Еще один взгляд на OSINT
#osint
Также читайте меня тут: Telegram и Вконтакте
Многие коллеги вокруг в последние месяцы активно высказываются на тему того, что такое OSINT. По идее всем все понятно, но на практике оказывается, что в сообществе нет четко утвердившейся терминологии на этот счет и каждый высказывают свою точку зрения (что хорошо).
Именно по этой причине я тоже решил вставить свои 5 копеек и побрюзжать (порассуждать) о некоторых вопросах. На правильность не претендую, просто делюсь своим видением.
1️⃣ Осинт — это не профессия
Не моя мысль, но я полностью согласен с этим утверждением. В моем понимании осинт — это навык/инструмент/подход и прочее, но точно не профессия. Когда мы берем за “X”, что это навык, тогда как будто бы все встает на свои места. Этот навык может быть использован в огромном количестве сфер, начиная от ИБ и расследований (любых), заканчивая условным маркетингом. Иными словами данный навык находит приложение в той сфере, где он может быть применим. При таком подходе становится понятным усредненное резюме, в котором прописано: “ищем журналиста/ менеджера по ИБ/ аналитика…с навыками osint”, а не “ищем осинтера”.
Естественнно, есть еще ряд сложностей.
1. Далеко не все вообще знают про osint.
2. Те, кто знают хоть что-то, часто называют это отдельной профессией и часто грешат “навешиванием определенных ярлыков на ее носителей”. Похожая история есть и с хакерами (в широком смысле). Сразу создается некий образ в голове, что не совсем корректно.
3. Те, кто глубоко погружен в сферу, все понимают, но таких меньшинство.
Хотелось бы в какой-то момент, чтобы большинство пришло к единому пониманию определений. Тогда мы бы смогли избежать хаоса.
2️⃣ Осинт — это форма мышления
Еще мне нравится мысль про то, что “осинтить” — это эквивалентно слову “искать” (что угодно и в очень широком смысле). Почему меня не устраивает “гуглить”? Потому что это очень ограниченно передает суть, как по мне.
Тут как раз сам по себе напрашивается пример про “серую зону”. По идее, найти ПДн человека в какой-нибудь утечке — это тоже про поиск. Мы можем рассуждать на тему этичности и закона, но если абстрагироваться и говорить чисто о терминологии, то на мой взгляд — это тоже про осинт (мы же по итогу нашли необходимую информацию). Можно подумать в сторону того, что утечки ПДн не совсем “открытый источник”, но это спорное утверждение. И вот тут мы можем упереться в одно заблуждение. Если мы знаем набор из N ботов в телеграме или заученных операторов поиска аля “filetype:pdf” и с их помощью получаем какие-то данные, то что мы будем делать, когда ботов закроют, а на такие простые операторы поиска придумают контрмеры? На этом осинт закончится? Вот именно по этой причине я сторонник “методологии”. То-есть речь идет про то, что нужно не боты изучать, а озадачиться примерно такими вопросами: что такое информация, как с ней работать, какие виды информации бывают, где и в каком виде она может храниться, как ее лучше сортировать и преобразовывать, какие существуют подходы в ее анализе и т.д. Как по мне, это аналогия про рыбалку. Можно просто купить рыбу в магазине, а можно купить удочку и научиться рыбачить. Тогда рыба у вас будет плюс-минус всегда. При этом я совершенно не умаляю важности ботов, операторов поиска и других приемов. Если все закроют, я тоже буду ныть. Я лишь говорю про приоритеты.
3️⃣ Помимо “найти” нужно еще и “проанализировать”
Это логичное умозаключение из всего вышесказанного. В идеале осинт должен быть не только про поиск, но еще и про анализ. Очень глупо просто найти сырую информацию, потратить время и иные ресурсы. Чтобы что? Логично, что данные надо хоть как-то обработать и прийти на основе них к каким-то умозаключениям. Поэтому лично я считаю, что осинт — это еще и один из подходов в аналитике. И вот ту на стыке может возникать масса других пересечений.
Возьмем ситуацию, когда у нас есть работа с каким-то физлицом. К примеру, мы собрали справку под задачу переговоров, а что дальше? По хорошему, надо понимать, как найденная информация может помочь в коммуникации с этим человеком. Для этого нужно разбираться в анализе поведения. То-есть мы используем еще один подход в аналитике, чтобы решить поставленную задачу. Причем, замечу, эти подходы не конфликтуют между собой, а дополняют. Или другой пример. У нас есть куча информации по деятельности какой-то компании. Нам надо понять, может ли она составить серьезную конкуренцию другой компании в определенном регионе. Тут нам явно потребуются знания в специфике бизнеса (как вариант), чтобы решить поставленную задачу. И вот у нас снова стык нескольких типов аналитики.
Приводить примеры можно долго, но посыл очень простой: если у осинта нет продолжения и взаимодействия с другими сферами, то вообще не понятно зачем это все, ну кроме решения тасков (ха-ха).
Может быть это слегка сумбурно, но мне очень захотелось поделиться своими умозаключениями. Соглашаться с ними или нет, дело каждого.
Всем мира ✋🏻
