• [ Регистрация ]Открытая и бесплатная
  • Tg admin@ALPHV_Admin (обязательно подтверждение в ЛС форума)

OSINT руками

admin

admin

#root
Администратор
Регистрация
20.01.2011
Сообщения
7,665
Розыгрыши
0
Реакции
135
Цикл разведки OSINT, часть 1: планирование и руководство Многие новички в разведке с открытым исходным кодом сразу же тяготеют к инструментам и довольно быстро становятся зависимыми от них. Это становится проблематичным, когда инструменты ломаются, устаревают или становятся недоступными по иным причинам. Хотя инструменты автоматизации, помощи в сборе данных и визуализации могут очень помочь в расследовании, они не могут анализировать работу и выполнять вашу работу за вас. Один из моих наиболее часто повторяемых советов для новичков в OSINT или тех, кто хочет улучшить свои текущие навыки OSINT, — вернуться к основам, а именно к циклу разведки. Эта серия статей направлена на то, чтобы переосмыслить каждый этап разведывательного цикла, чтобы конкретно показать, как я применяю его во время одного из моих OSINT-расследований. Часть первая: планирование и руководство На этапе планирования и направления цикла разведывательной информации OSINT аналитик должен определить свои требования к расследованию, наметить, на какие вопросы он пытается ответить, и отметить любые особые обстоятельства, которые могут возникнуть в связи с целью, ситуацией или платформами. что может быть использовано. В лучшем случае проведение OSINT-расследования без плана или направления может привести к тому, что расследование займет больше времени, чем необходимо. В худшем случае? У следователя может не быть надлежащих зависимостей, необходимых для расследования, или он рискует быть обнаруженным целью из-за технических недосмотров. На этом этапе интеллектуального цикла я обычно предпринимаю следующие шаги: Определите, на какой вопрос (вопросы) необходимо ответить: запишите все вопросы, на которые необходимо ответить в рамках расследования, и избегайте погони за касательными, которые не помогают ответить на эти вопросы. У меня обычно есть один главный вопрос, на который нужно ответить, и множество более мелких вопросов, которые в сочетании могут помочь ответить на главный вопрос. Главный вопрос «Кто стоит за этим аккаунтом?» могут иметь подвопросы, такие как: «Как их зовут?», «В какой они стране?», «Каков их приблизительный возраст?» и «Они на каких-либо других платформах?». Имейте в виду, что вполне нормально добавлять, удалять или изменять эти вопросы по ходу расследования. Определите, к какой платформе (платформам) может потребоваться доступ: Перед началом расследования обязательно настройте все необходимые учетные записи и приобретите дополнительное программное или аппаратное обеспечение. На раннем этапе может быть невозможно узнать все платформы, которые часто посещает цель. Однако всегда полезно попытаться определить потенциальные платформы и любые предварительные условия, необходимые для доступа к ним, на основе известной в настоящее время информации о цели. Большинство основных платформ социальных сетей будут иметь одни и те же требования, как правило, учетная запись марионетки и, возможно, адрес электронной почты или номер телефона для проверки. Однако при исследовании платформы, где проживает небольшая сплоченная группа, склонная подозрительно относиться к посторонним, у них могут быть повышенные требования к новым участникам. В некоторых группах может потребоваться проверка другим участником, прежде чем разрешить присоединяться новым пользователям, что потребует дополнительной настройки и подготовки. Оцените технические возможности цели (целей): важно оценить технические возможности цели и может ли это увеличить шансы быть обнаруженными в ходе расследования. Знание того, насколько технически подкована цель, также может дать представление о том, насколько вероятно, что они совершат технические ошибки. На это не всегда возможно ответить на этапе планирования, однако по мере продолжения цикла разведки это может проясняться. Хотя не помешает всегда предполагать, что цель обладает передовыми технологическими навыками, для каждого аналитика может оказаться невозможным принять меры предосторожности на уровне государственного субъекта для каждой цели. Как правило, я предлагаю принимать меры предосторожности на более высоком уровне, чем предполагаемые технические возможности цели. Определите конечную цель (цели): установите разумные цели и ожидания в отношении расследований и запишите их. Каков ожидаемый результат расследования? Будет ли это письменным машины или даже выделенное оборудование, чтобы гарантировать, что вы не привязаны к другим своим учетным записям. Не позволяйте вашим учетным записям марионеток и вашим реальным учетным записям каким-либо образом взаимодействовать. Выполнение этих шагов снижает риск других ошибок или недосмотров, которые могут произойти. Сначала собери, потом анализируй Некоторые публикации, истории или другой контент, размещенный целью, могут быть ограничены во времени. Фаза сбора — не время делать паузу и размышлять над каждым битом обнаруженной информации, и это может привести к тому, что данные станут недоступны, если субъект решит отредактировать или удалить их. Найдя что-то, имеющее отношение к расследованию, сохраните это, а затем двигайтесь вперед. Если вы боитесь, что пропустите это позже, это нормально, если вы боитесь что-то пропустить, но сохраните фактический анализ, когда все соответствующие данные станут доступны. Если есть какие-либо сомнения относительно того, имеет ли точка данных ценность для расследования, включите ее. Начните с широкого, затем сузьте по мере необходимости При сборе разведывательной информации я обычно делаю несколько проходов по платформам или поисковым системам. Каждый проход становится более ограниченным или отфильтрованным, чем предыдущий, начиная с меньшего количества ключевых слов или ограничений поиска или без них, а затем добавляя их по мере необходимости. Никогда не начинайте со слишком узкого поиска, так как он может исключить релевантные результаты, которые не являются точными совпадениями. Если количество результатов кажется слишком низким или что-то, что вы ожидаете найти, кажется пропущенным, расширьте область поиска и повторите попытку. Отсеивание ложных срабатываний гораздо предпочтительнее, чем потеря соответствующих данных из-за ложноотрицательных результатов. Настройте фильтры и оповещения для текущего сбора Сбор — это не разовая фаза. Иногда требуются дополнительные проходы сбора по мере созревания анализа и возникновения новых вопросов. В случае продолжающегося события также может периодически появляться новая информация. Настройка фильтров или оповещений в Google, Tweetdeck или других платформах упрощает последующие передачи. Это позволяет аналитику сосредоточиться на других поисках, получая уведомления о любых изменениях или новых данных в предыдущих. Документируйте, когда и как происходят развороты Нет ничего лучше, чем информировать руководство об атрибуции цели и задавать им вопрос: «Как вы думаете, почему это другое имя или имя пользователя совпадает с целью, о которой вы информируете, они вообще не кажутся связанными?» Помнить, как конкретный фрагмент информации был обнаружен на этапе сбора, важно, учитывая, что длительные расследования, в которых участвует много пользователей, могут довольно быстро стать неуправляемыми. Кроме того, аналитик никогда не знает, когда руководство или должностное лицо зададут вопрос о том, как была обнаружена конкретная часть данных. Запись экрана и другие специализированные программы облегчают процесс, но ни в коем случае не являются обязательными. Вывод Этап сбора данных цикла разведки OSINT гарантирует, что все соответствующие точки данных будут доступны для тех, кто обрабатывает и анализирует информацию на более поздних этапах. Надлежащий сбор сокращает пробелы в данных и гарантирует, что в конечном продукте будет учтена вся необходимая информация. На следующем этапе, Обработка, собранная необработанная информация форматируется и преобразуется во что-то более подходящее для анализа. OSINT и разведывательный цикл, часть III: обработка необработанных разведданных Как только из коллекции будет собрано достаточно сырой информациифаза, следующим шагом является обработка. На этой фазе разведывательного цикла необработанный интеллект преобразуется в формы, более подходящие для использования и анализа. Обработка избавляет аналитика от необходимости повторно проверять каждую часть необработанных данных (если они этого не хотят), а также гарантирует, что данные находятся в пригодном для использования формате (будь то язык или тип файла, для дальнейшего использования аналитиком). Хотя это и не самый захватывающий этап, обработка может значительно сократить общее время, необходимое для анализа. Некоторые из этих советов и рекомендаций могут частично совпадать с этапами анализа и производства, особенно если один и тот же персонал отвечает за обе части цикла разведки OSINT. Независимо от того, обрабатываю ли я необработанные данные для себя или другого аналитика, мои обычные процедуры включают следующие этапы: Расшифруй, переведи и расшифруй Если аналитик не может искать, читать или понимать собранную информацию, она не представляет ценности для его анализа. Собранные данные должны быть переведены, расшифрованы или декодированы в удобочитаемый формат, понятный аналитику. Для видео или других мультимедийных материалов расшифруйте содержимое, чтобы аналитик мог сканировать имена, ключевые слова и т. д., не прослушивая весь видео- или аудиоклип. При необходимости преобразуйте информацию, хранящуюся в файлах необычных типов, в те, для просмотра и использования которых у аналитиков, скорее всего, будет правильное программное обеспечение. Не забудьте также проверить наличие соответствующих метаданных или встроенного текста, которые могут быть пропущены. Консолидация и сокращение Одной из целей фазы обработки является сокращение объема необработанной информации, передаваемой аналитику, поскольку не все, что было собрано изначально, будет полезно для анализа. CSV или pdf из 10 000 твитов от цели могут содержать только 10-20 релевантных твитов. По возможности извлекайте только релевантную информацию и опускайте шум. Группировка похожих или связанных данных вместе в одном PDF-файле или электронной таблице также уменьшит количество файлов или источников, которые аналитик должен фильтровать. Это позволяет следователю проводить анализ без необходимости находить и открывать несколько документов или просеивать море несвязанной информации, связанной с важными разведывательными данными. Организуйте и сохраните сырой интеллект Тот факт, что необработанные данные отфильтровываются по релевантности, не означает, что остальные данные можно удалить. Аналитики могут захотеть просмотреть необработанные собранные разведывательные данные, и они должны оставаться доступными для них, если у них возникнут какие-либо вопросы или они захотят подтвердить правильный перевод и расшифровку. Обязательно используйте информативные схемы именования файлов и структур папок, чтобы облегчить дальнейший поиск. Я часто организую каталоги папок по платформе, а затем по имени пользователя с отдельными именами файлов, связанными с известными открытиями, которые они содержат. Организация собранных данных помогает сократить время, которое аналитик тратит на поиск нужных необработанных данных, если им нужно вернуться назад. Создать временную шкалу Информация, собранная на этапе сбора, может содержать информацию о времени или дате, которая позволяет отображать ее на временной шкале. Размещение соответствующей информации на временной шкале помогает отслеживать основные события и может помочь в демонстрации общей активности и взаимосвязей между событиями, которые в противном случае не были бы различимы из-за пробелов в информации. Перепроверив известную последовательность событий, временная шкала также помогает приблизить время и дату для других событий, которые изначально могли не включать такую информацию. Используйте электронные таблицы Электронные таблицы — один из самых универсальных способов просмотра, сортировки и обработки необработанных данных. Они также часто используются в различных инструментах анализа и визуализации, таких как Maltego и I2. Преобразование необработанных данных в формат электронных таблиц позволяет аналитикам быстро выполнять различные типы функций над данными или преобразовывать их в диаграммы и графики, чтобы дополнить их анализ, и получить высокоуровневое представление общих данных. Вывод Этап обработки цикла разведки OSINT берет необработанные данные, собранные на этапе сбора, и уточняет их для подготовки к анализу. Обработка необработанных данных помогает уменьшить перегрузку данных для аналитиков и упрощает следующий этап, анализ и производство, на котором эти обработанные данные начинают формироваться в аналитический продукт.
 
После фазы анализа и производства пятой фазой цикла разведывательной информации OSINT является распространение. Эта фаза состоит из окончательного распределения аналитического продукта для потребления другими. Имейте в виду, что это не означает, что на этом цикл разведки заканчивается и что аналитики просто переходят к следующему заданию. Хотя эта часть цикла будет варьироваться в зависимости от организации, она часто включает своего рода цикл обратной связи, чтобы потребители интеллектуального продукта могли оставить отзыв и задать дополнительные вопросы аналитикам OSINT. Эта обратная связь и поставленные дополнительные вопросы могут затем быть использованы на этапе планирования нового цикла разведки. При прохождении этапа распространения я рекомендую помнить о следующих вещах: Не забывайте о блефе BLUF (Bottom Line Up Front) должен быть включен в любой распространяемый продукт либо в теле письма, либо в виде сводки на внутренней Wiki или веб- странице, где будет опубликован документ. Это краткое резюме должно содержать все важные детали продукта и показывать, почему потребители должны обратить на него внимание. Здесь вы «продаете» свой продукт своей целевой аудитории, рассказываете им, почему им нужно открыть и просмотреть этот документ и какую пользу он им принесет. Имейте в виду, что многие из вашей целевой аудитории, скорее всего, получают информацию от нескольких других аналитиков и источников, поэтому вы конкурируете за их время. Неспособность побудить вашу целевую аудиторию фактически открыть аналитический продукт может привести к тому, что они не предоставят вашему информационному продукту надлежащее время для обзора или обратной связи. Правильно отмечайте или редактируйте конфиденциальную информацию Даже если в вашей организации действуют строгие правила обработки и распространения, как только вы выпускаете что-то для более широкой аудитории, вы всегда рискуете, что это будет распространено дальше, чем вы предполагали, возможно, даже станет известно общественности или группе противников. Не забудьте тщательно просмотреть все, что подготовлено к выпуску, и не забудьте правильно пометить любую применимую классификацию, распространение или другие требования, чтобы снизить риск неправильного обращения или распространения вашего конечного продукта. При выпуске для более широкой аудитории я рекомендую отредактировать или удалить конфиденциальные детали, которые потребителю не обязательно знать. Многие из вещей, которые я отредактирую или удалю при выпуске для более широкой аудитории, включают конфиденциальные источники, невыпущенные методы или эксплойты, а также любую информацию, которая может поставить под угрозу текущие усилия по сбору. Индивидуальное распределение При распространении разведывательного продукта необходимо соблюдать тонкий баланс. Скорее всего, вы не хотите выпускать продукт для всех в вашей организации, и при этом вы не хотите предоставлять его только одному контактному лицу, например руководству, где он умрет в переполненном почтовом ящике. Изоляция информации отлично подходит для предотвращения утечек, но является серьезным препятствием для широкого или быстрого обмена информацией. И наоборот, распространение среди большего числа пользователей, чем это необходимо, увеличивает риск несанкционированного обмена или утечки. Большинство аналитиков хотели бы распределить его где-то посередине между этими двумя крайностями. Одна из рекомендаций состоит в том, чтобы предоставить его нескольким потребителям в одних и тех же соответствующих командах, чтобы у вас не было единой точки отказа, но также и не отправлять его командам, которым не нужно знать. Если необходимо, Поддерживайте открытые каналы для обратной связи Интеллект возникает в непрерывном цикле. Без надлежащей обратной связи аналитики могут повторять ошибки или не соответствовать стандартам, установленным потребителями их продуктов. Каждый раз, когда распространяется конечный продукт, аналитики должны предоставить своим потребителям какую-либо форму контакта для получения отзывов. Целевая аудитория, вероятно, обладает практическими знаниями по теме и может предоставить больше информации, на которой первоначальные аналитики, возможно, не сосредоточились. Они также могут указать на дополнительные пробелы в информации, которые помогают формировать новые требования к планированию и сбору данных для следующего цикла. Вывод Этап распространения — это часть цикла разведывательной информации OSINT, когда конечный продукт разведки передается соответствующим потребителям, чтобы они могли использовать информацию и анализ и предоставлять любые отзывы или дополнительные вопросы. Эта фаза предоставляет аналитикам OSINT дополнительную информацию, которая формирует следующую фазу планирования в последующем цикле разведки, с дополнительными циклами, происходящими по мере необходимости. Цикл обратной связи каждого цикла направляется на следующую фазу планирования до тех пор, пока не будут удовлетворены все последующие вопросы или пока не станет доступна новая информация.
 
После этапа обработки наступает время проанализировать данные и создать аналитический продукт, такой как отчет, график или брифинг. На этапе анализа и производства разведывательного цикла OSINT следователь анализирует и обобщает свои данные, чтобы разработать ключевые выводы, тенденции и рекомендации, а также отмечает любые возникающие следующие шаги, прогнозы и вопросы. Независимо от того, насколько мощным или проницательным является собранная информация, именно анализ и способность донести до других, что означают данные, действительно ставит следователя выше своих коллег. На этапе анализа и производства я предлагаю несколько советов: Ответьте на исходные вопросы Помните вопросы, заданные на этапе планирования и руководства? Основная часть этапа анализа и производства состоит в том, чтобы брать обработанные данные и анализировать их, чтобы ответить на эти и любые новые вопросы, которые возникли. Используйте эти вопросы в качестве дорожной карты при разработке своего аналитического продукта и чтобы убедиться, что вы сохраняете сосредоточенность и не заходите слишком далеко в сорняки по несвязанным вопросам. Ответы на эти вопросы также помогут в форматировании и организации вашего аналитического продукта в виде логических разделов. Как насчет вопросов, на которые в настоящее время нет ответа? Не волнуйтесь, если вы не можете ответить на каждый первоначальный вопрос. Но для тех, кто не может, обязательно... Выявить пробелы в интеллекте В идеальном мире у аналитика есть ответы на все вопросы, но вряд ли так будет всегда. Таким образом, хотя на этапе анализа и производства следователь излагает всю известную ему информацию, он также должен явно указывать на любые соответствующие пробелы в разведывательных данных, включая любые оставшиеся без ответа вопросы. Отмечая, какие существуют пробелы в разведывательных данных, помогает определить, на какие дополнительные вопросы необходимо ответить и какие исследования необходимо провести на следующей итерации цикла разведки. Выявление пробелов также показывает тем, кто потребляет аналитический продукт, что исследователь рассматривал другие пути и возможности, даже если это не было плодотворным. Используйте конкурирующие теории, чтобы уменьшить предвзятость подтверждения Когда всю свою карьеру ищешь преступников, рано или поздно все начинают выглядеть как плохие парни. Многие новые аналитики, с которыми я встречался, попадают в ловушку предвзятости подтверждения, особенно когда дело доходит до атрибуции цели или определения того, виновен ли кто- то в преступлении. По этой причине я настоятельно рекомендую брать каждую частицу релевантных сведений, которые вы анализируете, и помещать их в столбец, который либо А) поддерживает вашу текущую теорию, либо Б) опровергает вашу текущую теорию. После этого взгляните на оба столбца и посмотрите, достаточно ли данных, чтобы не только подтвердить вашу теорию, но и посмотреть, насколько сильны данные, опровергающие вашу текущую теорию. Не выбрасывайте соответствующие разведданные только потому, что они полностью опровергают вашу текущую теорию. Вместо этого сделайте шаг назад и пересмотрите данные. Аналитики должны позволить данным рассказать историю вместо того, чтобы запихивать данные в коробку, которая рассказывает историю, которую предпочитает аналитик. Оцените релевантность, предвзятость и надежность Не все разведывательные данные одинаковы, и при анализе всегда следует принимать во внимание достоверность, актуальность, надежность и потенциальную погрешность собранных разведывательных данных. Аналитик разведки OSINT хочет предоставить наилучшую и наиболее полную возможную информацию, и это иногда включает в себя отмечание любой предыстории, которая может свидетельствовать о том, что анализируемая разведка менее чем заслуживает доверия. По возможности ранжируйте эти конкретные категории по отношению к вашему разведывательному продукту, чтобы ваша аудитория имела представление о ваших разведывательных источниках и о том, насколько они заслуживают доверия или предвзятости. Также помните о дезинформации и дезинформации, а также о вероятности таких кампаний, поскольку они связаны с вашим анализом. Передайте информацию высокого уровня визуально Не все данные необходимо передавать на детальном уровне, а для информации высокого уровня, такой как шаблоны и тенденции, визуальное отображение информации может обеспечить «быстрый взгляд» на данные, которые в противном случае заняли бы слишком много места в вашем интеллекте. продукт, если он отображается целиком. Полные данные могут быть предоставлены в приложении для тех, кто хочет видеть необработанные данные, но во многих случаях те, кто потребляет аналитический продукт, интересуются только основными тенденциями или моделями, а не отдельными точками данных. В конце концов, работа аналитика состоит в том, чтобы синтезировать данные и предоставить их в удобном виде. Вывод На этапе анализа и производства происходит волшебство. Это часть цикла разведки OSINT, в которой вновь обработанная информация анализируется и компилируется в окончательный отчет, брифинг или другой аналитический продукт. На этом этапе следует отобрать и уточнить все, что получилось на этапе обработки, и использовать его для отображения соответствующей информации, такой как шаблоны, тенденции, рекомендации или прогнозы. После завершения этого разведывательного продукта единственным оставшимся шагом в оставшемся цикле разведки является окончательное распространение анализа и результатов.
 
Войдите или зарегистрируйтесь для ответа.
Activity
So far there's no one here
Сверху Снизу