогода» для конкретной компании описывает состояние киберпространства в определённый момент времени вокруг неё, включая уровень угроз, активность киберпреступников и общую безопасность информационных систем.

Когда появился термин OSINT?

Сама терминология и её название появились давно, ещё до появления интернета. Ей прямо много лет. Это была разведывательная дисциплина про сбор данных из открытых общедоступных источников. Фото с самолётов-разведчиков, закупки различных товаров, внезапное скопление людей в определённом месте и так далее. Это всё OSINT.

А насколько сильно поменялся OSINT за 10 лет вашей работы?

Как любая технология, OSINT постоянно меняется. Информации всё больше и больше в открытом виде выкладывается в публичный доступ. И для поиска этой информации появляются инструменты. Вот, например, сейчас 2024 год. Примерно 20 лет назад появился Google. Возникает вопрос: а как можно было заниматься OSINT до появления поисковиков? Знать, где какие ресурсы находятся, как к ним получать доступ и как информацию оттуда выгружать. Пришли поисковики, всё это дело проиндексировали, и появился удобный инструмент для тех, кто не погружён глубоко в специфику получения доступа к информации, лежащей в открытом доступе. Вот уже практически революция в поиске информации. Недавно появилось новое поколение нейросетей и чат‑ботов на их основе, и это тоже упростило поиск по открытым источникам, плюс появились различные специальные нейросети типа GeoGPT, упрощающие поиск. С каждым годом таких инструментов становится больше, информации становится больше, поэтому OSINT не стоит на месте.

Правильно ли я понимаю, что инструменты — это не основное; что у человека должен быть определенный аналитический склад ума, благодаря которому он сможет использовать эти инструменты?

Да, в первую очередь важен аналитик. Какой бы инструмент ни изобрели, с ним должен работать человек. И человек должен быть умнее, чем этот инструмент, чтобы инструмент дорабатывать, модифицировать, вкладывать экспертизу.

Сейчас очень много инструментов, есть определенная категория информации, добываемой с помощью этих инструментов. Например, для соцсетей есть куча сервисов (pipl, Instant Checkmate и так далее). Мы вбиваем имя или логин пользователя из определенной соцсети, а инструмент показывает этого пользователя в других соцсетях, его номера телефонов, имейлы, фотографии, где пользователь был, исходя из геолокаций. И уже можно собрать профиль человека.

Если говорить про компании, есть целый класс инструментов (Shodan, Censys и так далее), позволяющий понять, что у компании на периметре. Есть различные сканеры периметра, агрегаторы утечек и так далее. Под каждую категорию информации, под каждый запрос сейчас есть куча инструментов. И в целом взять эти инструменты, последовательно перебрать и получить некоторый отчет может даже не сильно прокачанный специалист в этой области. Но вот извлечь какую‑то пользу из полученных данных, из этого массива «сырой информации» может аналитик.

OSINT‑специалист должен быть в первую очередь аналитиком, а все остальное уже потом. Инструменты, информация, источники — всегда появляется новое. Что‑то исчезает и закрывается, что‑то новое открывается. Например, форумы с утечками. За последние четыре года крупнейшие форумы утечек неоднократно закрывались, комьюнити переезжало на другие, новые форумы опять закрывались, комьюнити снова переезжало. Два года назад вообще все комьюнити развалилось. Все ушло в Telegram, все утечки теперь можно найти в этом мессенджере.

Специалист по OSINT должен быть в курсе происходящего. Он должен понимать, как меняется ландшафт ресурсов, инструментов, какие инструменты и какие ресурсы нужны для решения задачи, а для понимания задачи, нужно разговаривать непосредственно с заказчиком.

Если это информационная безопасность и защита бизнеса, то нужно понимать, что именно хочет узнать заказчик. К примеру, компания хочет знать, куда сотрудники на пенные вечеринки ходят. Это одна история, один OSINT, одни сервисы, одни источники. Если заказчик хочет узнать, где о компании или топ‑менеджменте говорят что‑то плохое в интернете, — это уже другая история. Если необходимо понять, готовится ли на компанию кибератака, — это, вообще, третья история. Совсем другие данные, подходы, и, более того, другая аналитика и компетенции у человека, который будет с этими данными работать…

А в целом OSINT — это больше про защиту или атаку, или и то, и то?

Тут с какой стороны посмотреть. Например, компания изъявляет желание узнать, что происходит вокруг. Потом она эту информацию будут использовать, чтобы себя обезопасить. Ну или хотя бы понять, что ей угрожает.

Но если OSINT применяет условный злоумышленник, то он его использует для не слишком положительных целей. Есть злой умысел, если говорить юридическим языком. На панельной дискуссии «OSINT по‑взрослому» на PHDays Fest 2 как раз говорилось про злой умысел. Кто‑то просто собирал данные без корыстных и противозаконных действий. Однако, если в конце концов по результатам этого сбора будет выявлен злой умысел, значит, сбор будет признан нелегальным. И значит, надо к человеку или к компании, которая была уличена в агрегации, хранении и систематизации данных, применять какие‑то санкции. Если же злого умысла не было и компания сама для себя собирает сведения, чтобы выстроить у себя процессы, то все в порядке. Регулятор не переживает, человек, который эту работу проводит, не переживает, а сама компания получает пользу.

Тогда перейдем как раз к разговору о том, как OSINT‑специалисту посчитать, как выдавать цифры, данные?

Это вопрос непростой. Конкретного ответа на него на рынке пока нет. Например, у нас в Positive Technologies этот проект только‑только в 2024 году стартовал. Мы пришли к пониманию, что просто собрать данные бессмысленно. Как я уже говорил, данные должны быть полезны для бизнеса. Более того, кто понимает вообще, полезно это для бизнеса или нет? Топ‑менеджмент.

Соответственно, вот тут мы можем подойти к цифрам и к тому, как оно должно выглядеть. Информация должна быть понятна если не топ‑менеджеру, то хотя бы CISO, то есть главному безопаснику. Лучше, конечно, чтобы все понимали, что за результаты принесли. Того же главного безопасника по большому счету не волнует фактура, сколько у него учеток лежит в публичном доступе. Его больше интересует, кто будет потенциально атаковать его компанию, когда и как? Еще ответы на вопросы, кто может зайти внутрь, зачем, какая мотивация у атакующего и какой ущерб получит компания. После этого CISO больше ничего и не нужно для принятия решения.

И если главный безопасник знает, как будет происходить атака и на какие системы, сервисы, он спустит своей команде план атаки, скажет, где надо внимательней наблюдать, все ли в порядке, на каких участках IT‑периметра.

И если CISО знает, кто будет атаковать, тут возникает уже такой метауровень принятия решений, когда есть понимание, что это не просто школьники какие‑то, которые ограничиваются тем, что зашли на компьютер буквально первого попавшегося пользователя и вышли, ничего не предприняв, а хактивисты с какими‑нибудь политическими мотивами или кибервымогатели, жаждущие наживы. Тут уже глава кибербезопасности будет понимать, что потенциальное попадание этих хакеров внутрь будет иметь развитие внутри инфраструктуры. Они пойдут до каких‑то критически важных систем, могут унести данные, зашифровать, разрушить бизнес‑процессы. И здесь уже идет переход от OSINT к области результативной кибербезопасности, недопустимых событий и прочего.

Говоря о регуляторах, правильно ли я понимаю, что и регуляторику сейчас не получится сделать, пока все находится в развитии? Или все‑таки можно как‑то зарегулировать OSINT? Может быть, современного законодательства уже вполне хватает?

Сейчас в явном виде OSINT не регулируется. При этом есть достаточное количество законов, регулирующих какие‑то последствия деятельности в сфере OSINT. Например, на той же дискуссии «OSINT по‑взрослому» говорили, что компании могут собирать разные данные. И вроде сами по себе эти данные обезличены и ничего не представляют. Однако, когда их уже собрали и можно понимать, какие данные к каким людям относятся, составлять какое‑то представление о конкретных людях, это уже попахивает профайлингом и перетекает в историю про персональные данные. И тут уже компания внезапно становится оператором персональных данных, и на нее начинает распространяться регуляторика.

Вообще, мне кажется, панельная дискуссия была пристрелочным шагом или первоначальным хабом к тому, что регуляторы в явном виде озвучивают. А именно, что надо каким‑то образом помочь деятельности по сбору различных данных выглядеть в глазах граждан, пользователей и компаний понятной и прозрачной. Поэтому какие‑то действия будут предприниматься, но нужно это или нет, покажет время.

Нужен ли в современной компании, наравне с информационной безопасностью, отдельный специалист по OSINT?

Очень классный вопрос, мой любимый. Я недавно целый вечер дебатировал по этому поводу. И в докладе о «киберпогоде» я приводил пример про готовку. Есть задача приготовить еду. Для этого надо сходить в магазин, купить продукты, принести домой, разделать, разрезать, пожарить, приготовить, положить красиво в тарелочку и употребить, а можно нанять повара, если деньги позволяют, и все это сделает он.

Вот, если провести аналогию с OSINT, есть данные, их надо собрать, потом как‑то обработать с помощью разных инструментов — но сделать выводы должен аналитик по ИБ. И вопрос о том, нужен ли компании отдельный специалист по OSINT или достаточно скилов аналитика по ИБ, остается открытым. OSINT вполне может быть одной из компетенций аналитика ИБ.

Я имел в виду, что это будет отдельный человек, который должен смотреть, что с компанией вообще происходит в информационном поле, где какие сливы.

Если компанию это интересует, то она может себе такого человека завести. Вопрос в том, как быстро он будет собирать информацию о компании в окружающем пространстве и будут ли эти данные успевать устаревать к моменту, когда подготовится отчет. Здесь я подвожу к вопросу об автоматизации. Если вдруг есть возможность автоматизировать работу по сбору информации, то на аналитика существенно меньше вопросов ляжет. Если стоит задача собирать информацию не только о компании, но еще и о ее поставщиках, а их у крупных компаний могут быть тысячи, тут уже даже аналитик может не справиться с данными, собранными автоматическим инструментарием. Много данных нужно отсмотреть, сделать какие‑то выводы, даже если есть методология. Все это будет сложновато и небыстро.

И опять появляется вопрос: что, если автоматизировать работу аналитика, которая касается генерации каких‑то знаний и выводов. Получается, что если говорить про маленькую компанию и маленький кейс, маленькие объемы данных, то человек с этим может справиться, но актуальность данных будет все равно сомнительная. Если мы говорим про большую компанию и бизнес с большим числом контрагентов, то тут лучше думать в сторону большей автоматизации либо найти тех, кто этим уже занимается и может предоставить сервис, тогда будут прилетать актуальные данные о том, как компания выглядит снаружи.

Сейчас очень много решений, которые заваливают данными. Это различные DRP‑решения, бренд‑протекшен‑решения, attack surface management, threat intelligence. Они показывают, как выглядит периметр компании. Все эти системы заваливают обычного ибэшника фидами. И обычный ибэшник сидит, схватившись за голову, и думает, что делать вообще с этими данными? За что хвататься и как приоритизировать всю эту информацию? А для этого нужна дополнительная аналитика. И вот вопрос: может ли эту аналитику предоставить поставщик такого решения? Здесь уже надо разговаривать с поставщиком.

Если говорить о крупных компаниях, как часто им надо прибегать к большому количеству таргетов и помощи именно специалистов по OSINT, которые точно уже знают, что, куда и чего?

Тут надо вообще с другой стороны смотреть на задачу. Компания хочет или не хочет наладить регулярный осмотр своего периметра? Например, она вызывает человека, он все собирает за недельку и выдает данные в отчете недельной давности. Это к вопросу о свежести данных. И вот через неделю, или через три месяца, или раз в квартал компания может позвать этого специалиста еще раз. Но что это даст компании? Она будет узнавать, что за последние три месяца у нее что‑то утекло. Если такая ретроспектива ее устраивает, то все хорошо.

Но запрос понимания, что происходит вокруг компании, предполагает оперативность. Обычно компании хотят знать, что минуту назад о них где‑то что‑то было выложено, и быстро отреагировать на это. Если это касается репутации — применить соответствующие санкции к ресурсу, где есть утечка. Если это касается информационной безопасности — быстро бежать патчить систему, если вдруг где‑то узнали про новый эксплойт. Если это касается готовящейся кибератаки — узнать, что это за кибератака (DDoS, проникновение и так далее). Если это DDoS — позвонить своему провайдеру услуг анти‑DDoS, уточнить выдержит ли сеть. Если это какая‑то история про доступы — пойти, например, пообщаться с потенциальным продавцом сейчас, а не откладывать до момента, когда общий доступ к данным будет выложен в сеть. Для этого надо собрать какую‑то дополнительную фактуру, выпытать у продавца, в каком сервисе этот доступ, локализовать, прореагировать.

Во всех описанных мною случаях очень важно время. Поэтому если вызывать такого человека раз в полгода, раз в год, раз в квартал, раз в неделю, то может быть уже слишком поздно. Современные киберпреступники быстро работают. Иногда лучше постоянно работать с поставщиками OSINT‑услуг, которые уже агрегируют информацию и могут быстро предоставить отчет.

Тогда как компании понять, что делать? Или просто если есть какие-то, скажем так, предчувствия, то лучше все-таки делать? Или же есть какие-то «якоря», по которым компания может понять, что надо уже обращаться за услугами?

Надо просто для себя решить в модели угроз, которая в головах складывается у ибэшника и топ‑менеджмента. Для топ‑менеджмента мы упростили историю с моделью угроз в своей концепции результативной кибербезопасности и назвали ее «недопустимые события». Поэтому топ‑менеджер должен сформулировать, чего не должно произойти с компанией вообще ни при каких условиях, и транслировать это своим службам. Для этого надо пообщаться, например, с IT‑службами и потом реализовать этот план через службу ИБ в общей кооперации. Все начинается с формулировки недопустимых событий. Если в каких‑то из недопустимых событий, которые сформулировал топ‑менеджмент, окажется, что можно предвидеть OSINT, значит, снаружи нужно вводить регулярный мониторинг информационной обстановки. Ну а регулярность мы уже обсуждали. Чем меньше интервалы, чем оперативнее поступает информация, тем больше времени на реагирование останется у сотрудников службы ИБ.

Ну и такой вопрос: чтобы начать заниматься ОSINT, что нужно? Как мне начать постигать эту сферу?

Как преподаватель я всегда выступаю за фундаментальный и системный подход к любому обучению. Поэтому здесь я могу сказать только то, что нужно начинать с азов, дисциплин, формирующих логическое мышление, системное мышление: это дискретная математика, программирование, IT.

Далее надо наращивать уровень понимания того, как устроен этот мир. Как только приходит понимание, как он устроен, появляются компетенции аналитика. Видно, как одни факторы приводят к другим, где причина, где следствие, и эти цепочки начинают выстраиваться.

Если мы говорим про ибэшную историю, понятно, что OSINT одной ногой стоит в детективной деятельности (свои подходы, свои методы), а другой — в ИБ. Но если мы касаемся чисто кибербезопасности, то тут нужно понимать, как устроен мир IT‑решений. Тут не получится понять, насколько ценная информация представлена по результатам сбора и насколько она будет ценна для злоумышленника. А если нет понимания, то сделать правильные выводы не получится, и донести это до руководства будет сложно. Поэтому нужен системный подход к IT‑образованию, потом к образованию в сфере ИБ. Это все формирует широту кругозора, которая необходима в OSINT.

Дальше уже идут курсы, рассказывающие, какие бывают инструменты, категории информации, каким образом это все собирать и сводить воедино. А вот как выводы сделать, тут уже самостоятельно нужно. Тут только опыт.

В очередной раз получаю подтверждение своим мыслям о том, что переходить к конкретным инструментам можно только после изучения основ и системного подхода. Что без фундаментальных знаний использование любых инструментов неэффективно. Надеюсь, было интересно. Спасибо за прочтение!