THREAT INTELLIGENCE, OSINT, И ВСЁ-ВСЁ-ВСЁ

Денис ГорчаковСтарший аналитикSecurity Services

2

Разрабатывал сканеры безопасности MaxPatrol, SurfPatrol, проводил различные исследования ИБ.

Боролся с мошенничеством в области контент-услуг, мобильной коммерции, расследовал инциденты, связанные с банковским мошенничеством и вредоносным ПО.

Расследовал хищения в ДБО и инциденты ИБ, как внешние, так и внутренние. Участвовал в развитии SIEM-системы, системы противодействия целевым атакам, создании процесса управления инцидентами.

О СЕБЕ

3

KASPERSKY SECURITY SERVICES

Тестирования на проникновениеАнализ защищённости приложенийРасследование инцидентовПротиводействие целевым атакамАналитические отчёты об угрозах для организаций, стран, отраслей индустрии

4

PENETRATION TESTING

Black-boxGrey-boxWhite-boxInternal PentestExternal PentestApplication AnalysisOn-site / Off-site

SECURITY INTELLIGENCE

Threat IntelligenceOSINT (Open Source Intelligence)… NAME IT

Чем это отличается от деловой разведки?В чём разница с мониторингоммедиаресурсов?

Знают двое – знает и свинья

5

ДЕЛОВАЯ РАЗВЕДКА

Ближе к экономической безопасности и розыску:проверка надёжности контрагентовпоиск информации о физических и юридических лицах, автотранспорте, недвижимости и пр.проверки ПОД/ФТпроверки по налоговым базам, КРОНОС, Спарк

Не совсем то, что нужно специалистам по ИБ …

6

МОНИТОРИНГ МЕДИАРЕСУРСОВ

Ближе к работе PR-службы и маркетингу:поиск отзывов, негатива, жалоб в соцсетях и блогахпоиск информации, распространяемой сотрудникамиКрибрум, YouScan, Лавина-Пульс

Специалисты по ИБ могут использовать инструменты мониторинга медиапространства совместно с PR-службой, но все они слабо ориентированы на задачи информационной безопасности.

7

OSINT

Поиск информации о компании в открытых источниках и на различных ресурсах:

Поможет понять, сколько известно об организации тому, кто хочет её атаковатьНайти угрозы безопасности даже там, где их не ожидаютНайти потенциальные утечки информацииВзломанные и украденные учётные записи сотрудниковИнсайдеры – поиск услуг и предложения услуг

БЕЗ РЕГИСТРАЦИИ И SMS. Хотя иногда с регистрацией…

8

ИНСТРУМЕНТЫ

Публичные:Базы WHOIS, RIPEShodan.io, Censys.io, DNSdumpster, Robtex и другие специализированные поисковикиGHDB (Google Hacks) – дорки поисковых системСкрипты и фреймворки: самописные, etc. … и многое другое

Форумы:Мониторинг андеграунд-ресурсов и не только

9

ПРОСТО ЗАПУСТИЛ СКРИПТ?

10

ПРИМЕРЫ

Неконтролируемый сетевой периметр: из сети доступны интерфейсы веб-камер, маршрутизаторов, принтеров, консоли администрирования, подключения по протоколам RDP, VNC, telnet и многое другоеНа сайтах компаний доступны файлы с ограниченным доступом (вспомните, когда Яндекс проиндексировал ресурсы Мегафона)В Германии злоумышленники профилировали компанию через LinkedIn, собрали досье на её сотрудников, а затем (успешно) искали жертв для шантажа и получения важной информации

11

КАЗАЛОСЬ БЫ …

12

МОЖЕТ ПРИГОДИТЬСЯ ВСЁ

Схема именования учётных записей, почтовых ящиков

Версии используемого ПО для таргетирования эксплойтов

Информация о сотрудниках для социальной инженерии

Случайно открытый поддомен или узел сети

13

ЗАЧЕМ ЭТО НУЖНО?

Цель исследования (компания, отрасль) узнаёт об уровне угроз и трендах, т.к. на самостоятельное исследование нередко не хватает ресурсов и времени.Лучше понять приоритеты в защите, какие направления уязвимы и более интересны злоумышленникамОперативно отреагировать на утечки и взломанные учётные записи, защитившись, например, от кросс-чекингаУлучшить защиту периметра и качественнее обеспечить безопасность собственных клиентов

14

KASPERSKY POWER!

Не только OSINTKaspersky Security NetworkВыявление, мониторинг и анализ образцов вредоносного ПО, ориентированного на конкретную цель, исторических данныхИнформация о целевых атаках и APT-кампанияхИнформация о фишинговых кампанияхСтатистика DDoS-атак

15

И ЧТО В ИТОГЕ?

16

ЧТО МОЖНО УЛУЧШИТЬ?

Многие публично доступные инструменты для сбора данных заброшены после версии 0.1-alpha-demo

Пишите свои инструменты!Многие инструменты несовершенны

Дорабатывайте ихНет качественных сервисов для поиска по андерграунд-ресурсам

Создавайте свои сервисы

17