OSINT-аудит бизнеса и управление внешней поверхностью атаки (ASM): полное руководство

По данным Palo Alto Networks, компании не знают о 30–40% своих интернет-экспонированных активов. Именно эта асимметрия — между тем, что видит злоумышленник, и тем, что знает о себе сама организация, — лежит в основе большинства успешных атак. OSINT-аудит бизнеса и управление внешней поверхностью атаки (ASM) — два взаимосвязанных инструмента, которые закрывают этот разрыв: первый даёт структурированную оценку того, что открыто, второй превращает эту оценку в непрерывный операционный процесс.

Почему внешняя поверхность атаки опаснее, чем кажется: контекст и масштаб проблемы

Асимметрия между злоумышленником и организацией возникает структурно, а не случайно. Переход в облако, массовое распространение SaaS-инструментов и переход на удалённую работу за последние пять лет кратно увеличили количество интернет-экспонированных активов большинства компаний — при том что процессы инвентаризации и управления этими активами не изменились пропорционально. Каждое новое облачное приложение, каждый поддомен, поднятый командой разработки без уведомления службы безопасности, каждый забытый тестовый сервер расширяет внешнюю поверхность атаки и остаётся вне зоны контроля.

Управление поверхностью атаки (ASM) как дисциплина возникло именно из этой проблемы: традиционные методы защиты периметра предполагают, что периметр известен. В условиях, когда 30–40% активов остаются неинвентаризированными, это предположение не выполняется.

Анатомия поверхности атаки (Attack Surface): что видит злоумышленник

Прежде чем атаковать, злоумышленник составляет карту цели — именно то, что делает структурированный OSINT-аудит. Внешняя поверхность атаки организации включает четыре категории активов:

Инфраструктура: домены и поддомены, IP-адреса, открытые порты и сервисы, SSL-сертификаты, DNS-записи. Именно здесь чаще всего обнаруживаются критические находки: забытые сервисы с устаревшим ПО, незакрытые порты административного доступа, некорректно настроенные DNS-записи.

Приложения: веб-приложения, API-эндпоинты, облачные сервисы, SaaS-интеграции. API-интерфейсы представляют особую категорию риска — они часто документированы в открытых репозиториях, но не отражены в реестрах активов.

Данные: публичные репозитории (GitHub, GitLab), облачные хранилища, проиндексированные поисковиками документы, исторические снимки веб-архивов. По опыту команды AHOS DIGITAL, утечки кода и конфигурационных файлов в публичных репозиториях встречаются в подавляющем большинстве корпоративных аудитов.

Люди: цифровые профили сотрудников и руководства в открытых источниках, профессиональные сети, корпоративные регистры, исторические данные об учётных данных в базах утечек.

Теневые ИТ-активы (Shadow IT): невидимая угроза внутри периметра

Shadow IT возникает не потому, что сотрудники игнорируют политики безопасности, а потому что скорость разработки и автономность команд структурно опережают процессы регистрации активов. Разработчик поднимает тестовый инстанс CMS для прототипа — и забывает о нём через три месяца. Команда маркетинга подключает очередной SaaS без согласования с IT. После реорганизации из двух подразделений в одно часть программного обеспечения остаётся работать на старой инфраструктуре без владельца.

Типичный пример из практики: в рамках одного аудита команда обнаружила активный экземпляр Jira с открытым доступом, поднятый три года назад для временного проекта. Сервис содержал внутреннюю документацию и архив переписки. Ни у одного из текущих сотрудников не было информации о его существовании. Таких активов в средней организации — десятки.

OSINT-аудит бизнеса: методология разведки по открытым источникам

OSINT-аудит бизнеса — это структурированный процесс сбора и анализа публично доступной информации об организации с целью выявления уязвимостей, утечек данных, репутационных рисков и потенциальных векторов атаки. Принципиальное отличие от активных методов: OSINT использует исключительно открытые источники и не взаимодействует напрямую с инфраструктурой цели. Это делает его законным без дополнительных согласований и применимым как инструмент превентивного контроля.

Методологическая база OSINT-аудита опирается на признанные отраслевые фреймворки: PTES (Penetration Testing Execution Standard), OWASP Testing Guide и матрицу MITRE ATT&CK (тактики разведки — TA0043). Именно поэтому методология управления поверхностью атаки от AHOS Digital напрямую интегрирована в нашу услугу по проектированию цифровой архитектуры и безопасности: стандартизированный подход позволяет сравнивать результаты между аудитами и отслеживать динамику снижения рисков.

Чем OSINT-аудит отличается от пентеста, Threat Intelligence и сканирования уязвимостей

OSINT-аудит — это разведывательный фундамент, на котором строятся все остальные методы оценки защищённости. Понимание различий помогает правильно выбрать инструмент под задачу:

OSINT-аудит — пассивная разведка; это различие критично и определяет всё: область применения, правовой статус и тип получаемой информации.

EASM, CAASM и CSPM: как разобраться в классификации Attack Surface Management

Терминологическая путаница в категории ASM-решений создаёт паралич при выборе. Три основных класса:

• EASM (External ASM) — взгляд снаружи: обнаружение и мониторинг интернет-экспонированных активов. Отправная точка для большинства организаций. Примеры: Cortex Xpanse (Palo Alto), Microsoft Defender EASM, CyCognito.

• CAASM (Cyber Asset ASM) — полный периметр, включая внутренние активы; требует интеграции с внутренними источниками данных (CMDB, EDR, AD). Подходит для зрелых команд с существующей инфраструктурой управления активами. Примеры: Axonius, JupiterOne.

• CSPM (Cloud Security Posture Management) — только облачная инфраструктура; специализирован на мисконфигурациях в AWS, Azure, GCP. Примеры: Wiz, Orca Security.

Для организации без устоявшейся программы управления активами рекомендуется начинать с EASM: он даёт наибольший охват при минимальных требованиях к зрелости внутренних процессов. Данная статья сфокусирована именно на EASM-подходе.

Этапы проведения OSINT-аудита: от постановки задачи до финального отчёта

Полный жизненный цикл OSINT-аудита бизнеса включает шесть этапов:

1. Определение области охвата и целей — формирование seed-листа (основные домены, дочерние компании, торговые марки, имена ключевых руководителей). Опыт показывает: исходный список клиента недооценивает реальный инвентарь на 15–25%. Этап занимает 2–4 часа. Результат: согласованная область охвата.

2. Пассивный сбор данных — разведка через открытые источники без взаимодействия с целевой инфраструктурой: Shodan/Censys, crt.sh, WHOIS, Amass, SecurityTrails, Have I Been Pwned, публичные репозитории. Этап занимает 8–16 часов. Результат: необработанный массив данных.

3. Анализ и корреляция — структурирование данных, построение графа связей между активами, выявление паттернов (цепочки поддоменов, общая инфраструктура, пересечения в утечках). Этап занимает 4–8 часов. Результат: систематизированный граф активов.

4. Выявление критических находок — приоритизация по типу уязвимости и потенциальному импакту: скомпрометированные учётные данные, публично доступные административные интерфейсы, утечки в репозиториях. Этап занимает 3–6 часов. Результат: список приоритизированных находок.

5. Верификация и приоритизация рисков — обязательный этап контроля качества: каждая находка проверяется на актуальность и ложноположительность. Пропуск этого этапа приводит к тому, что команда тратит ресурсы на устаревшие или нерелевантные сигналы. Этап занимает 2–4 часа. Результат: верифицированный список рисков.

6. Подготовка отчёта и рекомендаций — двухуровневый формат: Executive Summary для руководства (ключевые риски, бизнес-импакт, приоритетные действия на 1–2 страницах) и технический аннекс для команды безопасности (детальные описания, данные об инструментах, методология). Этап занимает 3–5 часов. Результат: финальный отчёт.

Итого: реалистичные временные затраты — от 22 до 43 часов для организации среднего размера.

Корпоративный OSINT и цифровой профиль руководства компании

Цифровой профиль топ-менеджера в открытых источниках включает: профессиональные сети (LinkedIn, корпоративные сайты), данные корпоративных регистров и судебных архивов, публичные выступления и медиаупоминания, исторические данные о компаниях-аффилиатах, и — критически — исторически скомпрометированные учётные данные в базах утечек тёмной сети.

Именно этот профиль является главной целью атак типа Business Email Compromise (BEC). По данным ФБР, в 2023 году потери от BEC-атак в США составили более 2,9 млрд долларов. Механизм прост: полный профиль руководителя позволяет злоумышленнику создать убедительную легенду для социальной инженерии или фишинговой кампании, персонально направленной против конкретного сотрудника (spear phishing).

На уровне корпоративного управления рекомендуется ввести регулярный мониторинг цифровых профилей ключевых руководителей как часть политики информационной безопасности — не реже одного раза в квартал.

Инструменты OSINT-аудита: арсенал специалиста

Инструменты усиливают методологию, но не заменяют её. Без структурированного процесса даже самый мощный инструментарий производит неполные или вводящие в заблуждение результаты: данные собраны, но не коррелированы, находки зафиксированы, но не верифицированы. Это базовый принцип работы команды AHOS Digital.

Арсенал OSINT-специалиста структурирован по трём категориям: инструменты разведки по инфраструктуре, инструменты мониторинга утечек и тёмной сети, и автоматизированные ASM-платформы. Все описываемые инструменты применяются исключительно для авторизованной оценки собственной инфраструктуры организации или с письменного согласия владельца активов.

Почему традиционных сканеров уязвимостей недостаточно: ограничения и слепые зоны

Структурное ограничение классических сканеров уязвимостей — не техническое несовершенство продуктов, а архитектурное: сканер покрывает ровно то, что указано в списке входных активов. Проблема в том, что этот список никогда не является полным.

По отраслевым данным, корпоративные реестры активов устаревают со скоростью 5–10% в месяц: новые поддомены поднимаются без уведомления команды безопасности, облачные сервисы разворачиваются в обход procurement-процессов, legacy-системы продолжают работать после формального вывода из эксплуатации. Управление поверхностью атаки (ASM) решает эту структурную проблему через метод discovery от цифровых связей: обнаруженный поддомен ведёт к SSL-сертификату, SSL-сертификат — к набору IP-диапазонов, IP-диапазоны — к другим доменам и сервисам. ASM и классические сканеры — взаимодополняющие инструменты, интегрируемые через API.

Инструменты разведки по инфраструктуре: что используют профессионалы

Ключевой методологический принцип: корреляция данных из нескольких независимых источников выявляет находки, которые ни один инструмент не даст в изоляции. Это то, что отличает профессиональный OSINT от простого сканирования.

• Shodan / Censys — поисковики по интернет-устройствам и сервисам. Shodan: поиск по баннерам сервисов, открытым портам, SSL-данным. Censys: более полная индексация TLS-сертификатов. Использование: обнаружение экспонированных сервисов в IP-диапазонах организации. Free-tier доступен с ограничениями; профессиональные аудиты требуют платной подписки.

• Amass / Subfinder — пассивное перечисление поддоменов через DNS-базы, Certificate Transparency, поисковики и открытые API. Бесплатно. Использование: построение полного графа поддоменов из seed-домена.

• theHarvester — агрегатор публичных данных об организации: email-адреса, имена хостов, IP-диапазоны из поисковиков, Shodan, Hunter.io. Бесплатно (open source).

• Maltego — платформа для визуализации графа связей между объектами. Применяется для корреляции данных из разных источников. Community-версия бесплатна; профессиональная — платная.

• WHOIS / RDAP — базовая регистрационная информация по доменам и IP-адресам. Бесплатно. Использование: идентификация владельца инфраструктуры, дат регистрации, связанных доменов.

• Recon-ng — модульный фреймворк для OSINT-разведки (Python). Автоматизирует рутинные шаги. Open source.

• SecurityTrails — история DNS-записей и исторические данные по поддоменам. Часть платных планов. Особенно ценен для восстановления исторической картины инфраструктуры.

Мониторинг утечек данных и dark web в рамках OSINT-аудита

Мониторинг скомпрометированных учётных данных — один из наиболее высокоэффективных компонентов OSINT-аудита по соотношению стоимости и потенциального импакта.

Цепочка атаки credential stuffing: корпоративный email попадает в исторический дамп данных → пользователь переиспользует пароль → злоумышленник автоматически проверяет пару учётных данных против активных корпоративных систем (VPN, корпоративная почта, CRM). По данным Verizon DBIR 2024, скомпрометированные учётные данные участвуют в более чем 80% атак на веб-приложения.

Инструменты: Have I Been Pwned (HIBP) — программный запрос по домену через API возвращает все зафиксированные утечки для email-адресов в домене; DeHashed, IntelX, Flare.io — коммерческие платформы с более широким охватом тёмной сети и ранним доступом к свежим дампам.

Протокол при обнаружении скомпрометированных учётных данных: немедленная принудительная смена пароля для всех выявленных аккаунтов → уведомление владельцев → инициирование расследования на предмет несанкционированного доступа → проверка журналов аутентификации за период после даты утечки.

Автоматизированные ASM-платформы: когда ручного аудита недостаточно

Ценностное предложение коммерческих ASM-платформ определяется одним словом: непрерывность. Ручной OSINT-аудит — точечный снимок на момент проведения. Платформа — постоянный мониторинг с автоматическим оповещением при появлении нового актива или изменении состояния существующего.

Ключевые критерии выбора: глубина asset discovery (охват методов: DNS, Certificate Transparency, IP-диапазоны, портфели ASN), интеграция с SIEM/SOAR через API, прозрачность ценовой модели (как правило, per-asset или per-domain), охват технологического стека.

Порог оправданности инвестиций в коммерческую платформу: организации с более чем 500 внешними активами или с требованиями непрерывного мониторинга (NIS2, SOC 2 Type II, крупный ритейл). Для организаций меньшего размера квартальный ручной аудит в сочетании с базовым бесплатным мониторингом (HIBP, Google Alerts) даёт достаточный уровень контроля.

Управление внешней поверхностью атаки (ASM): от разового аудита к непрерывному процессу

Принципиальное различие между проектом и программой: OSINT-аудит — это карта местности, составленная в конкретный момент времени. Управление внешней поверхностью атаки (ASM) — это постоянное патрулирование этой местности, которая меняется каждый день. Одна карта без патрулирования быстро устаревает; патрулирование без карты лишено контекста. Эффективная ASM-программа требует обоих компонентов.

ASM — это не категория инструментов, а функция организации, основанная на трёх опорах: люди (аналитики с методологической компетентностью), процессы (формализованные воркфлоу обнаружения, верификации и ремедиации), технологии (автоматизация, обеспечивающая масштаб и непрерывность).

Ключевые компоненты зрелой ASM-программы

1. Непрерывное обнаружение активов — автоматизированный discovery новых доменов, поддоменов, IP-адресов и сервисов. Без платформы: еженедельный запуск Amass + Subfinder по seed-списку доменов + оповещения через RSS-мониторинг Certificate Transparency (crt.sh).

2. Инвентаризация и классификация — каждый актив должен иметь: тип, владельца, критичность для бизнеса, статус. Без платформы: Google Sheet с обязательными атрибутами + ротация ответственного за обновление.

3. Оценка и приоритизация рисков — применение матрицы критичность × вероятность эксплуатации к каждой уязвимости. Приоритизация с учётом бизнес-контекста актива: уязвимость на публичном API платёжной системы критичнее той же уязвимости на внутреннем dev-сервере.

4. Процесс ремедиации и назначение владельцев активов — наиболее сложный операционный шаг в крупных организациях. Проблема собственности пересекает технологические, политические и управленческие границы: кто отвечает за забытый поддомен подразделения, которое было поглощено три года назад? Без формализованного воркфлоу критические уязвимости стагнируют без ответственного исполнителя.

5. Метрики и KPI — MTTD (среднее время обнаружения), MTTR (среднее время устранения), коэффициент охвата активов, доля Shadow IT в общем инвентаре. Метрики переводят техническую работу на язык бизнеса.

6. Интеграция с другими процессами безопасности — экспорт находок в vulnerability management, интеграция с SIEM через API, включение ASM-данных в процессы управления рисками и GRC-отчётность.

Балльная оценка рисков и приоритизация в ASM: механизм оценки

Стандартная модель приоритизации — двухосевая матрица: импакт (потенциальный ущерб при эксплуатации) × вероятность эксплуатации (насколько активно уязвимость атакуется в дикой природе, наличие публичных PoC). Результирующий балл определяет уровень критичности:

• Критический — немедленное реагирование (≤24 часов): открытый RDP/SSH без аутентификации, скомпрометированные учётные данные в активных системах, CVE с CVSS ≥ 9.0 на интернет-экспонированном сервисе.

• Высокий — устранение в течение 7 дней: панели администрирования без ограничения доступа по IP, устаревшее ПО с известными CVE, чувствительные данные в публичных репозиториях.

• Средний — устранение в течение 30 дней: отсутствие DMARC/SPF/DKIM, незащищённые поддомены с низкой экспозицией, устаревшие TLS-версии.

• Низкий — плановая работа (30–90 дней): информационные утечки без прямого вектора атаки, неоптимальные конфигурации без CVE.

Важна контекстуализация: отсутствие DMARC-записи — валидная находка, но её критичность зависит от того, является ли домен основным для корпоративной переписки или это технический домен без почтового трафика. Автоматическое закрытие применяется к находкам с наблюдаемым устранением (обновление SSL-сертификата); ручная верификация — к находкам со скомпрометированными данными.

Процесс работы с находками: статусы, назначение задач и жизненный цикл уязвимости

Каждая находка функционирует как отслеживаемая задача с четырьмя статусами: На проверке → Устранено / Принято (риск осознанно принят с обоснованием) / Ложноположительное. Концептуально это эквивалент Jira-тикета с назначенным исполнителем и дедлайном.

Точная разметка ложноположительных находок критична для качества алгоритмов: система учится на обратной связи аналитиков. Организации, работающие без формального воркфлоу, сталкиваются с одним предсказуемым результатом: критические уязвимости застревают в состоянии «требует действия» без ответственного исполнителя.

В организациях с дочерними структурами и несколькими юридическими лицами рекомендуется отдельный реестр активов для каждого субъекта с единой программой управления и централизованной отчётностью.

Пилотное внедрение ASM: чего ожидать в первые 30–90 дней

Повышенная доля ложноположительных срабатываний в первые две недели — нормальный артефакт калибровки, а не дефект продукта или методологии. Система ещё не обучена на специфике инфраструктуры конкретной организации.

Организационная ценность пилота выходит за рамки технической валидации: как правило, это первый случай, когда IT-команда, команда безопасности и бизнес-функции согласовывают единое определение того, что считается активом организации. Это само по себе является значимым результатом.

Наиболее распространённая находка первого Discovery-прогона: активы, о существовании которых организация не знала. Это не редкость — это норма. Рекомендуемый объём для начального пилота: один основной домен плюс 2–3 дочерних компании или торговые марки.

Интеграция ASM в процессы управления рисками, информационная безопасность и комплаенс

Пайплайн интеграции с GRC-процессами: находки ASM → vulnerability management (классификация, приоритизация) → SLA-управляемый процесс ремедиации (с определёнными сроками по уровню критичности) → измеримые метрики для отчётности на уровне совета директоров.

Директива NIS2 (ЕС) требует непрерывной документации управления активами и рисками кибербезопасности — ASM-программа обеспечивает именно тот тип данных, который необходим для соответствия этому требованию. Реестр активов, формируемый ASM, является также основой для поддержания актуальности Asset Register в рамках ISO 27001 (Annex A, контроль 5.9). NIST CSF v2.0 (функция IDENTIFY) прямо указывает на необходимость непрерывной инвентаризации активов — ASM обеспечивает автоматизированное выполнение этого требования.

Перевод для совета директоров: снижение MTTR с 47 до 12 дней для критических находок означает, что временное окно, в котором злоумышленник может эксплуатировать известную уязвимость, сократилось в четыре раза.

Сценарии развития ASM-программы: от базового мониторинга к интеграции с Threat Intelligence

Два стратегических направления развития определяются профилем угроз и отраслевым контекстом:

Направление 1: Интеграция с Threat Intelligence — подключение мониторинга тёмной сети, фидов о ботнет-активности, отслеживания фишинговых кампаний, направленных против бренда организации. Актуально для финансовых организаций, ритейла, инфраструктурных компаний с высоким профилем угроз.

Направление 2: Углубление внутреннего периметра (CAASM-подход) — интеграция с SIEM, EDR, CMDB для полного охвата всех активов, включая внутренние. Актуально для организаций с жёсткими требованиями соответствия и зрелыми внутренними процессами.

Три вопроса для определения направления: (1) Является ли ваш бренд целью фишинговых кампаний? (2) Существуют ли регуляторные требования к непрерывному мониторингу внутренних активов? (3) Есть ли внутренняя зрелость для интеграции с SIEM?

Комплаенс-контроль и санкционные риски через призму OSINT

OSINT-аудит бизнеса — инструмент, востребованный не только службами информационной безопасности, но и юридическими, комплаенс- и финансовыми функциями. Для финансовых организаций, международных компаний и сделок M&A OSINT предоставляет уровень верификации, недоступный через стандартные процедуры скрининга. Важно: OSINT-разведка дополняет, но не заменяет формализованные комплаенс-инструменты и юридические проверки.

OFAC, санкции ЕС и санкционные риски: роль OSINT в комплаенс-контроле

Методологический разрыв между классическим санкционным скринингом и OSINT-расследованием критичен: сопоставление имён с санкционными списками (name matching) не обнаруживает структуры с номинальными директорами, многоуровневые офшорные конструкции и нестандартные связи между корпоративными доменами и бенефициарными владельцами.

OSINT-расследование корпоративной структуры позволяет: трассировать бенефициарное владение через несколько юрисдикционных слоёв, обнаруживать нетипичные ассоциации IP-адресов с корпоративными доменами, выявлять паттерны регистрации доменов, характерные для аффилированных структур. Инструменты без enterprise-лицензирования: OpenSanctions (бесплатный агрегатор санкционных данных из 120+ источников), ICIJ Offshore Leaks Database, национальные корпоративные регистры ЕС.

Красные флаги в корпоративной структуре, выявляемые через OSINT:

• Номинальные директора, фигурирующие в десятках компаний одновременно (признак профессионального номинального сервиса)

• Несоответствие заявленного адреса регистрации и реального местоположения серверов

• Домены, зарегистрированные на частное лицо, но используемые корпоративной структурой

• Историческая смена бенефициарного владения в период, совпадающий со введением санкций

• IP-инфраструктура, пересекающаяся с известными санкционными субъектами

Как OSINT помогает выявить регуляторные риски до проверки регулятора

Типичный сценарий из практики: в ходе аудита командой обнаруживаются записи клиентов, проиндексированные поисковиком через мисконфигурированный CRM-экземпляр, или финансовые отчёты, доступные по предсказуемой схеме URL без аутентификации. Оба случая — прямое нарушение GDPR, которое организация не осознавала.

Стоимость непроактивного обнаружения: штрафы GDPR составляют до 4% от глобального годового оборота или 20 млн евро — в зависимости от того, что больше. Для организации с оборотом 500 млн евро это потенциально 20 млн евро за мисконфигурацию, которую можно было обнаружить и устранить за несколько часов. OSINT-аудит цифрового присутствия — одна из наиболее экономически обоснованных превентивных мер в контексте регуляторных рисков.

Новые векторы атаки: генеративный ИИ, ИИ-краулеры и Generative Engine Optimization

Массовое распространение ИИ-краулеров (GPTBot, ClaudeBot, Google-Extended и десятки других) представляет собой структурный сдвиг в модели угроз для любой организации с интернет-присутствием. ИИ-системы систематически индексируют и агрегируют публично доступный контент с логикой, принципиально отличающейся от традиционных поисковых роботов — в том числе контент, который организации считали практически недоступным. Внешняя поверхность атаки расширяется по мере того, как растёт возможность агрегирования данных из публичных источников.

Generative Engine Optimization (GEO) и риски утечки корпоративных данных

ИИ-краулеры индексируют страницы без входящих ссылок — то есть страницы, которые традиционный поисковик практически никогда не обнаружил бы. Организации, полагавшиеся на «безопасность через неизвестность» (security through obscurity) как метод защиты внутренне-ориентированных страниц, обнаруживают, что это предположение перестало работать в эпоху ИИ-индексирования.

Иллюстративный сценарий: внутренние страницы документации или технические спецификации, доступные по прямой ссылке без авторизации, начинают появляться в ответах публичных ИИ-ассистентов.

Первое и наиболее простое действие — аудит файла robots.txt с добавлением краулер-специфических директив для GPTBot, ClaudeBot и Google-Extended. Это занимает 15 минут и не требует затрат. Однако robots.txt — соглашение, а не технический барьер: организациям с реально конфиденциальными данными необходима аутентификация, а не декларативный запрет.

Как изменилась поверхность атаки в эпоху генеративного ИИ: новые векторы

Параллель между Shadow IT и Shadow AI структурна: сотрудники подключают корпоративные данные к внешним ИИ-инструментам (ChatGPT, Gemini, Copilot), создавая неконтролируемые потоки данных, невидимые для стандартных DLP и ASM-инструментов. Это логическое продолжение проблемы Shadow IT в новом технологическом контексте.

Новые компоненты поверхности атаки, связанные с ИИ: API-эндпоинты ИИ-сервисов, интегрированных во внутренние процессы; уязвимости prompt injection в публично доступных интерфейсах с ИИ-функциональностью; утечки данных через корпоративные RAG-пайплайны (Retrieval-Augmented Generation); ИИ-агенты с расширенным доступом к инфраструктуре.

По данным отчётов PT Security (2025), уязвимости ИИ-агентов активно эксплуатируются в реальных атаках — это уже не теоретический риск. Инвентаризация ИИ-инструментов, используемых в организации, является логическим расширением OSINT-методологии asset discovery в ИИ-домен.

![Эволюция внешней поверхности атаки: традиционный периметр (2010) → облако и мобильность (2015–2018) → DevOps и API-экономика (2018–2022) → ИИ-расширение поверхности атаки (2023–н.в.)]

Проведение OSINT-аудита бизнеса своими силами: пошаговый план

Честный контекст перед началом: самостоятельный OSINT-аудит обеспечивает значимый базовый уровень видимости, но не воспроизводит глубину, методологическую строгость и состязательную перспективу профессионального engagement. Реалистичные временные затраты для специалиста с базовыми навыками — 4–8 часов. Следующий план предназначен для специалистов по безопасности и IT-руководителей, которые хотят провести независимую оценку.

Шаги 1–3: Инвентаризация активов, разведка по инфраструктуре и проверка утечек

1. Инвентаризация активов (инструменты: WHOIS, Amass, crt.sh)

   • Пример команды: amass enum -passive -d company.com -o subdomains.txt

   • Пример запроса: crt.sh/?q=%.company.com&output=json

   • Временные затраты: 1–2 часа

   • Ожидаемый результат: список поддоменов, регистрационные данные, Certificate Transparency история

   • Быстрая победа: поддомены, указывающие на устаревшие или неизвестные сервисы, выявляются немедленно

2. Разведка по инфраструктуре (инструменты: Shodan, Censys)

   • Пример запроса Shodan: org:"Company Name" port:3389 (открытый RDP)

   • Пример: ssl.cert.subject.cn:company.com (все сервисы с SSL на домен)

   • Временные затраты: 1–2 часа

   • Ожидаемый результат: экспонированные сервисы, открытые порты, версии ПО

   • Быстрая победа: интернет-экспонированный RDP или административный интерфейс — критическая находка, устраняемая за часы

3. Проверка утечек учётных данных (инструменты: Have I Been Pwned API)

   • Пример запроса: GET https://haveibeenpwned.com/api/v3/breacheddomain/company.com

   • Временные затраты: 30 минут

   • Ожидаемый результат: список breached-аккаунтов в домене организации

   • Быстрая победа: принудительный сброс паролей для выявленных аккаунтов — немедленное снижение риска

Структурное наблюдение: в профессиональных аудитах исходный список доменов клиента в 15–20% случаев не включает активные субдомены или связанные домены, выявляемые через Certificate Transparency и DNS-базы.

Шаги 4–6: Анализ цифрового профиля, приоритизация рисков и план ремедиации

4. Анализ цифрового профиля — проверка публичных репозиториев (поиск GitHub Dorks: org:company-name password или org:company-name apikey), анализ цифровых профилей ключевых сотрудников в открытых источниках.

5. Приоритизация рисков — применение двухосевой матрицы критичность × вероятность эксплуатации. Публично доступные сервисы без бизнес-обоснования имеют наивысший приоритет — они закрываются в течение часов при максимальном соотношении импакта к затратам.

6. Plan remediation — шаблон реестра находок для операционного использования:

AHOS DIGITAL: реальные кейсы OSINT-аудита и внедрения ASM

Следующие паттерны основаны на обобщении находок из реальных engagement AHOS DIGITAL. Все кейсы анонимизированы в соответствии с соглашениями о конфиденциальности клиентов. Цель этого раздела — не демонстрация продаж, а верификация методологических принципов, описанных в статье, через наблюдаемые паттерны.

Наиболее распространённые критические находки в реальных аудитах

1. Панели администрирования с публичным доступом — встречаются в ~60% аудитов. WordPress /wp-admin без ограничения доступа по IP, Kubernetes Dashboard без аутентификации, интерфейсы управления базами данных. Метод обнаружения: Shodan + перебор стандартных путей. Ремедиация: IP-whitelist или VPN-only доступ, закрытие неиспользуемых административных эндпоинтов.

2. Скомпрометированные учётные данные в открытом доступе — встречаются в ~75% аудитов. Корпоративные email-адреса в базах утечек Have I Been Pwned, DeHashed. Метод обнаружения: программный запрос по домену через HIBP API. Ремедиация: принудительная смена паролей, введение MFA, аудит журналов аутентификации.

3. Чувствительные данные в публичных GitHub-репозиториях — встречаются в подавляющем большинстве аудитов. API-ключи, строки подключения к БД, конфигурационные файлы с учётными данными, зафиксированные в истории коммитов (даже после удаления из текущего кода). Метод обнаружения: GitHub Dorks + инструменты типа truffleHog. Ремедиация: немедленная ротация скомпрометированных ключей, настройка pre-commit хуков, обучение команды.

4. Забытые поддомены с устаревшим ПО — встречаются в ~55% аудитов. Dev-, staging-, demo-окружения, поднятые для временных проектов и не выведенные из эксплуатации. Часто работают на устаревших версиях CMS или фреймворков с известными CVE. Метод обнаружения: Amass + Certificate Transparency + Shodan версионный анализ. Ремедиация: инвентаризация и деcommission неиспользуемых субдоменов.

5. Незащищённые облачные хранилища — встречаются в ~35% аудитов. S3-бакеты с публичным чтением, Azure Blob Storage с открытым доступом. Метод обнаружения: комбинация Shodan, GrayhatWarfare, целевые Google Dorks. Ремедиация: аудит политик IAM, принудительное включение блокировки публичного доступа на уровне аккаунта.

Метрики эффективности ASM-программы: как измерить результат

Стартовый набор метрик для организации, запускающей первую ASM-программу: MTTD, MTTR и доля Shadow IT от общего инвентаря.

• MTTD (Mean Time to Discover) — среднее время от появления нового актива или уязвимости до его обнаружения программой. Целевой ориентир для зрелой EASM-программы: ≤24 часов для критических активов.

• MTTR (Mean Time to Remediate) — среднее время от верификации находки до её устранения. Перевод для совета директоров: снижение MTTR с 47 до 12 дней для критических находок означает четырёхкратное сокращение окна эксплуатации.

• Коэффициент охвата активов — доля известных активов от расчётного полного инвентаря. Рост с 65% до 95% за квартал — измеримый прогресс программы.

• Доля Shadow IT — процент активов, обнаруженных программой и не присутствовавших в исходном реестре. Снижение этого показателя квартал к кварталу — индикатор зрелости управления активами.

• Тренд ремедиации — динамика закрытых находок по уровням критичности. Показывает, успевает ли ремедиация за темпом обнаружения.

![ASM-дашборд метрик: MTTD, MTTR, покрытие активов, тренд ремедиации, квартальная динамика]

Заключение: от осознания угрозы к системной защите

Три ключевых вывода из этого руководства:

Во-первых, публично доступные данные — это полноценная поверхность атаки. Злоумышленник не нуждается в специальном доступе: OSINT-аудит показывает, что большинство организаций уже сейчас экспонируют значительно больше, чем осознают.

Во-вторых, разовый аудит — необходимая, но недостаточная мера. Управление внешней поверхностью атаки (ASM) становится эффективным только как непрерывный процесс, встроенный в операционную модель организации.

В-третьих, OSINT и ASM выходят за рамки классической ИБ-функции: они релевантны для комплаенс, юридических, финансовых и управленческих функций — везде, где требуется верифицированное понимание цифрового присутствия организации.

Команда AHOS Digital проводит Digital Exposure Audit — структурированный OSINT-аудит цифрового присутствия, результатом которого является реестр рисков с приоритизированным планом устранения. Если вы хотите понять, что открыто о вашей организации прямо сейчас — начните с аудита.

Наиболее значимый риск — не злоумышленник, который знает вашу инфраструктуру. Это организация, которая не знает её сама.

Часто задаваемые вопросы

Что такое OSINT-аудит бизнеса и чем он отличается от пентеста?

OSINT-аудит бизнеса — это структурированный анализ публично доступной информации об организации для выявления уязвимостей, утечек и векторов атаки. В отличие от пентеста, он использует исключительно открытые источники и не взаимодействует с инфраструктурой напрямую, поэтому проводится без специального разрешения и служит разведывательной основой для всех остальных методов оценки защищённости.

Как злоумышленники используют открытые источники для атаки на компанию?

Злоумышленники используют Shodan для обнаружения экспонированных сервисов, Certificate Transparency для перечисления поддоменов, GitHub Dorks для поиска утечек кода с учётными данными, и базы данных Have I Been Pwned для идентификации скомпрометированных корпоративных аккаунтов. Эта информация позволяет составить детальную карту целевой организации до начала любых активных действий.

Что такое управление внешней поверхностью атаки (ASM) и зачем это нужно бизнесу?

ASM — непрерывный процесс обнаружения, инвентаризации, оценки и мониторинга всех интернет-экспонированных активов организации. Бизнес-обоснование: по данным Palo Alto Networks, компании не осведомлены о 30–40% своих внешних активов. Эти активы остаются незащищёнными. ASM закрывает этот разрыв как операционный процесс, а не разовая проверка.

Как защититься от утечки корпоративных данных через теневые ИТ-активы?

Первый шаг — обнаружение: регулярное пассивное перечисление поддоменов через Amass и Certificate Transparency выявляет неизвестные активы. Второй шаг — политика: все новые сервисы, домены и облачные ресурсы должны регистрироваться централизованно до ввода в эксплуатацию. Технически: автоматизированный Discovery с оповещением при появлении новых субдоменов.

Какие инструменты используются для OSINT-аудита корпоративной инфраструктуры?

Базовый стек: Shodan/Censys (экспонированные сервисы), Amass/Subfinder (поддомены), crt.sh (Certificate Transparency), theHarvester (email и хосты), Have I Been Pwned (утечки), GitHub Dorks (утечки кода), Maltego (визуализация связей). Профессиональные аудиты дополняют этот стек платными источниками данных (SecurityTrails, Flare.io) для повышения полноты.

В чём разница между EASM, CAASM и CSPM?

EASM — взгляд снаружи: только интернет-экспонированные активы. Отправная точка для большинства организаций. CAASM — полный периметр, включая внутренние активы; требует интеграции с CMDB, EDR, AD. CSPM — только облачная инфраструктура; специализирован на мисконфигурациях AWS, Azure, GCP. Выбор определяется зрелостью существующих процессов управления активами.

Как провести OSINT-аудит компании своими силами?

Шесть шагов: (1) инвентаризация доменов (Amass, crt.sh); (2) разведка по инфраструктуре (Shodan, Censys); (3) проверка утечек учётных данных (HIBP API); (4) анализ публичных репозиториев (GitHub Dorks); (5) приоритизация рисков по матрице критичность × вероятность; (6) план ремедиации с назначением ответственных и дедлайнов. Временные затраты для специалиста — 4–8 часов.

Как ASM-программа интегрируется с ISO 27001, NIST CSF и требованиями NIS2?

ASM-реестр активов обеспечивает доказательную базу для ISO 27001 Asset Register (Annex A 5.9). NIST CSF v2.0 (функция IDENTIFY) прямо требует непрерывной инвентаризации активов. Директива NIS2 (ЕС) требует документированного управления рисками и активами — ASM создаёт именно эти данные. Связь реализуется через экспорт находок в vulnerability management с SLA-управляемым процессом ремедиации.

Какие данные о компании можно найти в открытых источниках без специального доступа?

Без специального доступа доступны: полный реестр поддоменов и IP-адресов, версии используемого ПО и открытые порты через Shodan, история SSL-сертификатов, данные WHOIS, скомпрометированные учётные данные в базах утечек, API-ключи и строки подключения в публичных репозиториях, цифровые профили сотрудников и руководства. Типичный аудит выявляет 40–80 точек уязвимости на организацию среднего размера.

Как генеративный ИИ и ИИ-краулеры изменили поверхность атаки организации?

ИИ-краулеры индексируют страницы без входящих ссылок, которые традиционные поисковики игнорировали. Это разрушает «безопасность через неизвестность» для непубличных, но технически доступных страниц. Дополнительно: Shadow AI (сотрудники, подключающие корпоративные данные к внешним ИИ) создаёт неконтролируемые потоки данных, невидимые для стандартных DLP-инструментов.

Что такое Shadow IT и как оно влияет на внешнюю поверхность атаки?

Shadow IT — активы (сервисы, домены, облачные ресурсы), развёрнутые без ведома IT и команды безопасности. Влияние на внешнюю поверхность атаки: эти активы не включены в реестры, не проходят Security Review, не получают обновлений безопасности. По отраслевым данным, они составляют 30–40% реального внешнего инвентаря организации и непропорционально часто фигурируют в инцидентах.

Как OSINT применяется в санкционном комплаенс-контроле?

OSINT позволяет трассировать бенефициарное владение через несколько юрисдикционных слоёв, выявлять номинальных директоров, нетипичные IP-ассоциации и паттерны регистрации доменов, характерные для аффилированных структур. Инструменты без enterprise-лицензии: OpenSanctions (120+ санкционных источников), ICIJ Offshore Leaks Database, национальные корпоративные регистры. OSINT дополняет, но не заменяет формальный санкционный скрининг.