Максим Власов – Архитектура доверия (страница 9)

Шпионы за техникой: Shodan и Censys. Эти поисковые системы индексируют не веб-страницы, а устройства, подключенные к интернету: серверы, роутеры, видеокамеры, принтеры, промышленные контроллеры. Shodan позволяет искать устройства по географическому положению, типу, версии программного обеспечения и даже открытым портам. Для социального инженера это кладезь информации: можно выяснить, какие системы видеонаблюдения используются в здании, какие системы управления шлагбаумами стоят на въезде, и даже найти незащищенные веб-интерфейсы принтеров, с которых можно распечатать фишинговое уведомление. Shodan также показывает уязвимости, если они присутствуют в открытых сервисах. Важно понимать: Shodan не взламывает, он лишь перечисляет то, что владельцы устройств сами выставили в интернет без должной защиты. Регулярный мониторинг собственной инфраструктуры через Shodan должен стать рутиной ИТ-отдела.

Инструменты OSINT опасны не сами по себе — опасна беспечность, с которой организации и частные лица оставляют данные в открытом доступе. Атакующий лишь методично собирает пазл, а защитник, вооруженный теми же инструментами, должен собрать его первым и убрать лишние детали со стола.

3.4. Анализ корпоративной структуры: как строится оргсхема из обрывков данных

Собрать информацию о компании — полдела. Главная цель разведки — понять, как эта компания функционирует изнутри, кто принимает решения, кто обладает максимальным доступом, а кто является самым слабым звеном в цепи безопасности. Построение виртуальной оргсхемы без единого прямого контакта — это искусство, основанное на корреляции [взаимосвязанном анализе] разрозненных публичных данных. На выходе социальный инженер получает не просто список фамилий, а карту влияния, где каждый узел помечен вероятной психологической уязвимостью.

Выявление ключевых фигур. Первым делом устанавливаются лица, обладающие критическими привилегиями. Системные администраторы, администраторы баз данных, руководители ИТ-отделов — это «золотые» цели, поскольку их учетные записи обычно не ограничены в правах. Их имена можно найти на форумах технической поддержки, в презентациях конференций, в подписях к ответам на тематических сайтах. Бухгалтеры и финансовые контролеры — цель номер два для атак типа CEO Fraud [мошенничество, при котором злоумышленник выдает себя за руководителя]. Их данные часто публикуются в разделах официальных контактов, в налоговых отчетах, подписанных ими, и даже в поздравительных постах коллег [«Наша бухгалтерия в лице Ольги Ивановой поздравляет...»]. Ассистенты руководителей и секретари — «привратники» директоров: именно они фильтруют звонки и письма, и их благосклонность — ключ к доступу к первым лицам. Выявление ассистента — это часто выход на расписание топ-менеджера, его привычки и текущие проекты.

Понимание иерархии и субординации. Из LinkedIn и подписей в письмах, найденных через поисковики, можно восстановить цепочку подчинения. Если налоговый консультант в соцсети пишет «Работаю под руководством Петрова А.А.», а на сайте компании Петров указан финансовым директором, сразу ясна структура финансового блока. Социальный инженер оценивает также стиль общения: в компании царит жесткая вертикаль или принято панибратское общение? Это определяет выбор легенды: в авторитарной среде эффективнее ссылаться на власть «сверху», в демократичной — на коллективное решение или просьбу коллеги. Индикатором служат публичные комментарии, корпоративные видео, даже правила внутреннего распорядка, выложенные на сайте вакансий.

Поиск внутреннего сленга и терминов. Ничто так не усыпляет бдительность, как использование закрытого профессионального жаргона. Если злоумышленник в разговоре с сотрудником технической поддержки употребляет внутреннее название CRM-системы [«Наша Соня»], номер сервера или аббревиатуру внутреннего проекта [скажем, «проект Калибр»], доверие возникает мгновенно — «чужак не может этого знать». Откуда берется эта информация? Из старых презентаций, из докладов на отраслевых митапах, из комментариев на внутренних порталах, которые по ошибке оказались проиндексированы. Даже изучение стиля официальных пресс-релизов помогает: если компания везде использует слово «сотрудники» как термин, а не «кадры» или «персонал», социальный инженер будет говорить так же. Корреляция этих мелочей позволяет создать эффект «своего», что резко снижает порог критического восприятия у жертвы.

Определение «узких горлышек» и уязвимых точек процесса. Речь идет не только о людях, но и о процедурах. OSINT-анализ может выявить, что весь пропускной режим завязан на одного администратора охраны, который публикует в соцсетях, что ненавидит свою работу. Или что для получения пропуска на автомобиль достаточно назвать номер заказа канцелярии, который фигурирует в тендерной документации на сайте госзакупок. Если в компании практикуется аутсорсинг клининга, а контакты этой клининговой компании известны, то легенда «мы проводим проверку качества уборки» становится почти легитимной. Анализ уязвимых процедур позволяет выбрать тот вектор атаки, который встретит наименьшее сопротивление и не потребует взлома сложных систем.

Использование нейтральных источников для верификации. Чтобы не ошибиться в построении схемы, разведчик сверяет факты. Если в соцсети указана должность «руководитель аналитического отдела», но в юридическом реестре этот человек значится учредителем другой фирмы, это повод копать глубже: возможно, он связан с дочерней структурой и обладает доступом к материнским системам. Никакая информация не принимается на веру без перекрестной проверки через два-три независимых источника. Только тогда оргсхема считается достоверной.

Таким образом, к моменту первого контакта социальный инженер знает о компании столько же, сколько сотрудник со стажем в несколько месяцев, а то и больше. Он ориентируется в иерархии, знает имена, обязанности и болевые точки людей, с которыми будет взаимодействовать. Он готов предстать тем, кого ждут, и предложить именно то решение, которое сейчас кажется самым необходимым. Защита от такого глубокого анализа — это максимальная закрытость: не публикуйте внутренние структуры, следите за тем, что ваши сотрудники указывают в публичных профилях, и периодически проверяйте, какую оргсхему можно построить по вашей компании из открытых источников.

3.5. Цифровая гигиена и контрразведка: как исчезнуть с радаров

Профессиональная контрразведка в отношении OSINT не сводится к разовому «заметанию следов». Это непрерывный процесс управления видимостью организации в цифровом пространстве. Если социальный инженер видит вашу компанию как рыбу в аквариуме, задача защиты — сделать стекла матовыми, а воду максимально мутной. Цель не в том, чтобы полностью изолироваться от мира [это невозможно и вредит бизнесу], а в том, чтобы любая разведка потребовала от атакующего настолько высоких усилий, чтобы он предпочел переключиться на более легкую цель. В информационной безопасности это называется «увеличением стоимости атаки».

Минимизация цифрового следа организации. Начнем с аудита. Как минимум раз в квартал необходимо проводить собственную OSINT-разведку по своей компании с использованием описанных выше инструментов. Вы должны найти все, что может найти злоумышленник: старые страницы с конфиденциальной информацией, забытые субдомены, файлы в облачных хранилищах с открытым доступом по ссылке, утекшие пароли. Обнаруженное необходимо либо удалить, либо, если удаление невозможно [например, кэш в архиве интернета технически стереть нельзя], подготовить опровержение или внедрить процедуру, нивелирующую риски — например, сменить все пароли, которые фигурировали в утекшем документе. Важно зачищать не только свои ресурсы, но и следить за тем, что пишут о компании партнеры и подрядчики. В их тендерной документации, отчетах или новостях могут фигурировать детали вашей инфраструктуры.

Настройка приватности в социальных сетях [для компании и сотрудников]. Корпоративная политика должна включать четкие правила присутствия сотрудников в сети. Речь не о запрете на соцсети — это нереально и вызовет отторжение, а о разграничении личного и рабочего. Сотрудникам рекомендуется не указывать точное место работы в открытых профилях, либо использовать размытые формулировки вроде «крупная производственная компания» вместо названия фирмы. Запрещается публиковать фотографии с рабочих мест, содержащие интерфейсы систем, планировки помещений и бейджи с пропусками. На уровне юридического отдела можно ввести в договор пункт о конфиденциальности, оговаривающий ответственность за публикацию инсайдерской информации в соцсетях. Но гораздо эффективнее — обучение. Люди должны понимать не просто «нельзя», а почему именно эта безобидная, на их взгляд, фотография может стать причиной инцидента.

Очистка метаданных. Это должно стать автоматической процедурой, встроенной в корпоративные системы документооборота. Перед отправкой любого файла во внешний мир [письмом, через портал вакансий, в пресс-релизе] сервер должен автоматически удалять из него все скрытые данные: авторов, историю правок, геотеги, пути в сети. Для Office-документов это встроенный функционал «Инспектор документов», для изображений — пакетная обработка через ExifTool. Идеально, если пользователь даже не знает об этом процессе, все происходит в фоне. Если автоматизация пока не внедрена, следует издать инструкцию, обязывающую сотрудников вручную проверять файлы перед публикацией.