OSINT (open-source intelligence, разведка на основе открытых данных) — сбор информации о человеке или организации из открытых источников и ее последующий анализ.
Разведка на основе открытых данных активно применялась еще во время Второй мировой войны в Британии и США: специальные подразделения мониторили трансляции противника. В настоящее время методы OSINT используются не только во внешней политике, но и в сфере информационной безопасности.
Применение OSINT в сфере информационной безопасности
Специалисты по киберзащите обычно прибегают к сбору информации из общедоступных источников со следующими целями:
- Оценка защищенности объекта, определение поверхности атаки для более успешного противодействия угрозам
- Выявление утечек данных
- Идентификация готовящихся угроз, их источников и векторов
- Расследование киберинцидентов и атрибуция атак
Злоумышленники могут использовать OSINT для выявления перспективных мишеней и слабых мест в защите потенциальной жертвы, подготовки к целевым атакам с использованием социальной инженерии, а также в целях доксинга.
Источники данных в OSINT
Источниками информации для OSINT могут служить:
- Открытые данные (новости, подкасты, сведения о штатном расписании и контрагентах, записи в блогах, социальных сетях и других интернет-сообществах, информация о доступных из Интернета портах и т. д.), которые можно найти в Сети с помощью поисковых систем, в том числе специализированных, таких как Shodan.
- Предназначенные для публичного использования документы из невидимого сегмента Сети:
- материалы, предоставляемые по запросу (отчеты, записи пресс-конференций, доклады, публичные заявления);
- материалы, предоставляемые по подписке (статьи в отраслевых журналах, почтовые рассылки через специализированные сервисы).
- Метаинформация, которую можно получить с помощью специализированных инструментов или при анализе других материалов (например, из комментариев в коде программ).
Методы OSINT
Сбор информации в рамках OSINT можно проводить пассивными и активными методами. К пассивным относятся любые методы, которые не предполагают взаимодействия с целевыми системами и не подлежат автоматическому обнаружению. При активном сборе данных аналитик использует продвинутые техники и прочие методы, предполагающие взаимодействие с целевыми системами, например регистрацию на сайте изучаемой организации с целью получить доступные только зарегистрированным пользователям материалы.