Как проводится расследование в OSINT в 6 этапов
Цикл расследования
Начнём с определения цикла расследования:
-
Цикл расследования, или intelligence cycle, — идеализированный процесс добычи полезного знания (от англ. intelligence). Этот подход имеет американское происхождение и применяется в США как военными, так и гражданскими государственными организациями.
Это закрытый цикл, состоящий из шести частей:
- Planning and Direction — «Планирование и направление».
- Collection — «Сбор информации».
- Processing and Exploitation — «Обработка и сопоставление».
- Analysis and Production — «Анализ и создание».
- Dissemination and Integration — «Доведение и интеграция».
- Evaluation and Feedback — «Оценка и обратная связь».
Цикл расследования
Заметим, что финальная часть цикла выполняется заказчиком расследования, вашим клиентом, работодателем или непосредственным начальником.
Теория цикла расследований
Представленная в теории цикла расследований американская терминология может быть неизвестна специалистам из других стран, поэтому разберём каждую часть цикла по порядку.
Planning and Direction
Данная часть цикла представляет собой планирование расследования и выбор ресурсов и инструментов для проверок в следующем этапе цикла. В качестве входных данных тут выступают требования заказчика.
Например, при поступлении задачи проверки кандидата при приёме на работу вам необходимо в первую очередь обратить внимание на судимости и долги кандидата, а также на его посты и поведение в социальных сетях. При этом анализ фотографий из социальных страниц можно не проводить.
И наоборот, в случае необходимости поиска имущества сбежавшего за границу крупного банковского должника определение мест съёмки фотографий, размещённых в социальных сетях его близких, может дать вам дополнительные указания на новоприобретённое имущество, например на недвижимость за границей.
Таким образом, на данном этапе цикла вы должны определиться с направлением расследования, с тем, какую информацию вам необходимо получить на этапе сбора для достижения заданной заказчиком цели и с необходимыми инструментами.
Например, при поступлении задачи проверки кандидата при приёме на работу вам необходимо в первую очередь обратить внимание на судимости и долги кандидата, а также на его посты и поведение в социальных сетях. При этом анализ фотографий из социальных страниц можно не проводить.
И наоборот, в случае необходимости поиска имущества сбежавшего за границу крупного банковского должника определение мест съёмки фотографий, размещённых в социальных сетях его близких, может дать вам дополнительные указания на новоприобретённое имущество, например на недвижимость за границей.
Таким образом, на данном этапе цикла вы должны определиться с направлением расследования, с тем, какую информацию вам необходимо получить на этапе сбора для достижения заданной заказчиком цели и с необходимыми инструментами.
Collection
Этот этап представляет собой сбор сырых данных без дополнительной обработки со стороны аналитика. Например, при поиске по Ф. И. О. в поисковых системах вы получите Х результатов поиска, из которых 80% будут нерелевантны.
Или, используя информационно-аналитические системы, например «Спарк-Интерфакс», вы сможете получить список людей, состоявших в компании в качестве соучредителей за всю историю её существования, даже несмотря на то, что в цели расследования стоит задача изучить компанию в её актуальном состоянии.
Как только вы начнёте полученную информацию обрабатывать (например, сортировать релевантные и нерелевантные результаты выдачи, заносить полезную для расследования информацию в майндкарту), то вы перейдёте от этапа Collection к этапу Processing and Exploitation.
Или, используя информационно-аналитические системы, например «Спарк-Интерфакс», вы сможете получить список людей, состоявших в компании в качестве соучредителей за всю историю её существования, даже несмотря на то, что в цели расследования стоит задача изучить компанию в её актуальном состоянии.
Как только вы начнёте полученную информацию обрабатывать (например, сортировать релевантные и нерелевантные результаты выдачи, заносить полезную для расследования информацию в майндкарту), то вы перейдёте от этапа Collection к этапу Processing and Exploitation.
Processing and Exploitation
На этом этапе вы обрабатываете полученные сырые данные. Причём обрабатывать такие данные вы можете не только с помощью дополнительных инструментов (например, добывая электронные почты с помощью инструмента Mailcat, используя ранее найденный никнейм), но и с помощью собственных размышлений на основе личного и профессионального опыта (например, отсеивая невалидные номера телефонов или заведомо ложноположительные результаты работы некоторых инструментов).
Отличать ложноположительные результаты вы сможете после получения минимального опыта работы над OSINT-расследованиями и автоматически сможете отсеивать большинство таких результатов (двадцатизначные городские телефонные номера из ИАС для поиска по юридическим лицам, электронные почты на редких доменах, аккаунты на сайтах с adult-контентом).
Отличать ложноположительные результаты вы сможете после получения минимального опыта работы над OSINT-расследованиями и автоматически сможете отсеивать большинство таких результатов (двадцатизначные городские телефонные номера из ИАС для поиска по юридическим лицам, электронные почты на редких доменах, аккаунты на сайтах с adult-контентом).
Analysis and Production
Как и предполагает название, данный цикл представляет собой анализ добытой информации и производство новых данных посредством аналитической деятельности. Лучше всего описать данный этап можно с помощью примера.
Допустим, вам поступает задача о проверке на благонадёжность действующего специалиста по закупкам торговой сети А. У заказчика, службы безопасности данной торговой сети, имеются подозрения в том, что специалист по закупкам — коррупционер и вступает в коммерческие сговоры с некоторыми поставщиками.
После выполнения предыдущих этапов цикла вам становится известно о регулярных контактах этого специалиста с множественными представителями компаний-производителей Х и Р, при этом начало этих контактов датируется мартом 2023 года. Дополнительно фото- и видеоматериалы за авторством специалиста, обнаруженные вами в его профиле после марта 2023 года, стали отображать значительно более роскошный образ жизни, чем ранее.
Соответственно, основываясь как на подозрениях заказчика, так и на обнаруженных фактах, вы сможете сделать вывод, сами произвести новые данные — в данном случае о том, что специалист по закупкам действительно вступил в коммерческий сговор с представителями компаний Х и Р, и передать данный вывод заказчику в следующем этапе, Dissemination and Integration.
Допустим, вам поступает задача о проверке на благонадёжность действующего специалиста по закупкам торговой сети А. У заказчика, службы безопасности данной торговой сети, имеются подозрения в том, что специалист по закупкам — коррупционер и вступает в коммерческие сговоры с некоторыми поставщиками.
После выполнения предыдущих этапов цикла вам становится известно о регулярных контактах этого специалиста с множественными представителями компаний-производителей Х и Р, при этом начало этих контактов датируется мартом 2023 года. Дополнительно фото- и видеоматериалы за авторством специалиста, обнаруженные вами в его профиле после марта 2023 года, стали отображать значительно более роскошный образ жизни, чем ранее.
Соответственно, основываясь как на подозрениях заказчика, так и на обнаруженных фактах, вы сможете сделать вывод, сами произвести новые данные — в данном случае о том, что специалист по закупкам действительно вступил в коммерческий сговор с представителями компаний Х и Р, и передать данный вывод заказчику в следующем этапе, Dissemination and Integration.
Dissemination and Integration
На данном этапе аналитик готовит итоговый вариант передачи обнаруженной информации и сделанных на её основе выводов заказчику. Отметим, что варианты отчёта зависят от требований заказчика, типа задачи и срочности выполнения. Так, некоторые запросы требуют лишь простого трансфера нужных данных заказчику. Например, поиск контактных данных героя какой-либо истории по просьбе журналиста для проведения интервью. Другие же задачи, например задача по проверке компании-контрагента, потребуют от вас подготовки полноценного аналитического отчёта.
Evaluation and Feedback
Финальный этап цикла, при необходимости этот цикл перезапускающий. Представляет собой обработку ваших результатов заказчиком и передачу вам правок при их наличии.
Соответственно, при получении правок вам необходимо будет провести дополнительный поиск, следуя тем же этапам цикла, что вы уже прошли, с некоторым сужением круга поиска.
Соответственно, при получении правок вам необходимо будет провести дополнительный поиск, следуя тем же этапам цикла, что вы уже прошли, с некоторым сужением круга поиска.
Итоги
- Цикл расследования — это идеализированный замкнутый процесс, состоящий из шести ключевых этапов.
- Цель расследования определяет инструменты и ресурсы, которые вы будете использовать.
- На этапе анализа, используя собранную информацию, вы сами делаете вывод и производите новые данные.
- Цикл расследования может быть перезапущен после получения обратной связи, что позволит улучшить результаты и более точно ответить на запросы заказчика.
Курс по OSINT
Освойте направление OSINT за 4 недели и получите навыки, необходимые для сбора и анализа информации из открытых источников. Курс включает практику в реальных кейсах. Подходит специалистам специалистам службы безопасности, специалистам ИБ, пентест-специалистам, сотрудникам корпоративной безопасности и IT-специалистам.
