CC BY
6
УДК 004.056
ПЕРЕСМОТР ПРОЦЕДУРЫ ОЦЕНКИ ЗАЩИЩЕННОСТИ МЕТОДАМИ OSINT В УСЛОВИЯХ НЕСТАБИЛЬНОЙ МЕЖДУНАРОДНОЙ ПОЛИТИЧЕСКОЙ
ОБСТАНОВКИ
Д. Н. Воложанина Научный руководитель - М. Н. Жукова
Сибирский государственный университет науки и технологий имени академика М.Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: daria.volozhanina@mail.ru
В условиях нестабильной международной политической обстановки необходимо пересматривать процедуру оценки защищенности организаций, так как увеличивается число нацеленных на российскую инфраструктуру кибератак, осуществляется переход на отечественное программное обеспечение. Методы OSINT позволяют в текущих условиях проводить оценку защищенности организации по внешним ресурсам.
Ключевые слова: OSINT, кибератаки, отечественное программное обеспечение, оценка защищенности.
REVISION OF THE PROCEDURE FOR ASSESSING SECURITY USING OSINT METHODS IN AN UNSTABLE INTERNATIONAL POLITICAL ENVIRONMENT
D. N. Volozhanina Scientific supervisor - M. N. Zhukova
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation E-mail: daria.volozhanina@mail.ru
In an unstable international political situation, it is necessary to revise the procedure for assessing the security of organizations, as the number of cyber attacks aimed at the Russian infrastructure increases, and the transition to domestic software is underway. OSINT methods allow in the current conditions to assess the security of the organization by external resources.
Keywords: OSINT, cyber attacks, national software, security assessment.
События от 24 февраля 2022 года инициировали большое количество инцидентов информационной безопасности в большинстве организаций Российской Федерации. Связано это с объявлением некоторыми хакерскими группировками «кибервойны» против Российской Федерации. Компьютерные атаки производились в основном на информационные ресурсы. Так на сайтах ТАСС, «Коммерсант», «Фонтанка», «РБК» в результате взлома были опубликованы сообщения с призывами. Также злоумышленники взломали автоматическую систему идентификации судов и изменили официальное название яхты, которая предположительно принадлежит Владимиру Путину [1].
Можно предположить, что хакерские группировки действуют для привлечения внимания и понижения уровня доверия к российским организациям, поэтому чаще всего применяются DDoS-атаки, которые порождают кратковременную недоступность сервисов для пользователей, притом, что данные пользователей остаются в защищенном состоянии. Также
взламываются сайты организаций для размещения сообщений с призывами, которые также необходимы для привлечения внимания пользователей. Зачастую, хакерскими группировками сообщается ложная информация о взломах информационных ресурсов, утечках данных из государственных органов РФ [2], российских организаций, что негативно сказывается на имидже организаций, хоть и не является достоверной информацией.
Также, в связи с нестабильной международной политической обстановкой, многие иностранные производители программного обеспечения (далее - ПО), средств защиты информации, сетевого оборудования, сканеров безопасности приостановили или прекратили продажи товаров и предоставление услуг в Российской Федерации. Также иностранные разработчики open source программного обеспечения добавляют в свои разработки недекларированные возможности, которые ухудшают работу ПО. Такое развитие ситуации способствует тому, что отечественным компаниям необходимо отказываться от зарубежного ПО и переходить на отечественное ПО или начинать собственные разработки ПО для производственных нужд. Сегодня не стоит надеяться, что зарубежные производители возобновят работу, или ее не прекратят те, кто еще этого не сделал. Такие изменения касаются не только офисного ПО, операционных систем, но и средств защиты, сканеров уязвимостей, что инициирует необходимость пересмотра процедуры оценки защищенности организации, используемых средств защиты информации, и что самое главное - аспектов системы защиты информации, на которые необходимо обратить большее внимание.
Исходя из вышеперечисленного, можно сделать вывод: сегодня специалистам по информационной безопасности в РФ при организации защиты информации необходимо думать о том, насколько «привлекательны» внешние ресурсы организации для злоумышленников/пользователей. На «привлекательность» влияют масштабы организации, ее принадлежность к государству. Большая часть атак, на сегодняшний день, связана не с попытками нанесения максимального материального ущерба, а с попытками подрыва доверия пользователей к информационным ресурсам, организациям РФ и в целом к государству. Цель злоумышленников сегодня - дискредитация. Именно поэтому все более актуальными становятся методы OSINT. Их могут использовать как злоумышленники, так и специалисты по защите информации, так как поиск необходимой информации производится по открытым источникам. Специалисты по защите информации методами OSINT могут выявлять «привлекательные» для злоумышленников внешние ресурсы и по возможности ограничивать к ним доступ.
Анализ текущей ситуации проводят и регуляторы в сфере информационной безопасности и приводят свои рекомендации по повышению уровня защищенности. Свои рекомендации выпустили Министерство цифрового развития РФ [3], ФСТЭК [4], НКЦКИ [5]. Одной из первых рекомендаций является проведение инвентаризации общедоступных ресурсов. Такую информацию можно получить, также используя методы OSINT. После получения данной информации, необходимо ее проанализировать и принять меры по блокировке доступа извне к сетевым службам и другим внешним ресурсам.
Еще одной рекомендацией является отказ от использования GitHub, что может повлиять на многие отечественные организации. GitHub является хостингом IT-проектов и их совместной разработки. Организации используют его для скачивания ПО, в том числе инструментов OSINT, а для некоторых организаций эта площадка является основой для деятельности. Однако отказ от использования GitHub связан не только с рекомендациями регуляторов, но и с тем, что администрация GitHub уже начала блокировку аккаунтов российских разработчиков [6], что не исключает приостановки деятельности GitHub на территории РФ. Исходя из вышесказанного, можно сделать вывод о том, что необходимо искать другие платформы для разработки и публикации свободно-распространяемого ПО, а также то, что арсенал инструментов OSINT на какое-то время очень уменьшится.
Очевидно, что сегодня методы OSINT получили более широкое применение, а идея проведения анализа защищенности этими методами все больше накладывается на существующие рекомендации регуляторов, так как большая их часть связана с анализом открытых источников и внешних ресурсов организации. Сегодня злоумышленники для планирования атак могут использовать следующую информацию из открытых источников
- электронные копии сайтов из веб-архивов;
- страницы, кэшированные поисковыми системами;
- информацию о зарегистрированном домене, адресном пространстве, поддоменах;
- информацию об используемых сервисах, открытых портах, программном обеспечении;
- скрытые директории;
- скомпрометированные почтовые адреса;
- информацию из новостных источников.
Сегодня специалистам по защите информации необходимо учитывать перечисленные выше внешние ресурсы организаций при проведении оценки защищенности инфраструктуры. Однако стратегия защиты информации может вскоре измениться. Согласно последним данным Google Trends интерес к специальной операции на Украине (Рисунок 1) и к кибератакам в России (Рисунок 2) стремительно уменьшается во всем мире.
динамика популярности * < >
Рис. 1. Результаты запроса о специальной операции на Украине
Динамика популярности * О
Рис. 2. Результаты запроса о кибератаках в России
Такие данные могут указывать на то, что описанная выше стратегия информационной безопасности вскоре может измениться, может уменьшиться число атак, порождающих недоступность российский ресурсов, но в то же время может увеличиться число более подготовленных атак, которые могут нанести серьезный ущерб. При недоступности иностранного ПО и ускорившимся темпом перехода на отечественные программные продукты стоит ждать продолжения больших изменений в сфере информационной безопасности.
Библиографические ссылки
1. Обзор информационной безопасности за период с 25 февраля по 2 марта 2022 года [Электронный ресурс]. URL: https://www.securitylab.ru/news/530398.php (дата обращения 15.04.2022).
2. Утечка Центробанка оказалась компиляцией данных из открытых источников [Электронный ресурс]. URL: https://www.securitylab.ru/news/530792.php (дата обращения 15.04.2022).
3. Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 10 марта 2022 г. № 186 «Об утверждении Методических рекомендаций по обеспечению необходимого уровня безопасности в сфере информационно-коммуникационных технологий государственных корпораций, компаний с государственным участием, а также их дочерних организаций и зависимых обществ» - Текст : электронный // URL: https://static.consultant.ru/obi/file/doc/mintsifri 180322-186.pdf (дата обращения 15.04.2022).
4. Информационное сообщение ФСТЭК России от 24 марта 2022 г. № 240/22/1549 «О мерах по повышению защищенности информационной инфраструктуры» » - Текст : электронный // URL: https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2362-informatsionnoe-soobshchenie-fstek-rossii-ot-24-marta-2022-g-n-240-22-1549 (дата обращения 15.04.2022).
5. НКЦКИ: обобщенные рекомендации по минимизации возможных угроз информационной безопасности [Электронный ресурс]. URL: https://safe-surf.ru/specialists/news/677262/ (дата обращения 15.04.2022).
6. GitHub начал блокировать аккаунты российских компаний и разработчиков [Электронный ресурс]. URL: https://www.securitylab.ru/news/531168.php (дата обращения 15.04.2022).
© Воложанина Д. Н., 2022
