КАК РАССЛЕДОВАТЬ УТЕЧКИ ИНФОРМАЦИИ. ЧАСТЬ 3.
2/2
#криминалистика
Шаг третий! Восстановление данных.
Естественно, важные данные могут быть удалены на системном диске или каком то носителе который попал в поле ваших интересов и для того чтобы ничто не скрылось от вашего взора есть прямо ультимативный инструмент который может восстановить практически все что угодно – “R-STUDIO” – это единственное платное приложение в этих двух постах, но поверьте это того достойно. Да и стоит очень недорого для своих возможностей.
И не лишним будет напомнить – ни в коем случае не восстанавливайте данные на тот же носитель, с которого вы восстанавливаете. Это может привести к порче следов.
Шаг четвёртый! Сбор и поиск содержимого.
Тут из признанного, общедоступного, бесплатного и полезного конечно же стоит отметить “AUTOPSY” – прекрасный криминалистический комбайн для анализа содержимого носителей информации и представляющий следующие возможности:
🔻Анализ файловой системы:
- Просмотр и навигация по файловой структуре исследуемого устройства.
- Восстановление удалённых файлов и папок.
- Анализ метаданных файлов, таких как время создания, изменения, доступа.
🔻 Работа с разделами и томами:
- Определение типа и структуры разделов на исследуемом устройстве.
- Монтирование разделов для дальнейшего анализа.
- Извлечение информации из "скрытых" или "неразмеченных" разделов.
🔻 Поиск и фильтрация данных:
- Полнотекстовый поиск по содержимому файлов.
- Фильтрация файлов по различным критериям (имя, расширение, размер, дата и т.д.)
- Создание пользовательских фильтров для выборки интересующих данных.
🔻Анализ артефактов:
- Извлечение и анализ артефактов из различных источников, таких как браузеры, электронная почта, мессенджеры, облачные сервисы.
- Восстановление истории активности пользователя на исследуемом устройстве.
🔻 Визуализация данных:
- Построение временных шкал для визуализации активности пользователя.
- Создание диаграмм, графиков и отчетов для наглядного представления результатов анализа.
А когда перед нами возникает потребность найти что-то конкретное, например по ключевым словам (например словосочетания содержащиеся в утечке или конкретные номера, email, имена, названия и т.п.) то хочется посоветовать инструмент так любимый всеми исследователями - осинтерами “АРХИВАРИУС-3000” – ищет лучше Autopsy особенно если содержимое написано кирилицей и позволяет проводить поиск по любым массивам данных после процесса индексации буквально так как будто в вашем компьютере живут свои собственные яндекс с гуглом. Эта программа не поддерживается и не продаётся создателями с 2018 года, но вы наверняка сможете найти на разных ресурсах полнофункциональную версию для того, чтобы попробовать все ее обширные возможности в локальном поиске (И только попробовать! Ибо мы против пиратства!)
Шаг пятый! Анализ логов работы системы.
Конечно же можно использовать инструменты, встроенные в тот же самый AUTOPSY или любой другой криминалистический комбайн, но часто случается так, что проще, удобнее и проще использовать какие-то отдельные утилиты для решения конкретной задачи в определённом контексте.
- NirSoft Utilities – набор утилит для просмотра всего многообразия логов Windows компьютеров.
Например:
чтобы посмотреть к каким сетям wifi подключался компьютер (а вдруг это wifi принадлежащий конкурентам? Или домашняя точка доступа, того кто может точить на вашу компанию зуб воспользуйтесь NirSoft wifi history – вытаскивающая всю историю подключений к wifi точкам доступа. А при помощи сервиса Wigle можно посмотреть, где эта точка расположена фактически на карте.
Или NirSoft usb device view – позволяющий вытащить логи подключения usb устройств. Ну а вдруг наш «корпоративный шпион» втыкал флешку туда куда ее втыкать не нужно было.
- Shellbag Analizer небольшая утилита показывающая всю историю создания удаления и копирования файлов в системе.
2/2
#криминалистика
Шаг третий! Восстановление данных.
Естественно, важные данные могут быть удалены на системном диске или каком то носителе который попал в поле ваших интересов и для того чтобы ничто не скрылось от вашего взора есть прямо ультимативный инструмент который может восстановить практически все что угодно – “R-STUDIO” – это единственное платное приложение в этих двух постах, но поверьте это того достойно. Да и стоит очень недорого для своих возможностей.
И не лишним будет напомнить – ни в коем случае не восстанавливайте данные на тот же носитель, с которого вы восстанавливаете. Это может привести к порче следов.
Шаг четвёртый! Сбор и поиск содержимого.
Тут из признанного, общедоступного, бесплатного и полезного конечно же стоит отметить “AUTOPSY” – прекрасный криминалистический комбайн для анализа содержимого носителей информации и представляющий следующие возможности:
🔻Анализ файловой системы:
- Просмотр и навигация по файловой структуре исследуемого устройства.
- Восстановление удалённых файлов и папок.
- Анализ метаданных файлов, таких как время создания, изменения, доступа.
🔻 Работа с разделами и томами:
- Определение типа и структуры разделов на исследуемом устройстве.
- Монтирование разделов для дальнейшего анализа.
- Извлечение информации из "скрытых" или "неразмеченных" разделов.
🔻 Поиск и фильтрация данных:
- Полнотекстовый поиск по содержимому файлов.
- Фильтрация файлов по различным критериям (имя, расширение, размер, дата и т.д.)
- Создание пользовательских фильтров для выборки интересующих данных.
🔻Анализ артефактов:
- Извлечение и анализ артефактов из различных источников, таких как браузеры, электронная почта, мессенджеры, облачные сервисы.
- Восстановление истории активности пользователя на исследуемом устройстве.
🔻 Визуализация данных:
- Построение временных шкал для визуализации активности пользователя.
- Создание диаграмм, графиков и отчетов для наглядного представления результатов анализа.
А когда перед нами возникает потребность найти что-то конкретное, например по ключевым словам (например словосочетания содержащиеся в утечке или конкретные номера, email, имена, названия и т.п.) то хочется посоветовать инструмент так любимый всеми исследователями - осинтерами “АРХИВАРИУС-3000” – ищет лучше Autopsy особенно если содержимое написано кирилицей и позволяет проводить поиск по любым массивам данных после процесса индексации буквально так как будто в вашем компьютере живут свои собственные яндекс с гуглом. Эта программа не поддерживается и не продаётся создателями с 2018 года, но вы наверняка сможете найти на разных ресурсах полнофункциональную версию для того, чтобы попробовать все ее обширные возможности в локальном поиске (И только попробовать! Ибо мы против пиратства!)
Шаг пятый! Анализ логов работы системы.
Конечно же можно использовать инструменты, встроенные в тот же самый AUTOPSY или любой другой криминалистический комбайн, но часто случается так, что проще, удобнее и проще использовать какие-то отдельные утилиты для решения конкретной задачи в определённом контексте.
- NirSoft Utilities – набор утилит для просмотра всего многообразия логов Windows компьютеров.
Например:
чтобы посмотреть к каким сетям wifi подключался компьютер (а вдруг это wifi принадлежащий конкурентам? Или домашняя точка доступа, того кто может точить на вашу компанию зуб воспользуйтесь NirSoft wifi history – вытаскивающая всю историю подключений к wifi точкам доступа. А при помощи сервиса Wigle можно посмотреть, где эта точка расположена фактически на карте.
Или NirSoft usb device view – позволяющий вытащить логи подключения usb устройств. Ну а вдруг наш «корпоративный шпион» втыкал флешку туда куда ее втыкать не нужно было.
- Shellbag Analizer небольшая утилита показывающая всю историю создания удаления и копирования файлов в системе.
11
This media is not supported in your browser
VIEW IN TELEGRAM
КАК ПРОВОДИТЬ УСПЕШНЫЕ УЧЕБНЫЕ ФИШИНГОВЫЕ АТАКИ.
#тестирование
1. Определите "флаги" - фактическое действие или факт предоставления доступа к определённой информации. Разделите их по уровня критичности для вашего бизнеса
Например:
- переход по ссылке
- загрузка и запуск файла
- ввод пары логини/пароль в фишинговой форме.
- факт предоставления внутренней информации стороннему лицу в переписке или телефонном разговоре.
2. Определите модель угроз и вероятность фактического наступления недопустимого события через тот вид учебной фишинговой атаки, которую вы проводите. Чтобы не допустить надуманности и бессмысленности проводимых мероприятий.
3. Определите «цели» — человека или группы людей, которые будут являться объектами тестирования. Сгруппируйте их по возможности доступа к внутренней информации и возможной критичности их действий относительно проводимой фишинговой атаки.
Пример
Цель: Бухгалтер (финансовый отдел)
Флаг: Ввод пары логин/пароль в фишинговую форму CRM-системы.
Угроза: Предоставление доступа к финансовой информации компании.
4. Создайте сценарий-легенду проведения каждого вектора атаки для каждой целевой группы.
Пример
Флаг: загрузка и запуск файла
Цель: Юрист (юридический департамент)
Легенда: файл содержащий договор с контрагентом (и гипотетически вредоносную нагрузку) преданный с курьером (присланный по почте) , требующего срочного открытия или рецензия.
5. Подберите инструментарий для проведения учебной атаки, фиксации "флагов" и фиксации хода событий для дальнейшего разбора.
Из бесплатных и с открытым кодом:
- SocialFish
- Gophish
- King Phisher
(подробнее о каждом инструменте можно прочитать тут.)
#тестирование
1. Определите "флаги" - фактическое действие или факт предоставления доступа к определённой информации. Разделите их по уровня критичности для вашего бизнеса
Например:
- переход по ссылке
- загрузка и запуск файла
- ввод пары логини/пароль в фишинговой форме.
- факт предоставления внутренней информации стороннему лицу в переписке или телефонном разговоре.
2. Определите модель угроз и вероятность фактического наступления недопустимого события через тот вид учебной фишинговой атаки, которую вы проводите. Чтобы не допустить надуманности и бессмысленности проводимых мероприятий.
3. Определите «цели» — человека или группы людей, которые будут являться объектами тестирования. Сгруппируйте их по возможности доступа к внутренней информации и возможной критичности их действий относительно проводимой фишинговой атаки.
Пример
Цель: Бухгалтер (финансовый отдел)
Флаг: Ввод пары логин/пароль в фишинговую форму CRM-системы.
Угроза: Предоставление доступа к финансовой информации компании.
4. Создайте сценарий-легенду проведения каждого вектора атаки для каждой целевой группы.
Пример
Флаг: загрузка и запуск файла
Цель: Юрист (юридический департамент)
Легенда: файл содержащий договор с контрагентом (и гипотетически вредоносную нагрузку) преданный с курьером (присланный по почте) , требующего срочного открытия или рецензия.
5. Подберите инструментарий для проведения учебной атаки, фиксации "флагов" и фиксации хода событий для дальнейшего разбора.
Из бесплатных и с открытым кодом:
- SocialFish
- Gophish
- King Phisher
(подробнее о каждом инструменте можно прочитать тут.)
11
This media is not supported in your browser
VIEW IN TELEGRAM
КАК ПРОВОДИТЬ ОПЕРАТИВНЫЙ МОНИТОРИНГ ИНФОРМАЦИОННОГО ПРОСТРАНСТВА. ЧАСТЬ 1/2. ПОДБОР СЛОВ ТРИГГЕРОВ.
#osint
Потребность постоянно мониторить сеть на предмет появления какой-либо информации может быть полезным совершенно для разных целей. Например, в наше неспокойное время это может быть важным для оперативного обнаружения утечек из вашей компании, или начавшуюся информационную атаку против вас или все той же вашей компании, ну и до кучи много чего ещё полезного в плане быть в курсе какой-то темы. Как обычно кратко и по пунктам:
🔻Определить набор ключевых слов и словосочетаний:
Выпишите в столбик все слова и наборы слов, которые могут употребляться для поиска искомой вами темы. Обратите внимание они могут отличаться от тех, которые вы используете в поисковых запросах. Например, один из моих личных маяков, при помощи которого я оперативно получаю всю информацию о себе и упоминание своих медиа содержит вот такие триггеры и причины того, почему использую именно их:
• Борощук – фамилия достаточно редкая в инфополе, поэтому можно использовать это как слово-триггер относительно самого себя. Но могут быть периодические совпадения.
• "Дмитрий Борощук" – так обычно пишут моё имя в сочетание с фамилией. Обратите внимание на кавычки — это оператор, указывающий на то, чтобы было точное совпадение в расстановке слов.
• "Борощук Дмитрий" – в таком порядке тоже часто указывают моё имя и фамилию, поэтому так же добавим в перечень.
• BeholderIsHere – мой ник или юзернейм, которым я подписываюсь достаточно давно в публичном поле. Здесь надо сделать маленькую ремарку- часто его сокращают до просто Beholder или транслитерацию Бехолдер или Бихолдер, но ввиду того, что Бехолдеров много, то использование этих слов можно считать излишним в качестве триггера, так как это будет причиной большого количества ложных срабатываний.
• Forensictools – название моего популярного телеграмм канала, на который я часто ссылаюсь и который может ассоциироваться со мной.
• "Форензик тулз" – используемое словосочетание в разговорной форме чатах, пабликах и группах.
• BIHconsulting – имя ТГ канала (в котором вы все это читаете) и который так же ассоциируются со мной.
• BEHOLDERISHEREconsulting – так я обычно сам пишу название своей компании в текстах которые могут репостить.
• “Beholderishere consulting” – а так, обычно пишут в медиа, где меня упоминают относительно компании.
В итоге мы имеем набор слов-триггеров для формирования поискового маяка.
🔻Откуда брать вдохновение для подобного списка:
- Сервис подбора слов для поиска Яндекс Вордстат
- Смотрим, как и в какой форме употребляют в разговорной речи вас или название вашей компании в прессе, официальных каналах, в разговорной форме в социальных сетях в группах и чатах.
Ну а дальше сформировать сам маяк используя оператор OR или вертикальную черту |
🔻По итогам ваш маяк будет выглядеть примерно так, как у меня:
Борощук | "Дмитрий Борощук" | "Борощук Дмитрий" | BeholderIsHere | Forensictools | "Форензик тулз" | BIHconsulting | "Beholderishere consulting" | BEHOLDERISHEREconsulting
При этом учитывайте что "маяки" создаютсяс такими же примерно базовыми логическими операторами как и dork - и. И вы, в едином запросе можете уместить относительно сложную логику с использованием слов- триггеров, слов исключений и их взаимодействие между собой.
часть вторая.
#osint
Потребность постоянно мониторить сеть на предмет появления какой-либо информации может быть полезным совершенно для разных целей. Например, в наше неспокойное время это может быть важным для оперативного обнаружения утечек из вашей компании, или начавшуюся информационную атаку против вас или все той же вашей компании, ну и до кучи много чего ещё полезного в плане быть в курсе какой-то темы. Как обычно кратко и по пунктам:
🔻Определить набор ключевых слов и словосочетаний:
Выпишите в столбик все слова и наборы слов, которые могут употребляться для поиска искомой вами темы. Обратите внимание они могут отличаться от тех, которые вы используете в поисковых запросах. Например, один из моих личных маяков, при помощи которого я оперативно получаю всю информацию о себе и упоминание своих медиа содержит вот такие триггеры и причины того, почему использую именно их:
• Борощук – фамилия достаточно редкая в инфополе, поэтому можно использовать это как слово-триггер относительно самого себя. Но могут быть периодические совпадения.
• "Дмитрий Борощук" – так обычно пишут моё имя в сочетание с фамилией. Обратите внимание на кавычки — это оператор, указывающий на то, чтобы было точное совпадение в расстановке слов.
• "Борощук Дмитрий" – в таком порядке тоже часто указывают моё имя и фамилию, поэтому так же добавим в перечень.
• BeholderIsHere – мой ник или юзернейм, которым я подписываюсь достаточно давно в публичном поле. Здесь надо сделать маленькую ремарку- часто его сокращают до просто Beholder или транслитерацию Бехолдер или Бихолдер, но ввиду того, что Бехолдеров много, то использование этих слов можно считать излишним в качестве триггера, так как это будет причиной большого количества ложных срабатываний.
• Forensictools – название моего популярного телеграмм канала, на который я часто ссылаюсь и который может ассоциироваться со мной.
• "Форензик тулз" – используемое словосочетание в разговорной форме чатах, пабликах и группах.
• BIHconsulting – имя ТГ канала (в котором вы все это читаете) и который так же ассоциируются со мной.
• BEHOLDERISHEREconsulting – так я обычно сам пишу название своей компании в текстах которые могут репостить.
• “Beholderishere consulting” – а так, обычно пишут в медиа, где меня упоминают относительно компании.
В итоге мы имеем набор слов-триггеров для формирования поискового маяка.
🔻Откуда брать вдохновение для подобного списка:
- Сервис подбора слов для поиска Яндекс Вордстат
- Смотрим, как и в какой форме употребляют в разговорной речи вас или название вашей компании в прессе, официальных каналах, в разговорной форме в социальных сетях в группах и чатах.
Ну а дальше сформировать сам маяк используя оператор OR или вертикальную черту |
🔻По итогам ваш маяк будет выглядеть примерно так, как у меня:
Борощук | "Дмитрий Борощук" | "Борощук Дмитрий" | BeholderIsHere | Forensictools | "Форензик тулз" | BIHconsulting | "Beholderishere consulting" | BEHOLDERISHEREconsulting
При этом учитывайте что "маяки" создаютсяс такими же примерно базовыми логическими операторами как и dork - и. И вы, в едином запросе можете уместить относительно сложную логику с использованием слов- триггеров, слов исключений и их взаимодействие между собой.
часть вторая.
5
КАК ПРОВОДИТЬ ОПЕРАТИВНЫЙ МОНИТОРИНГ ИНФОРМАЦИОННОГО ПРОСТРАНСТВА. ЧАСТЬ 2/2. СЕРВИСЫ И ПРОГРАММЫ.
#osint
🔻МОНИТОРИМ GOOGLE. Сервис Google Alerts - прекрасный бесплатный инструмент для оповещения вас тогда, когда в поисковую выдачу Google попадают материалы содержащие слова-триггеры или словосочетания, которые вы поставили на мониторинг.
🔻МОНИТОРИМ ТЕЛЕГРАМ. Сервис Tgstat Alerts - сервис позволяющий отслеживать словосочетания, слова-триггеры, упоминания каналов, группы и отдельные юзернеймы. Упоминания шлёт в своего бота, на который вы должны быть подписаны, в указанную вами группу, либо в виде ссылки. Сервис платный – 450 рублей за отслеживание.
🔻МОНИТОРИМ НОВОСТНЫЕ ЛЕНТЫ. RSS-сервис – если вы сформировали пул источников данных то вы можете отлеживать их через агрегаторы RRS потоков. Их достаточно большое количество, поэтому тут все на ваш вкус, только обращайте внимание, чтобы у него был функционал позволяющий отслеживать по ключевым словам. Лично я использую мультиплатформенный Feedly. Есть бесплатная и платная версия.
🔻МОНИТОРИМ ИЗМЕНЕНИЯ НА САЙТЕ. Детектор изменений – решения, связанные с отслеживанием изменений на отдельном сайте. Я использую для этого сервис CHANGEDETECTION который позволяет отслеживать не только изменения в тактовом виде, но и изменение файлов, фото и отдельных элементов. Бесплатен если вы его сможете развернуть сами внутри собственной инфраструктуры, либо в виде сервиса за небольшие деньги.
🔻МОНИТОРИМ СОЦИАЛЬНЫЕ МЕДИА. Сервис BABKEE позволяющий мониторить социальные медиа. Своеобразный дизайн, но полностью бесплатный, хоть и с ограничениями - двумя объектами мониторинга.
Ну и конечно же логично использовать таких монстров информационного мониторинга как:
- Крибрум
- Медиалогия
Но тут уже совсем другой порядок цен, хотя и возможностей гораздо больше. И если ты солидный парень или девушка при бюджете, то можно только порадоваться, за тебя и посоветовать использовать этих двоих.)
часть первая.
#osint
🔻МОНИТОРИМ GOOGLE. Сервис Google Alerts - прекрасный бесплатный инструмент для оповещения вас тогда, когда в поисковую выдачу Google попадают материалы содержащие слова-триггеры или словосочетания, которые вы поставили на мониторинг.
🔻МОНИТОРИМ ТЕЛЕГРАМ. Сервис Tgstat Alerts - сервис позволяющий отслеживать словосочетания, слова-триггеры, упоминания каналов, группы и отдельные юзернеймы. Упоминания шлёт в своего бота, на который вы должны быть подписаны, в указанную вами группу, либо в виде ссылки. Сервис платный – 450 рублей за отслеживание.
🔻МОНИТОРИМ НОВОСТНЫЕ ЛЕНТЫ. RSS-сервис – если вы сформировали пул источников данных то вы можете отлеживать их через агрегаторы RRS потоков. Их достаточно большое количество, поэтому тут все на ваш вкус, только обращайте внимание, чтобы у него был функционал позволяющий отслеживать по ключевым словам. Лично я использую мультиплатформенный Feedly. Есть бесплатная и платная версия.
🔻МОНИТОРИМ ИЗМЕНЕНИЯ НА САЙТЕ. Детектор изменений – решения, связанные с отслеживанием изменений на отдельном сайте. Я использую для этого сервис CHANGEDETECTION который позволяет отслеживать не только изменения в тактовом виде, но и изменение файлов, фото и отдельных элементов. Бесплатен если вы его сможете развернуть сами внутри собственной инфраструктуры, либо в виде сервиса за небольшие деньги.
🔻МОНИТОРИМ СОЦИАЛЬНЫЕ МЕДИА. Сервис BABKEE позволяющий мониторить социальные медиа. Своеобразный дизайн, но полностью бесплатный, хоть и с ограничениями - двумя объектами мониторинга.
Ну и конечно же логично использовать таких монстров информационного мониторинга как:
- Крибрум
- Медиалогия
Но тут уже совсем другой порядок цен, хотя и возможностей гораздо больше. И если ты солидный парень или девушка при бюджете, то можно только порадоваться, за тебя и посоветовать использовать этих двоих.)
часть первая.
10
ПРО НАТИВНОСТЬ И УДОБСТВО
#процессы
Когда разрабатывают какую-нибудь сложную, но эффективную (на первый взгляд) систему безопасности, часто забывают про то, как и в каких обстоятельствах ею будут пользоваться. И получаются, например такие решения- чтобы запустить процесс, связанный с отработкой угрозы, нужно потратить такое количество времени и сделать такое количество шагов, что все действия к моменту запуска механизма безопасности будет уже бессмысленно. Например, одна бАААльшая компания, занимающаяся физической охраной, запустила услугу «Личный телохранитель». Но чтобы вызвать ГБР к месту конфликта, (который безусловно автоматически определялся при помощи смартфона- нужно же быть инновационными) нужно было на этом самом смартфоне совершить 12 действий, на которые в лучшем случае пользователь тратил 22 секунды (если был знаком с интерфейсом программы и знал, что-где находится). Согласитесь, как правило в подобных ситуациях такой возможности просто не случается.
🔴 Из этого следует – любые средства безопасности должны максимально удобными и нативно запускаемыми! А ваша основная задача как архитектора или разработчика решения – определить эти самые нативные и удобные триггеры, в тех ситуациях, в которых может оказаться ваш пользователь.
И как пример правильной реализации, несколько решений из области информационной безопасности:
🔻Программа для андроид смартфонов Ripple , которая позволяет запустить действия типа оповещения (по заранее установленным контактам), удаления определённых данных на смартфоне, выполнению GET-запроса или скрытию приложения. Используя следующие нативные триггеры:
- Отсутствия входа в систему с определённой периодичностью.
- Приближение к какой-либо геозоне
- нажатие определённым образом на одну из аппаратных кнопок смартфона
- взаимодействие с виджетом на экране
Проект хоть и заброшен около 4 лет как, но имеет хорошо описанный API и открытый исходный код позволяющий создать что-то свое на его базе.
🔻Программа usbkill которая выполняет очень простое действие: отслеживая наличие в usb порте определённое usb устройство, просто выключает компьютер, когда оно извлекается, лишая этим злоумышленников доступа к вашим данным. Конечно же смысл в этом, только когда на вашем компьютере или планшете включено шифрование диска.
#процессы
Когда разрабатывают какую-нибудь сложную, но эффективную (на первый взгляд) систему безопасности, часто забывают про то, как и в каких обстоятельствах ею будут пользоваться. И получаются, например такие решения- чтобы запустить процесс, связанный с отработкой угрозы, нужно потратить такое количество времени и сделать такое количество шагов, что все действия к моменту запуска механизма безопасности будет уже бессмысленно. Например, одна бАААльшая компания, занимающаяся физической охраной, запустила услугу «Личный телохранитель». Но чтобы вызвать ГБР к месту конфликта, (который безусловно автоматически определялся при помощи смартфона- нужно же быть инновационными) нужно было на этом самом смартфоне совершить 12 действий, на которые в лучшем случае пользователь тратил 22 секунды (если был знаком с интерфейсом программы и знал, что-где находится). Согласитесь, как правило в подобных ситуациях такой возможности просто не случается.
🔴 Из этого следует – любые средства безопасности должны максимально удобными и нативно запускаемыми! А ваша основная задача как архитектора или разработчика решения – определить эти самые нативные и удобные триггеры, в тех ситуациях, в которых может оказаться ваш пользователь.
И как пример правильной реализации, несколько решений из области информационной безопасности:
🔻Программа для андроид смартфонов Ripple , которая позволяет запустить действия типа оповещения (по заранее установленным контактам), удаления определённых данных на смартфоне, выполнению GET-запроса или скрытию приложения. Используя следующие нативные триггеры:
- Отсутствия входа в систему с определённой периодичностью.
- Приближение к какой-либо геозоне
- нажатие определённым образом на одну из аппаратных кнопок смартфона
- взаимодействие с виджетом на экране
Проект хоть и заброшен около 4 лет как, но имеет хорошо описанный API и открытый исходный код позволяющий создать что-то свое на его базе.
🔻Программа usbkill которая выполняет очень простое действие: отслеживая наличие в usb порте определённое usb устройство, просто выключает компьютер, когда оно извлекается, лишая этим злоумышленников доступа к вашим данным. Конечно же смысл в этом, только когда на вашем компьютере или планшете включено шифрование диска.
8
This media is not supported in your browser
VIEW IN TELEGRAM
КАК ЗАМЕНИТЬ ОБЛАКА, КОНТРОЛИРОВАТЬ РАБОТУ СОТРУДНИКОВ И НЕМНОГО ОБЕЗОПАСИТЬСЯ ОТ СЛИВОВ ДАННЫХ.
#процессы
Первой мыслью, когда мы говорим о теме защиты от сливов внутренних данных, является конечно же история про то, чтобы загнать сотрудников в полностью контролируемую среду. Тут главное не перегнуть палку с запретами и сделать эту среду максимально удобной и доступной. Давайте попробуем описать большинство потребностей:
• Нужно хранить файлы, и чтобы к ним был доступ как самого сотрудника, с разграничением доступа.
• Нужно эти файлы создавать и редактировать (в общем нужен аналог Google Docs)
• Нужно хранить, редактировать и просматривать фото
• Почтовый клиент (куда же без него в коммерческой компании)
• Мессенджер
• Сервис видеоконференций
• Календарь
• Заметки
• Возможность добавлять функционал.
И главное - контролировать все это с целью понимания того, кто когда и что именно делал с данными компании.
Безусловно есть масса коммерческих решений за много-много денег. Но что делать коммерческому предприятию с небольшим штатом и не таким гламурно-богатым бюджетом как у больших компаний. Существует два практически одинаковых (на самом деле у них одни корни- просто команда в какой то момент разделилась и начала пилить каждая свой вариант) открытых и бесплатных решения OwnCloud и NextCloud.
Это так называемый self-hosted сервер, который вы можете совершенно бесплатно развернуть хоть на NAS, хоть на виртуальной машине, хоть на отдельном компьютере создав персональный аналог Google Docs, с доступом ко всем этим возможностям через обычный браузер. Но главной особенностью будет то, что вы сможете контролировать каждое действие пользователей в этой среде, вплоть до того, кто и какие файлы скачивал и на какое устройство.
Ну а я лично, считаю это идеальным вариантом для работы в команде, малого и среднего бизнеса, особенно по соотношению цена/качество (все таки настройка и внедрение стоит денег).
#процессы
Первой мыслью, когда мы говорим о теме защиты от сливов внутренних данных, является конечно же история про то, чтобы загнать сотрудников в полностью контролируемую среду. Тут главное не перегнуть палку с запретами и сделать эту среду максимально удобной и доступной. Давайте попробуем описать большинство потребностей:
• Нужно хранить файлы, и чтобы к ним был доступ как самого сотрудника, с разграничением доступа.
• Нужно эти файлы создавать и редактировать (в общем нужен аналог Google Docs)
• Нужно хранить, редактировать и просматривать фото
• Почтовый клиент (куда же без него в коммерческой компании)
• Мессенджер
• Сервис видеоконференций
• Календарь
• Заметки
• Возможность добавлять функционал.
И главное - контролировать все это с целью понимания того, кто когда и что именно делал с данными компании.
Безусловно есть масса коммерческих решений за много-много денег. Но что делать коммерческому предприятию с небольшим штатом и не таким гламурно-богатым бюджетом как у больших компаний. Существует два практически одинаковых (на самом деле у них одни корни- просто команда в какой то момент разделилась и начала пилить каждая свой вариант) открытых и бесплатных решения OwnCloud и NextCloud.
Это так называемый self-hosted сервер, который вы можете совершенно бесплатно развернуть хоть на NAS, хоть на виртуальной машине, хоть на отдельном компьютере создав персональный аналог Google Docs, с доступом ко всем этим возможностям через обычный браузер. Но главной особенностью будет то, что вы сможете контролировать каждое действие пользователей в этой среде, вплоть до того, кто и какие файлы скачивал и на какое устройство.
Ну а я лично, считаю это идеальным вариантом для работы в команде, малого и среднего бизнеса, особенно по соотношению цена/качество (все таки настройка и внедрение стоит денег).
Media is too big
VIEW IN TELEGRAM
КАК ВЫЯВЛЯТЬ ВИДЕО ДИПФЕЙКИ. ЧАСТЬ 1 ИЗ 2
#osint
На приложенном к этому посту видео файле пример подделки видео с применением нейросети, взятое из Телеграм-канала BAZA неделю назад. И на его примере я хочу рассмотреть 6 простых "маяков" за которые вы сможете цепляться в процессе собственных исследований и верификации найденной информации.
Сразу же сделаем маленькую оговорку- говорящий на видео в оригинале. не является профессиональным диктором и в оригинале имеет как ряд аудиальных особенностей речи, так и активную мимику в процессе речи. И конечно же для полноценного анализа, вы всегда должны иметь образец того, как человек говорит в реальной жизни.
🔻1. Рассинхрон движения губ и текста, который проговаривает человек. Звуковая дорожка периодически перегоняет движения губ.
🔻2. Неестественное движение губ при проговаривании текста. Обратите внимание на движения верхней губы.
🔻3. Речь чистая без естественных звуковых артефактов, связанных с речевыми особенностями обычного человека. Каждый человек (за исключением профессиональных дикторов) имеет набор речевых артефактов - такие как слова/звуки-паразиты ("эмм", "эээ", причмокивания, вдох воздуха и т. п.) в данном примере мы видим ровную речь.
🔻4. Минимальная артикуляция.
🔻5. Отсутствие эмоционального окраса речи. Весь текст произносится монотонно в отрыве эт эмоционального контекста.
🔻6. Отсутствие фоновых аудио шумов относительно помещения и условий, в которых проводилась съёмка. Если мы посмотрим на звуковую дорожку используя анализатор аудио спектра, то мы получим полностью чистый аудио фон, что в данных условиях невозможно при подобном способе записи. В видео-примере, данный материал вероятнее всего снят на телефон с записью звука на встроенный микрофон в помещение с ровной стеной, покрытой каким-то звук отражающим материалом типа краски или обоев, что должно давать как минимум эхо.
🔴Видео взято из открытых источников, является примером подделки медиа публикаций с использованием инструментов на основе нейросетей.
#osint
На приложенном к этому посту видео файле пример подделки видео с применением нейросети, взятое из Телеграм-канала BAZA неделю назад. И на его примере я хочу рассмотреть 6 простых "маяков" за которые вы сможете цепляться в процессе собственных исследований и верификации найденной информации.
Сразу же сделаем маленькую оговорку- говорящий на видео в оригинале. не является профессиональным диктором и в оригинале имеет как ряд аудиальных особенностей речи, так и активную мимику в процессе речи. И конечно же для полноценного анализа, вы всегда должны иметь образец того, как человек говорит в реальной жизни.
🔻1. Рассинхрон движения губ и текста, который проговаривает человек. Звуковая дорожка периодически перегоняет движения губ.
🔻2. Неестественное движение губ при проговаривании текста. Обратите внимание на движения верхней губы.
🔻3. Речь чистая без естественных звуковых артефактов, связанных с речевыми особенностями обычного человека. Каждый человек (за исключением профессиональных дикторов) имеет набор речевых артефактов - такие как слова/звуки-паразиты ("эмм", "эээ", причмокивания, вдох воздуха и т. п.) в данном примере мы видим ровную речь.
🔻4. Минимальная артикуляция.
🔻5. Отсутствие эмоционального окраса речи. Весь текст произносится монотонно в отрыве эт эмоционального контекста.
🔻6. Отсутствие фоновых аудио шумов относительно помещения и условий, в которых проводилась съёмка. Если мы посмотрим на звуковую дорожку используя анализатор аудио спектра, то мы получим полностью чистый аудио фон, что в данных условиях невозможно при подобном способе записи. В видео-примере, данный материал вероятнее всего снят на телефон с записью звука на встроенный микрофон в помещение с ровной стеной, покрытой каким-то звук отражающим материалом типа краски или обоев, что должно давать как минимум эхо.
🔴Видео взято из открытых источников, является примером подделки медиа публикаций с использованием инструментов на основе нейросетей.
2
This media is not supported in your browser
VIEW IN TELEGRAM
КАК ВЫЯВЛЯТЬ ВИДЕО ДИПФЕЙКИ. ЧАСТЬ 2 ИЗ 2
#osint
Теперь же когда мы понимаем за что должен цепляться ваш мозг при неоднозначном видеоматериале, рассмотрим оригинал записи (по утверждению ТГ-канала – источника BAZA) и на его примере соберём «маяки», являющиеся характерными особенностями определённого человека, которые могут быть референсными точками для определения оригинальности медиа публикаций в дальнейшем. Хорошим инструментом тут может служить программа Praat позволяющая создать голосовой отпечаток, для дальнейшей идентификации человека.
🔻1. Особенности произношения. Характерные ударения в словах, произношения букв в словах.
🔻2. Особенности артикуляции. Обращайте внимание как двигаются губы в моменте произношения определённых слов.
🔻3. Особенности мимики. Как мы видим в примере, человек периодически подтягивает верхний уголок рта. Так же обращайте внимание на общую мимику лица и ее характерные особенности.
🔻4. Особенности дыхания. Процессы вдоха и выдох, слышны отчётливо и характерны при произношении слов в предложение. Так же характерным маяком будет то, как человек дышит- носом или ртом, в определённые моменты речи.
🔻5. Голосовые артефакты. Обращайте внимания как человек сопровождает, например процесс подбирания слов (тянущиеся окончания в словах, звуки-паразиты "эээ","ммм", "кхе" и т.п.)
🔻6. Эмоциональный окрас процесса речи. Любой человек (опять же, за исключением проф. диктора) будет произносить речь в контексте обстоятельств, в которых он находится. И несоответствие контекста с эмоциями может быть маркером того, что перед вами подделка.
🔻7. Звуковой фон. В отличии от фейка здесь мы как раз слышим и эхо, характерное для помещений такого типа, и посторонние фоновые звуки, которые можно идентифицировать в контексте.
🔴Видео взято из открытых источников.
#osint
Теперь же когда мы понимаем за что должен цепляться ваш мозг при неоднозначном видеоматериале, рассмотрим оригинал записи (по утверждению ТГ-канала – источника BAZA) и на его примере соберём «маяки», являющиеся характерными особенностями определённого человека, которые могут быть референсными точками для определения оригинальности медиа публикаций в дальнейшем. Хорошим инструментом тут может служить программа Praat позволяющая создать голосовой отпечаток, для дальнейшей идентификации человека.
🔻1. Особенности произношения. Характерные ударения в словах, произношения букв в словах.
🔻2. Особенности артикуляции. Обращайте внимание как двигаются губы в моменте произношения определённых слов.
🔻3. Особенности мимики. Как мы видим в примере, человек периодически подтягивает верхний уголок рта. Так же обращайте внимание на общую мимику лица и ее характерные особенности.
🔻4. Особенности дыхания. Процессы вдоха и выдох, слышны отчётливо и характерны при произношении слов в предложение. Так же характерным маяком будет то, как человек дышит- носом или ртом, в определённые моменты речи.
🔻5. Голосовые артефакты. Обращайте внимания как человек сопровождает, например процесс подбирания слов (тянущиеся окончания в словах, звуки-паразиты "эээ","ммм", "кхе" и т.п.)
🔻6. Эмоциональный окрас процесса речи. Любой человек (опять же, за исключением проф. диктора) будет произносить речь в контексте обстоятельств, в которых он находится. И несоответствие контекста с эмоциями может быть маркером того, что перед вами подделка.
🔻7. Звуковой фон. В отличии от фейка здесь мы как раз слышим и эхо, характерное для помещений такого типа, и посторонние фоновые звуки, которые можно идентифицировать в контексте.
🔴Видео взято из открытых источников.
7
ИСПОЛЬЗОВАНИЕ ТЕПЛОВИЗОРА ДЛЯ ПОИСКА РАДИО ЗАКЛАДОК И НЕ ТОЛЬКО.
#антишпионаж
Почему-то коллеги, занимающиеся поиском технических каналов утечек информации, не часто берут во внимание такой замечательный прибор как тепловизор. А ведь это очень полезная в хозяйстве вещь для любого безопасника. И радио закладку найти можно (ибо греется передающая часть), и модульную wifi или lte микрокамеру (ибо греется как передатчик, так и модуль камеры) и проверить подключена ли обычная камера наблюдения или просто посмотреть "а что там вообще греется в неположенном месте." Тут главное помнить, как эту закладку вообще могут замаскировать в предмете и какой из материалов тепло не проводит, так как тепловизионная камера измеряет температуру только поверхности.
Вполне возможно, что коллеги мало используют тепловизоры из-за своей цены, так как прибор с хорошим разрешением и чувствительностью до недавнего времени стоил под 200к рублей, но тут, как всегда, на помощь приходит планетарная фабрика всего - Китай. Два тепловизора которые меня порадовали за последний год по соотношению цена/качество: InfiRay P2pro и T2pro (выбрать между ними не смог и купил оба). Оба стоят в районе 25-30к рублей, являются usb-устройствами и по внутренним характеристикам весьма похожи, отличия в фокусном расстояние- P2pro предназначен для работы в ближней зоне (в если использовать макро линзу входящую в комплект, то и для работы с микроэлектроникой), а вот T2pro - имеет длиннофокусную оптику и может в каких то моментах заменить и "теплак" для оружия (да и парни на передовой используют подобное для детекции дронов в том числе).
Конечно же это не убердевайс который найдёт все (например миниатюрные модели диктофонов практически не греются при работе), но может быть очень полезным подспорьем в поисковых мероприятиях.
Ну а на фото в обложке к этому посту как раз пример того, как выглядит замаскированная видеокамера в датчике дыма из моей практики.
#антишпионаж
Почему-то коллеги, занимающиеся поиском технических каналов утечек информации, не часто берут во внимание такой замечательный прибор как тепловизор. А ведь это очень полезная в хозяйстве вещь для любого безопасника. И радио закладку найти можно (ибо греется передающая часть), и модульную wifi или lte микрокамеру (ибо греется как передатчик, так и модуль камеры) и проверить подключена ли обычная камера наблюдения или просто посмотреть "а что там вообще греется в неположенном месте." Тут главное помнить, как эту закладку вообще могут замаскировать в предмете и какой из материалов тепло не проводит, так как тепловизионная камера измеряет температуру только поверхности.
Вполне возможно, что коллеги мало используют тепловизоры из-за своей цены, так как прибор с хорошим разрешением и чувствительностью до недавнего времени стоил под 200к рублей, но тут, как всегда, на помощь приходит планетарная фабрика всего - Китай. Два тепловизора которые меня порадовали за последний год по соотношению цена/качество: InfiRay P2pro и T2pro (выбрать между ними не смог и купил оба). Оба стоят в районе 25-30к рублей, являются usb-устройствами и по внутренним характеристикам весьма похожи, отличия в фокусном расстояние- P2pro предназначен для работы в ближней зоне (в если использовать макро линзу входящую в комплект, то и для работы с микроэлектроникой), а вот T2pro - имеет длиннофокусную оптику и может в каких то моментах заменить и "теплак" для оружия (да и парни на передовой используют подобное для детекции дронов в том числе).
Конечно же это не убердевайс который найдёт все (например миниатюрные модели диктофонов практически не греются при работе), но может быть очень полезным подспорьем в поисковых мероприятиях.
Ну а на фото в обложке к этому посту как раз пример того, как выглядит замаскированная видеокамера в датчике дыма из моей практики.
3
This media is not supported in your browser
VIEW IN TELEGRAM
КАК ОТСЛЕДИТЬ ПРИНТЕР, НА КОТОРОМ НАПЕЧАТАН ДОКУМЕНТ.
#расследования
Наверняка многие из вас слышали про так называемые "жёлтые точки". Ещё в 1992 году компания Xerox запатентовала способ идентификации бумажных отпечатков относительно того, на чем они были напечатаны. Способ прост, как и все гениальное- при помощи разбросанных по листу мелких жёлтых точек кодируется модель принтера, серийный номер, дата печати и ещё набор всякой полезной информации до кучи. Чуть позже остальные производители типа Canon, Epson, Dell и HP так же подхватили данный способ борьбы с любителями напечатать что-нибудь незаконное.
Вот тут кстати подборка материалов по теме и уже достаточно старенький перечень принтеров, которые поддерживают этот функционал. А тут сервис, который позволяет, загрузив отсканированный предварительно документ, проверить его на наличие этих самых точек.
Но все-таки этот канал про практику и прикладные умения, поэтому я хочу вам рассказать про DEDA - фреймворк, который может не только выявить вендорские маяки, но и поставить свои собственные (чтобы вы занялись расследованием утечек информации как я писал ранее) или наоборот анонимизировать ваш документ при помощи замусоривания точками. Хочу отметить, что версия под Windows имеет очень удобный и простой интерфейс.
#расследования
Наверняка многие из вас слышали про так называемые "жёлтые точки". Ещё в 1992 году компания Xerox запатентовала способ идентификации бумажных отпечатков относительно того, на чем они были напечатаны. Способ прост, как и все гениальное- при помощи разбросанных по листу мелких жёлтых точек кодируется модель принтера, серийный номер, дата печати и ещё набор всякой полезной информации до кучи. Чуть позже остальные производители типа Canon, Epson, Dell и HP так же подхватили данный способ борьбы с любителями напечатать что-нибудь незаконное.
Вот тут кстати подборка материалов по теме и уже достаточно старенький перечень принтеров, которые поддерживают этот функционал. А тут сервис, который позволяет, загрузив отсканированный предварительно документ, проверить его на наличие этих самых точек.
Но все-таки этот канал про практику и прикладные умения, поэтому я хочу вам рассказать про DEDA - фреймворк, который может не только выявить вендорские маяки, но и поставить свои собственные (чтобы вы занялись расследованием утечек информации как я писал ранее) или наоборот анонимизировать ваш документ при помощи замусоривания точками. Хочу отметить, что версия под Windows имеет очень удобный и простой интерфейс.
1
ПРО ЛИЧНОГО ВРАГА РАССЛЕДОВАТЕЛЯ.
#психология
У расследователя существует один главный враг – это он сам! А если быть точнее, то его когнитивные искажения. Например, возьмём бывшего сотрудника полиции- казалось бы должен быть профессионалом до мозга костей, не подверженный никаким вот этим самым. Но давайте вспомним работу на службе- надо как можно скорее провести дознание, расследование, экспертизы и вот это вот все, чтобы как можно быстрее передать в суд - ибо начальство будет долго, качественно, и с особым цинизмом иметь тебе мозг относительно показателей. Да и отношение к людям находящимся под следствием со временем очень сильно меняется…
В корпоративной среде все по-другому - вашей основной задачей является максимально точно реконструировать цепочку событий, провести беспристрастный анализ и как итог представить максимально точный и конструктивный отчёт о проведённых мероприятиях. При этом соблюдая правила внутрикорпоративного политеса. Но тут, как раз мы сами, с нашими привычками и убеждениями можем себе помешать.
Существует масса внутренних искажений, которые влияют на наше суждения, я же хочу выделить 4 основные:
🔻ИЗБИРАТЕЛЬНОСТЬ. Наш мозг гораздо лучше выделяет информацию из той предметной области, с которой раньше сталкивался, либо имеет хоть какое-то поверхностное представление.
🔻НАСТРОЙ НА ОПРЕДЕЛЕННУЮ ИНФОРМАЦИЮ. У каждого из нас есть собственные убеждения- политические взгляды, религия, отношение к определённым людям или событиям и многое другое. В зависимости от своего отношения мы более открыты к информации, которая находится в более положительном контексте.
🔻ПРИВЯЗКА К АВТОРИТЕТАМ. Если информация приходит от внутренне значимых для вас источников, то она будет вами считаться более достоверной.
🔻МНИМАЯ СКРЫТОСТЬ ПОЛУЧЕНИЯ. Подслушанная или полученная по секрету информация считается более достоверной.
Что же со всем этим делать? Все очень просто:
1. ПОСТОЯННО РАСШИРЯЙТЕ СВОЙ КРУГОЗОР. Изучайте предметную часть в зависимости от того, в какой теме проводите своё расследование и не стесняйтесь обращаться к экспертам в той же области.
2. ОСТАВАТЕСЬ ХЛАДНОКРОВНЫМ И НЕПРЕДВЗЯТЫМИ. Вне зависимости каких взглядов вы придерживаетесь и вне зависимости от вашего отношения к объекту исследований, старайтесь объективно анализировать информацию, полученную вами в процессе исследования.
3. ОБЯЗАТЕЛЬНО ВЕРИФИЦИРУЙТЕ ВСЮ ИНФОРМАЦИЮ. В независимости от того, от кого и каким способам вы получили данные, вся используемая информация должна быть верифицирована перед тем, как будет использована для выводов.
#психология
У расследователя существует один главный враг – это он сам! А если быть точнее, то его когнитивные искажения. Например, возьмём бывшего сотрудника полиции- казалось бы должен быть профессионалом до мозга костей, не подверженный никаким вот этим самым. Но давайте вспомним работу на службе- надо как можно скорее провести дознание, расследование, экспертизы и вот это вот все, чтобы как можно быстрее передать в суд - ибо начальство будет долго, качественно, и с особым цинизмом иметь тебе мозг относительно показателей. Да и отношение к людям находящимся под следствием со временем очень сильно меняется…
В корпоративной среде все по-другому - вашей основной задачей является максимально точно реконструировать цепочку событий, провести беспристрастный анализ и как итог представить максимально точный и конструктивный отчёт о проведённых мероприятиях. При этом соблюдая правила внутрикорпоративного политеса. Но тут, как раз мы сами, с нашими привычками и убеждениями можем себе помешать.
Существует масса внутренних искажений, которые влияют на наше суждения, я же хочу выделить 4 основные:
🔻ИЗБИРАТЕЛЬНОСТЬ. Наш мозг гораздо лучше выделяет информацию из той предметной области, с которой раньше сталкивался, либо имеет хоть какое-то поверхностное представление.
🔻НАСТРОЙ НА ОПРЕДЕЛЕННУЮ ИНФОРМАЦИЮ. У каждого из нас есть собственные убеждения- политические взгляды, религия, отношение к определённым людям или событиям и многое другое. В зависимости от своего отношения мы более открыты к информации, которая находится в более положительном контексте.
🔻ПРИВЯЗКА К АВТОРИТЕТАМ. Если информация приходит от внутренне значимых для вас источников, то она будет вами считаться более достоверной.
🔻МНИМАЯ СКРЫТОСТЬ ПОЛУЧЕНИЯ. Подслушанная или полученная по секрету информация считается более достоверной.
Что же со всем этим делать? Все очень просто:
1. ПОСТОЯННО РАСШИРЯЙТЕ СВОЙ КРУГОЗОР. Изучайте предметную часть в зависимости от того, в какой теме проводите своё расследование и не стесняйтесь обращаться к экспертам в той же области.
2. ОСТАВАТЕСЬ ХЛАДНОКРОВНЫМ И НЕПРЕДВЗЯТЫМИ. Вне зависимости каких взглядов вы придерживаетесь и вне зависимости от вашего отношения к объекту исследований, старайтесь объективно анализировать информацию, полученную вами в процессе исследования.
3. ОБЯЗАТЕЛЬНО ВЕРИФИЦИРУЙТЕ ВСЮ ИНФОРМАЦИЮ. В независимости от того, от кого и каким способам вы получили данные, вся используемая информация должна быть верифицирована перед тем, как будет использована для выводов.
МОДЕЛЬ УГРОЗ ИЛИ ДЛЯ ЧЕГО ВСЕГДА НУЖЕН ПЛАН Б. ЧАСТЬ ПЕРВАЯ. ОСНОВЫ.
#процессы
Любые мероприятия, направленные на обеспечение безопасности начинаются с построения модели угроз. Казалось бы чего проще- выписал в столбик от чего или кого ты должен защищаться и выстраивай все исходя из плана. Но нет! В 80% случаев, когда меня зовут провести аудит, на мой вопрос «А чего у вас там с моделью угроз?» все что я вижу - молчаливый грустный взгляд. И если в ИБ ситуация еще более-менее, хоть и чаще всего имеет место быть очень формальный подход (там, все-таки живет «страшные» регулятор), то в техническое или физическое направление этой отрасли – мрак! ☹️ Так что в этой серии постов постараемся устроить ликбез максимально простым языком.
Начнем с простого:
МОДЕЛЬ УГРОЗ – подробная «карта» потенциальных атак и уязвимостей, которым подвержена компания либо объект вашей защиты. Она содержит структурированные данные об актуальных угрозах, их источниках и объектах воздействия, возможном ущербе, а также планируемых мерах противодействия. Отдельное внимание уделяется моделированию потенциальных нарушителей – как внешних недоброжелателей, так и людей из «внутреннего круга доверия» ну или попросту -инсайдеров.
В реальности ее самая простая реализация выглядит как набор столбцов в таблице, наполнение которых уже зависит напрямую как от контекста, в котором находится объект защиты, так и от вашей внимательности и прозорливости.
Рассмотрим основные столбцы таблицы модели угроз, которые мы в последствии будет дополнять, используя ее как скелет:
🔺УГРОЗА. Собственно, само то, что может гипотетически произойти с вашим объектом защиты.
🔺ТОЧКА ВОЗДЕЙСТВИЯ. То, на что или кого будет направлен вектор атаки, предназначенный для того, чтобы эту угрозу реализовать.
🔺МЕТОД ВОЗДЕЙСТВИЯ. Гипотетический способ или метод того, как будет происходить влияние на точку воздействия.
🔺ИСТОЧНИК УГРОЗЫ. Он же НАРУШИТЕЛЬ - тот, кто может быть инициатором или заказчиком осуществления угрозы.
🔺ПОСЛЕДСТВИЯ РЕАЛИЗАЦИИ УГРОЗЫ. Описываем то, что может произойти если зафиксированную нами угрозу, смогли удачно осуществить.
🔺КРИТИЧНОСТЬ. Насколько критично для объекта защиты успешно реализованная угроза.
🔺ВЕРОЯТНОСТЬ. Вероятность наступления события-угрозы, с учетом контекста объекта защиты. Рассчитывается преимущественно через качественный анализ данных.
🔺СПОСОБЫ ПРОТИВОДЕЙСТВИЯ. Описываем применяемые (текущие или планируемые) решения для того, чтобы угроза не произошла.
🔺ПЛАН МИТИГАЦИИ. А в этом столбце делаем набросок собственных действий, в случае, когда угроза успешно реализовалась злоумышленником, и нам с этим надо как-то жить дальше.
А в подспорье вашей работе, могу лично от себя посоветовать сервис, который делает один хороший человек Николай Казанцев - Securitm. Хоть и ориентирован сервис на ИБ в основном, но даёт очень хорошую картину как выстраивать риско ориентированную модель безопасности. Плюс это одна из немногих, на мой взгляд российских sgrc систем, с человеческим лицом, которая при всей своей смысловой ценности имеет ещё и бесплатную версию для сообщества.
#процессы
Любые мероприятия, направленные на обеспечение безопасности начинаются с построения модели угроз. Казалось бы чего проще- выписал в столбик от чего или кого ты должен защищаться и выстраивай все исходя из плана. Но нет! В 80% случаев, когда меня зовут провести аудит, на мой вопрос «А чего у вас там с моделью угроз?» все что я вижу - молчаливый грустный взгляд. И если в ИБ ситуация еще более-менее, хоть и чаще всего имеет место быть очень формальный подход (там, все-таки живет «страшные» регулятор), то в техническое или физическое направление этой отрасли – мрак! ☹️ Так что в этой серии постов постараемся устроить ликбез максимально простым языком.
Начнем с простого:
МОДЕЛЬ УГРОЗ – подробная «карта» потенциальных атак и уязвимостей, которым подвержена компания либо объект вашей защиты. Она содержит структурированные данные об актуальных угрозах, их источниках и объектах воздействия, возможном ущербе, а также планируемых мерах противодействия. Отдельное внимание уделяется моделированию потенциальных нарушителей – как внешних недоброжелателей, так и людей из «внутреннего круга доверия» ну или попросту -инсайдеров.
В реальности ее самая простая реализация выглядит как набор столбцов в таблице, наполнение которых уже зависит напрямую как от контекста, в котором находится объект защиты, так и от вашей внимательности и прозорливости.
Рассмотрим основные столбцы таблицы модели угроз, которые мы в последствии будет дополнять, используя ее как скелет:
🔺УГРОЗА. Собственно, само то, что может гипотетически произойти с вашим объектом защиты.
🔺ТОЧКА ВОЗДЕЙСТВИЯ. То, на что или кого будет направлен вектор атаки, предназначенный для того, чтобы эту угрозу реализовать.
🔺МЕТОД ВОЗДЕЙСТВИЯ. Гипотетический способ или метод того, как будет происходить влияние на точку воздействия.
🔺ИСТОЧНИК УГРОЗЫ. Он же НАРУШИТЕЛЬ - тот, кто может быть инициатором или заказчиком осуществления угрозы.
🔺ПОСЛЕДСТВИЯ РЕАЛИЗАЦИИ УГРОЗЫ. Описываем то, что может произойти если зафиксированную нами угрозу, смогли удачно осуществить.
🔺КРИТИЧНОСТЬ. Насколько критично для объекта защиты успешно реализованная угроза.
🔺ВЕРОЯТНОСТЬ. Вероятность наступления события-угрозы, с учетом контекста объекта защиты. Рассчитывается преимущественно через качественный анализ данных.
🔺СПОСОБЫ ПРОТИВОДЕЙСТВИЯ. Описываем применяемые (текущие или планируемые) решения для того, чтобы угроза не произошла.
🔺ПЛАН МИТИГАЦИИ. А в этом столбце делаем набросок собственных действий, в случае, когда угроза успешно реализовалась злоумышленником, и нам с этим надо как-то жить дальше.
А в подспорье вашей работе, могу лично от себя посоветовать сервис, который делает один хороший человек Николай Казанцев - Securitm. Хоть и ориентирован сервис на ИБ в основном, но даёт очень хорошую картину как выстраивать риско ориентированную модель безопасности. Плюс это одна из немногих, на мой взгляд российских sgrc систем, с человеческим лицом, которая при всей своей смысловой ценности имеет ещё и бесплатную версию для сообщества.
This media is not supported in your browser
VIEW IN TELEGRAM
ПРОФАЙЛИНГ ПО СОЦИАЛЬНЫМ СЕТЯМ. ЗАПОЛНЯЕМОСТЬ ПРОФИЛЯ. ЧАСТЬ 1 ИЗ 2
#психология
Определение психотипа человека- одно из самых важных действий в моменты, когда мы пытаемся спрогнозировать его настоящие или будущие действия. Понять его мотивы или выстроить с ним коммуникацию например, в переговорном процессе. И это просто, если мы имеем возможность наблюдать за ним в живую. Достаточно внимательности и вашего острого ума. Но что делать, если напрямую ваш визави недоступен? Конечно же, обратить внимание на то, как он ведёт свои социальные сети! Рассмотрим на примере 7 радикалов, используемых в профайлинге.
🔻ИСТЕРОИДНЫЙ
• общая заполненность сведений: высокая, с претензией на оригинальность
• место и характеристика работы: указывается, если престижная, описывается с “героической” стороны
• личный проект/сайт/блог: если есть, то указывается неоднократно
• информация о семье: указывается
• контактная информация и ссылки на другие соцсети: чаще указывается
• образование и карьера: указывается, описываются наиболее ключевые и престижные места и проекты
• деятельность и интересы: много красивых деталей вокруг собственной персоны
🔻ЭПИЛЕПТОИДНЫЙ
• общая заполненность сведений: средняя, с акцентом на профессиональную деятельность
• место и характеристика работы: работа чаще однообразная с постепенным карьерным ростом, указывается, если уже определён профессиональный профиль
• личный проект/сайт/блог: указывается редко
• информация о семье: указывается редко
• контактная информация и ссылки на другие соцсети: указывается редко, могут быть указаны рабочие контакты
• образование и карьера: только ключевые этапы или только текущее место работы
• деятельность и интересы: мало подробностей, в основном указаны профессиональные интересы
🔻ШИЗОИДНЫЙ
• общая заполненность сведений: низкая
• место и характеристика работы: указывается, если работа статусная, часто информация неактуальная
• личный проект/сайт/блог: указан только при необходимости
• информация о семье: практически никогда не указывается
• контактная информация и ссылки на другие соцсети: указываются только если есть бизнес-потребность
• образование и карьера: только основное, без подробностей
• деятельность и интересы: дом и семья
🔻ЭМОТИВНЫЙ
• общая заполненность сведений: средняя, социально-ориентированная, без лишних секретов
• место и характеристика работы: указывается с эмоциональным/социальным окрасом
• личный проект/сайт/блог: чаще указан, если есть, но внимание на нем не акцентируется
• информация о семье: указана без подробностей
• контактная информация и ссылки на другие соцсети: иногда
• образование и карьера: указывает кратко, не скрывает, но и не выставляет напоказ
• деятельность и интересы: транслирует, что интересуется наукой и технологиями.
#психология
Определение психотипа человека- одно из самых важных действий в моменты, когда мы пытаемся спрогнозировать его настоящие или будущие действия. Понять его мотивы или выстроить с ним коммуникацию например, в переговорном процессе. И это просто, если мы имеем возможность наблюдать за ним в живую. Достаточно внимательности и вашего острого ума. Но что делать, если напрямую ваш визави недоступен? Конечно же, обратить внимание на то, как он ведёт свои социальные сети! Рассмотрим на примере 7 радикалов, используемых в профайлинге.
🔻ИСТЕРОИДНЫЙ
• общая заполненность сведений: высокая, с претензией на оригинальность
• место и характеристика работы: указывается, если престижная, описывается с “героической” стороны
• личный проект/сайт/блог: если есть, то указывается неоднократно
• информация о семье: указывается
• контактная информация и ссылки на другие соцсети: чаще указывается
• образование и карьера: указывается, описываются наиболее ключевые и престижные места и проекты
• деятельность и интересы: много красивых деталей вокруг собственной персоны
🔻ЭПИЛЕПТОИДНЫЙ
• общая заполненность сведений: средняя, с акцентом на профессиональную деятельность
• место и характеристика работы: работа чаще однообразная с постепенным карьерным ростом, указывается, если уже определён профессиональный профиль
• личный проект/сайт/блог: указывается редко
• информация о семье: указывается редко
• контактная информация и ссылки на другие соцсети: указывается редко, могут быть указаны рабочие контакты
• образование и карьера: только ключевые этапы или только текущее место работы
• деятельность и интересы: мало подробностей, в основном указаны профессиональные интересы
🔻ШИЗОИДНЫЙ
• общая заполненность сведений: низкая
• место и характеристика работы: указывается, если работа статусная, часто информация неактуальная
• личный проект/сайт/блог: указан только при необходимости
• информация о семье: практически никогда не указывается
• контактная информация и ссылки на другие соцсети: указываются только если есть бизнес-потребность
• образование и карьера: только основное, без подробностей
• деятельность и интересы: дом и семья
🔻ЭМОТИВНЫЙ
• общая заполненность сведений: средняя, социально-ориентированная, без лишних секретов
• место и характеристика работы: указывается с эмоциональным/социальным окрасом
• личный проект/сайт/блог: чаще указан, если есть, но внимание на нем не акцентируется
• информация о семье: указана без подробностей
• контактная информация и ссылки на другие соцсети: иногда
• образование и карьера: указывает кратко, не скрывает, но и не выставляет напоказ
• деятельность и интересы: транслирует, что интересуется наукой и технологиями.
This media is not supported in your browser
VIEW IN TELEGRAM
ПРОФАЙЛИНГ ПО СОЦИАЛЬНЫМ СЕТЯМ. ЗАПОЛНЯЕМОСТЬ ПРОФИЛЯ. ЧАСТЬ 2 ИЗ 2
#психология
🔻ГИПЕРТИМНЫЙ
• общая заполненность сведений: высокая, разнообразная
• место и характеристика работы: указывается деятельность, а не работа
• личный проект/сайт/блог: несколько ссылок не только на свои, но и левые проекты
• информация о семье: указана
• контактная информация и ссылки на другие соцсети: обязательно, с подробностями
• образование и карьера: указана с деталями, характерно большое количество проектов или активная смена мест работы
• деятельность и интересы: большое количество разноплановых интересов
🔻ПАРАНОЯЛЬНЫЙ
• общая заполненность сведений: низкая, в основном деловой контент
• место и характеристика работы: акцент на характере бизнеса
• личный проект/сайт/блог: иногда скрыт, иногда указан бренд
• информация о семье: чаще скрыта
• контактная информация и ссылки на другие соцсети: только если они выполняют бизнес-функцию
• образование и карьера: указывают только руководящие позиции или пишут несуществующие места работы
• деятельность и интересы: успех и карьера
🔻ТРЕВОЖНЫЙ
• общая заполненность сведений: выборочная
• место и характеристика работы: чаще не указывается
• личный проект/сайт/блог: редко
• информация о семье: редко
• контактная информация и ссылки на другие соцсети: редко, только если соцсеть выполняет важную функцию
• образование и карьера: только основное
• деятельность и интересы: карьера, стабильность, консервативные интересы
#психология
🔻ГИПЕРТИМНЫЙ
• общая заполненность сведений: высокая, разнообразная
• место и характеристика работы: указывается деятельность, а не работа
• личный проект/сайт/блог: несколько ссылок не только на свои, но и левые проекты
• информация о семье: указана
• контактная информация и ссылки на другие соцсети: обязательно, с подробностями
• образование и карьера: указана с деталями, характерно большое количество проектов или активная смена мест работы
• деятельность и интересы: большое количество разноплановых интересов
🔻ПАРАНОЯЛЬНЫЙ
• общая заполненность сведений: низкая, в основном деловой контент
• место и характеристика работы: акцент на характере бизнеса
• личный проект/сайт/блог: иногда скрыт, иногда указан бренд
• информация о семье: чаще скрыта
• контактная информация и ссылки на другие соцсети: только если они выполняют бизнес-функцию
• образование и карьера: указывают только руководящие позиции или пишут несуществующие места работы
• деятельность и интересы: успех и карьера
🔻ТРЕВОЖНЫЙ
• общая заполненность сведений: выборочная
• место и характеристика работы: чаще не указывается
• личный проект/сайт/блог: редко
• информация о семье: редко
• контактная информация и ссылки на другие соцсети: редко, только если соцсеть выполняет важную функцию
• образование и карьера: только основное
• деятельность и интересы: карьера, стабильность, консервативные интересы
КАК РАССЧИТАТЬ ЭКОНОМИЧЕСКУЮ ЭФФЕКТИВНОСТЬ ОТ ИБ МЕРОПРИЯТИЙ.
#процессы
Сегодня поговорим про экономику в информационной безопасности! Ведь по факту для бизнеса важно только одно- сколько вы сможете сохранить денег компании, после всех внедрений своих высокотехнологичных игрушек с приставкой "ИБ" и "Кибер" в название.
Для расчета экономического ущерба от реализованной угрозы ИБ я использую следующую очень простую методологию разделенную на 7 шагов:
1. Определение потерь до внедрения мероприятий (П1)
🔻 рассчитываем сколько потеряет организация в денежном эквиваленте если все так и останется и вы ничего не будете делать
2. Определение потерь после внедрения мероприятий (П2)
🔻 тут считаем экономические потери, которые ваша компания понесет в результате реализации той самой угрозы уже после того как вы внедрите свои решения в области ИБ. Ибо 100% эффективность в реальности, увы миф.
3. Расчет предотвращенного ущерба (Ппр)
🔻 эта переменная считается по разности гипотетических потерь до и после ваших мероприятий и показывает ту часть прибыли, которая могла быть потеряна. И выглядит как Ппр = П1 – П2.
4. Определение хозрасчетной эффективности (Эх.р.)
🔻 Эх.р. отражает количество средств, непосредственно возвращенных организации в результате деятельности по защите информации за расчетный период. Это могут быть, например, средства, полученные в результате депремирования сотрудников, виновных в инцидентах ИБ (виновных то надо наказать в назидание, средства, возмещенные третьей стороной, выплаченная страховая премия и т.п.
5. Расчет затрат на обеспечение (С).
🔻 Считаем все расходы на задуманные вами мероприятия. Тут и оплата труда специалистов, закупку и содержание (!) технических средств и софта и другие сопутствующие расходы за расчетный период.
6. Определение коэффициента эффективности (Кэф)
🔻 Рассчитываем по формуле Кэф = 1 – И/Иmax р.п.
где Ир.п. – количество инцидентов информационной безопасности за расчетный период, а Иmax р.п. – максимально возможное количество инцидентов информационной безопасности за расчетный период.
7. Расчет экономической эффективности (Ээф)
🔻 Ээф = (Ппр + Эх.р. – С) х Кэф.
Вот и всё! Согласитесь- это очень просто. И тем не менее, эта простая методология позволяет дать объективную экономическую оценку деятельности подразделения по защите информации и исключить условности в оценке.
#процессы
Сегодня поговорим про экономику в информационной безопасности! Ведь по факту для бизнеса важно только одно- сколько вы сможете сохранить денег компании, после всех внедрений своих высокотехнологичных игрушек с приставкой "ИБ" и "Кибер" в название.
Для расчета экономического ущерба от реализованной угрозы ИБ я использую следующую очень простую методологию разделенную на 7 шагов:
1. Определение потерь до внедрения мероприятий (П1)
🔻 рассчитываем сколько потеряет организация в денежном эквиваленте если все так и останется и вы ничего не будете делать
2. Определение потерь после внедрения мероприятий (П2)
🔻 тут считаем экономические потери, которые ваша компания понесет в результате реализации той самой угрозы уже после того как вы внедрите свои решения в области ИБ. Ибо 100% эффективность в реальности, увы миф.
3. Расчет предотвращенного ущерба (Ппр)
🔻 эта переменная считается по разности гипотетических потерь до и после ваших мероприятий и показывает ту часть прибыли, которая могла быть потеряна. И выглядит как Ппр = П1 – П2.
4. Определение хозрасчетной эффективности (Эх.р.)
🔻 Эх.р. отражает количество средств, непосредственно возвращенных организации в результате деятельности по защите информации за расчетный период. Это могут быть, например, средства, полученные в результате депремирования сотрудников, виновных в инцидентах ИБ (виновных то надо наказать в назидание, средства, возмещенные третьей стороной, выплаченная страховая премия и т.п.
5. Расчет затрат на обеспечение (С).
🔻 Считаем все расходы на задуманные вами мероприятия. Тут и оплата труда специалистов, закупку и содержание (!) технических средств и софта и другие сопутствующие расходы за расчетный период.
6. Определение коэффициента эффективности (Кэф)
🔻 Рассчитываем по формуле Кэф = 1 – И/Иmax р.п.
где Ир.п. – количество инцидентов информационной безопасности за расчетный период, а Иmax р.п. – максимально возможное количество инцидентов информационной безопасности за расчетный период.
7. Расчет экономической эффективности (Ээф)
🔻 Ээф = (Ппр + Эх.р. – С) х Кэф.
Вот и всё! Согласитесь- это очень просто. И тем не менее, эта простая методология позволяет дать объективную экономическую оценку деятельности подразделения по защите информации и исключить условности в оценке.
АКТУАЛЬНЫЕ_ТЕХНОЛОГИИ_ШПИОНАЖА_В_БИЗНЕС_СРЕДЕ.pdf
1.3 MB
Современный корпоративный шпионаж кажется со стороны очень специфическим и высокотехнологичным. Но на проверку оказывается что все достаточно проще - по статистике в качестве "прослушки" в 80% случаев используются обычные цифровые диктофоны. Ну и все то,что проще всего достать на рынке.
В этих слайдах вы сможете получить ответы на вопросы, что-же все таки используют чаще всего в корпоративном шпионаже, как это найти и как постараться противодействовать этому.
Инструментарий | Консалтинг
В этих слайдах вы сможете получить ответы на вопросы, что-же все таки используют чаще всего в корпоративном шпионаже, как это найти и как постараться противодействовать этому.
Инструментарий | Консалтинг
This media is not supported in your browser
VIEW IN TELEGRAM
УСЛУГИ BEHOLDERISHERE.CONSULTING
#Консалтинг
#КорпоративнаяБезопасность
#Расследования
#Безопасность
В современном бизнесе вопросы этики, безопасности и соблюдения корпоративных стандартов стоят особенно остро. Наше агентство поможет вам эффективно и профессионально проводить внутрикорпоративные расследования, обеспечивая защиту интересов компании и её сотрудников.
Что включают наши услуги?
🔻Оценка рисков и аудит
Мы проводим тщательный анализ внутренних процессов и выявляем уязвимости, которые могут быть использованы для злоупотреблений.
🔻Разработка методологий
Создание чётких и эффективных процедур для проведения расследований, адаптированных под специфику вашей компании.
🔻Проведение расследований
Опытные специалисты проводят всесторонние расследования случаев мошенничества, хищений, утечки информации и других инцидентов.
🔻Сбор и анализ доказательств
Мы используем современные методы сбора и анализа доказательств, чтобы обеспечить объективность и достоверность результатов.
🔻Подготовка отчётов
Подробные и структурированные отчёты, которые помогут вам принимать обоснованные решения и предпринимать необходимые меры.
🔻Обучение персонала
Проводим тренинги и обучение для сотрудников, чтобы они знали, как действовать в случае подозрений на нарушения и как правильно проводить внутренние расследования.
🔻Поддержка и консультации Предоставляем постоянную поддержку и консультации по вопросам, связанным с внутренними расследованиями и обеспечению безопасности, чтобы вы всегда могли рассчитывать на нашу помощь.
Почему мы?
🔻 Наша команда имеет многолетний опыт работы в области корпоративного права, психологического профайлинга и проведения расследований.
🔻 Мы строго соблюдаем конфиденциальность и обеспечиваем полный цикл защиты информации наших клиентов.
🔻 Наши эксперты публичны и известны на рынке безопасности и имеют непревзойдённую репутацию.
🔻 Мы учитываем особенности вашей компании и разрабатываем решения, которые максимально соответствуют именно вашим потребностям.
По всем вопросам: телеграм - аккаунт @BeholdersRedEye
#Консалтинг
#КорпоративнаяБезопасность
#Расследования
#Безопасность
В современном бизнесе вопросы этики, безопасности и соблюдения корпоративных стандартов стоят особенно остро. Наше агентство поможет вам эффективно и профессионально проводить внутрикорпоративные расследования, обеспечивая защиту интересов компании и её сотрудников.
Что включают наши услуги?
🔻Оценка рисков и аудит
Мы проводим тщательный анализ внутренних процессов и выявляем уязвимости, которые могут быть использованы для злоупотреблений.
🔻Разработка методологий
Создание чётких и эффективных процедур для проведения расследований, адаптированных под специфику вашей компании.
🔻Проведение расследований
Опытные специалисты проводят всесторонние расследования случаев мошенничества, хищений, утечки информации и других инцидентов.
🔻Сбор и анализ доказательств
Мы используем современные методы сбора и анализа доказательств, чтобы обеспечить объективность и достоверность результатов.
🔻Подготовка отчётов
Подробные и структурированные отчёты, которые помогут вам принимать обоснованные решения и предпринимать необходимые меры.
🔻Обучение персонала
Проводим тренинги и обучение для сотрудников, чтобы они знали, как действовать в случае подозрений на нарушения и как правильно проводить внутренние расследования.
🔻Поддержка и консультации Предоставляем постоянную поддержку и консультации по вопросам, связанным с внутренними расследованиями и обеспечению безопасности, чтобы вы всегда могли рассчитывать на нашу помощь.
Почему мы?
🔻 Наша команда имеет многолетний опыт работы в области корпоративного права, психологического профайлинга и проведения расследований.
🔻 Мы строго соблюдаем конфиденциальность и обеспечиваем полный цикл защиты информации наших клиентов.
🔻 Наши эксперты публичны и известны на рынке безопасности и имеют непревзойдённую репутацию.
🔻 Мы учитываем особенности вашей компании и разрабатываем решения, которые максимально соответствуют именно вашим потребностям.
По всем вопросам: телеграм - аккаунт @BeholdersRedEye
Флешка цифрового детектива 2024.pdf
1.6 MB
Наша ежегодная подборка из 12 программ, которые будут полезны для любого специалиста в области безопасности.
Инструментарий | Консалтинг
Инструментарий | Консалтинг
This media is not supported in your browser
VIEW IN TELEGRAM
ЧТО ТАКОЕ ЭКОНОМИЧЕСКАЯ РАЗВЕДКА?
Для многих она равнозначна бизнес-шпионажу. Однако часто полезная информация, которую можно использовать в конкурентных играх, лежит в публичном поле. А значит ее можно получить легально.
Вот ТОП-5 видов информации, которую по большинству компаний можно найти с помощью OSINT:
🔻 Информация о проектах в разработке. Здесь отлично помогают публичные выступления, информация о найме конкретных специалистов, анализ новых патентов и т.п.
🔻 Перечень ключевых клиентов. Часто компания сама прямо или косвенно рассказывает о проектах, которые можно связать с конкретным заказчиком. Кроме того ценную информацию можно получить из реестров ВЭД, социальных сетей сотрудников, и даже корпоративов.
🔻 Перечень поставщиков. И физические товары и цифровые продукты деанонимизируются. Использование конкретного ПО можно выявить, например, благодаря анализу сайта и публичных выступлений, крупные поставщики светятся в тендерах, а а еще сами исполнители очень любят хвастаться своими клиентами.
🔻 Сетевая инфраструктура и используемое ПО. Технологический стек добывается благодаря сетевым сканерам, анализу цифрового следа сотрудников и карьерных сайтов.
🔻 Непубличные бенефициары, которые влияют на ключевые решения в компании, но делают это через поставленных руководителей. Их связь с организацией чаще всего проявляется через лоббирование ее интересов или аффилированность с сотрудниками на руководящих позициях.
Аналогичным образом можно собирать базу сотрудников, искать неявный компромат в отношении компании, проводить геопространственный анализ производственных мощностей и так далее.
Обратиться за консультацией | Инструментарий
Для многих она равнозначна бизнес-шпионажу. Однако часто полезная информация, которую можно использовать в конкурентных играх, лежит в публичном поле. А значит ее можно получить легально.
Вот ТОП-5 видов информации, которую по большинству компаний можно найти с помощью OSINT:
🔻 Информация о проектах в разработке. Здесь отлично помогают публичные выступления, информация о найме конкретных специалистов, анализ новых патентов и т.п.
🔻 Перечень ключевых клиентов. Часто компания сама прямо или косвенно рассказывает о проектах, которые можно связать с конкретным заказчиком. Кроме того ценную информацию можно получить из реестров ВЭД, социальных сетей сотрудников, и даже корпоративов.
🔻 Перечень поставщиков. И физические товары и цифровые продукты деанонимизируются. Использование конкретного ПО можно выявить, например, благодаря анализу сайта и публичных выступлений, крупные поставщики светятся в тендерах, а а еще сами исполнители очень любят хвастаться своими клиентами.
🔻 Сетевая инфраструктура и используемое ПО. Технологический стек добывается благодаря сетевым сканерам, анализу цифрового следа сотрудников и карьерных сайтов.
🔻 Непубличные бенефициары, которые влияют на ключевые решения в компании, но делают это через поставленных руководителей. Их связь с организацией чаще всего проявляется через лоббирование ее интересов или аффилированность с сотрудниками на руководящих позициях.
Аналогичным образом можно собирать базу сотрудников, искать неявный компромат в отношении компании, проводить геопространственный анализ производственных мощностей и так далее.
Обратиться за консультацией | Инструментарий
This media is not supported in your browser
VIEW IN TELEGRAM
ТЕХНИЧЕСКИЕ ДОКАЗАТЕЛЬСТВА СВЯЗИ
Что может указывать на неочевидную аффилированность двух компаний?
Проводя бизнес-разведку аналитики чаще всего обращают внимание на финансовые взаимоотношения, и чуть реже на близкий круг бенефициаров. При этом мало кто пытается смотреть глубже, например, искать связь между компаниями по пересечению активов. Однако именно по таким неявным маркерам можно увидеть ценные зацепки.
Что может выступить зацепкой:
🔻Один и тот же администратор у доменных имен разных компаний (для проверки подойдет стандартный whois, например, check-host.net и analyzeid.com)
🔻Единая система товароучета (Например, две компании на Wildberries и Ozon имеют совпадающие товарные остатки или xml-выгрузки для двух разных сайтов идентичны. Такая проверка доступна, если компания продает уникальные или редкие товары и бренды)
🔻Один частный рекламный кабинет для запуска маркетинговых кампаний от имени обоих брендов (Это можно обнаружить через анализ справочной информации объявления - ID рекламодателя будет совпадать. А для некоторых площадок поддерживается возможность агрегировать все объявления для конкретного кабинета, например github.com/megadose/facebook_totem)
🔻Нахождение офисных зданий или серверных по одному и тому же адресу (sitereport.netcraft.com и yandex.ru/maps вам в помощь)
🔻Возможность переиспользования товарных знаков и брендов друг друга, (владельцев можно проверять на list-org.com) и договора пользование на иные активы, особенно безвозмездные.
А однажды заподозрить наличие аффилированности удалось благодаря сотруднику, который смело указал в резюме сразу все бренды, с которыми его просил работать директор компании. Поэтому в следующей части расскажем, как действия сотрудников могут опубличить связь между компаниями.
Обратиться за консультацией | Инструментарий
Что может указывать на неочевидную аффилированность двух компаний?
Проводя бизнес-разведку аналитики чаще всего обращают внимание на финансовые взаимоотношения, и чуть реже на близкий круг бенефициаров. При этом мало кто пытается смотреть глубже, например, искать связь между компаниями по пересечению активов. Однако именно по таким неявным маркерам можно увидеть ценные зацепки.
Что может выступить зацепкой:
🔻Один и тот же администратор у доменных имен разных компаний (для проверки подойдет стандартный whois, например, check-host.net и analyzeid.com)
🔻Единая система товароучета (Например, две компании на Wildberries и Ozon имеют совпадающие товарные остатки или xml-выгрузки для двух разных сайтов идентичны. Такая проверка доступна, если компания продает уникальные или редкие товары и бренды)
🔻Один частный рекламный кабинет для запуска маркетинговых кампаний от имени обоих брендов (Это можно обнаружить через анализ справочной информации объявления - ID рекламодателя будет совпадать. А для некоторых площадок поддерживается возможность агрегировать все объявления для конкретного кабинета, например github.com/megadose/facebook_totem)
🔻Нахождение офисных зданий или серверных по одному и тому же адресу (sitereport.netcraft.com и yandex.ru/maps вам в помощь)
🔻Возможность переиспользования товарных знаков и брендов друг друга, (владельцев можно проверять на list-org.com) и договора пользование на иные активы, особенно безвозмездные.
А однажды заподозрить наличие аффилированности удалось благодаря сотруднику, который смело указал в резюме сразу все бренды, с которыми его просил работать директор компании. Поэтому в следующей части расскажем, как действия сотрудников могут опубличить связь между компаниями.
Обратиться за консультацией | Инструментарий