Что такое корпоративная безопасность, чем она занимается и как с этим связан OSINT
Автор: @emisare. Оформление статьи взято из игры Cyberpunk 2077
Last updated
Автор: @emisare. Оформление статьи взято из игры Cyberpunk 2077
Last updated
Очень давно хотел написать текст про корпоративную безопасность. Так вышло, что у OSINT mindset есть цикл статей про профессии, в которых активно применяется OSINT, поэтому повод, как нельзя кстати. Да и потом, я выступал с докладом на эту тему в апреле этого года, поэтому считаю, что статья будем хорошим дополнением.
Прежде чем углубляться в специфику, давайте разберемся с базовыми вещами и поймем, какие вообще бывают службы безопасности. Наверняка, вы увидите много очевидных вещей, но хочется, чтобы материал был цельным. Оговоримся, что я тут высказываю не какой-то единый опыт или стандарт (его нет), а собирательную модель из разных крупных российских и международных компаний.
Главная задача всей безопасности – обеспечить непрерывную работу бизнеса.
Цели в организации: обеспечение физической безопасности на различных объектах, которые принадлежат или арендуются компанией (офисы, склады, дата-центры и т.д.)
Выполняемый спектр задач: тут необходимо понимать, что ФБ в большинстве крупных организаций делится на 2 группы: инженеры и непосредственно охрана.
Первые - это те, кто занимается так называемой "интеллектуальной" физической безопасностью. Сюда можно отнести все, что связано со СКУДом, расследованиями инцидентов в этой области (например, просмотр камер, если речь идет о краже), выстраивание иных систем безопасности периметра помещений, мониторинг и прочее. Сюда же относятся обязанности по прохождению различных сертификаций, пожарная безопасность и прочее.
Вторые - это стандартная охрана, которая выполняет разные функции, в зависимости от типа охраняемого объекта. Думаю все понимают, что офис или склад с ценными вещами охраняется несколько по разному (например, досмотр сотрудников после смены вполне возможен, если речь идет про склад с ценными объектами). В некоторых сложных отраслях, речь может идти о вооруженной охране и более подготовленных сотрудниках (например, обеспечение безопасности на нефтяной платформе).
Цели в организации: "обеспечение конкурентоспособности организации, обеспечение ее финансовой стабильности и защита от различных внутренних и внешних угроз". Данное определение почти дословно взято из различных учебников по экономической безопасности. Мне это определение не очень нравится, но давайте попробуем расшифровать.
Выполняемый спектр задач: не считая корпоративной безопасности, это самое сложное подразделение с точки зрения четкого определения спектра задач, которые они должны решать. У каждой компании просто есть свое понимание, чем должна заниматься ЭБ. Я встречал случаи, когда ЭБ брала на себя функционал вообще всей безопасности, за исключением информационной. Это не совсем верно, поэтому попробуем выделить ключевые функции:
Взаимодействие с правоохранительными органами при расследованиях.
Проверка контрагентов.
Due diligence - оценка инвестиционных проектов или сделок на “прозрачность”.
Проверка аффилированности физлиц и юрлиц (как частный пример - поиск конфликта интересов).
Выявление различного фрода внутри организации. По сути, это очень обширная история и для простоты можно назвать это "расследованием мошеннических схем".
Вы можете услышать "в компании есть служба безопасности/СБ". Чаще всего под этим подразумевают именно ЭБ (речь идет про российские реалии). Так сложилось, из-за того, что часто ЭБ занимается большим спектром задач.
Цели в организации: обеспечить безопасность информации/данных, которые предоставляют важность для организации и инфраструктуры, в которой эти данные находятся. Это тоже максимально расплывчатое понятие, так как ИБ вообще самая сложная из всех "безопасностей", как структурно, так и технически. Перед разбором задач хочется вспомнить одну фундаментальную вещь, которую проходят на 1-ом курсе института:
💬 "Защита информации – это совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей."
Выполняемый спектр задач: мне больше всего нравится подход, когда функции ИБ можно описать двумя большими кластерами:
Defensive security ("blue team" или команда защитников) - по сути, большинство специалистов, которые работают внутри. Сюда можно отнести SOC (security operations center), форензиков, incident response, awareness team и так далее.
Offensive security ("red team" или команда атакующих) - специалисты, которые занимаются проверкой систем на уязвимости извне (сервера, сайты, сетевые протоколы и прочее). Часто можно встретить название пентестер/белый хакер. Сюда же относится и социальная инженерия, как направление для теста.
А теперь перейдём непосредственно к корпоративной безопасности и ее роли в организации.
Для начала давайте попробуем дать определение. Лично мне ближе всего такая формулировка:
"Корпоративная безопасность занимается разведкой, контрразведкой и собственной безопасностью"
Для наглядности про роль в компании и выполняемый спектр задач, разберемся с каждым аспектом по отдельности.
1. Разведка - все, что связано с какими-то внешними угрозами или интересами компании. Возможные типовые задачи:
Конкурентная разведка в широком смысле (куда движется бизнес, кого нанимает, какие направления бизнеса самые перспективные и т.д.)
Аналитика рынков или регионов для различных целей.
Поиск ответов на любые вопросы.
Стратегическое планирование в контексте различных потенциальных рисков для бизнеса.
2. Контрразведка - все, что связано с внутренними угрозами. Возможные типовые задачи:
Выстраивание превентивных мер по защите NDA и расследование инцидентов, когда что-то случилось.
Исследование возможных рисков от PR, комплайенс, юристов, HR и т.д.
Проверка персонала и топ-менеджмента.
Контрмеры по промышленному шпионажу.
"Анти рекрутмент" - разработка мер по противодействию агрессивного хантинга сотрудников компаниями конкурентов, поиск заинтересованных лиц и т.д.
Техническая защита важных переговоров.
3. Собственная безопасность - защита сотрудников в широком смысле.
Тут можно разобрать еще очень много вещей, которые относятся к исключительно расследовательской части и сложно отнести к какой-то конкретной группе: работа с логами (чисто ИБ история), работа с камерами (чисто ФБ история), деанон мошенников (чисто ЭБ история) и многое другое.
⚠️ Часто КБ приходится взаимодействовать не только с другими службами безопасности, но и с HR, рекрутерами, PR, комплайенсом, GR и юристами. То есть, служба не живет в вакууме только своих задач.
Как видите, спектр задач неимоверно широкий. Некоторые иностранные коллеги считают, что КБ должны представлять из себя некую форму входного окна по различным инцидентам безопасности (SOC выносим за скобки). То-есть получаем кейс на входе, проводим расследование и собираем информацию. Дальше распределяем по другим подразделениям, иногда полностью закрываем сами.
Напоследок стоит сказать про одно из ключевых отличий КБ от других "безопасностей". КБ по большей части решает риски, связанные с человеческим фактором. То есть кадровая безопасность как таковая находится в ведение не только ЭБ, но и КБ в том числе.
Если вы внимательно прочитали предыдущий блок, то взаимосвязь очевидна, большинство задач, которые приходится решать КБ связаны так или иначе с поиском и анализом информации для разных целей.
Давайте закрепим на конкретных примерах, которые я упоминал ранее:
Когда мы говорим про мошенников, они, как правило не используют свои личные номера телефонов, Telegram-аккаунты или почты. Необходимо хорошо понимать, что такое цифровые идентификаторы, как они могут быть связаны между собой, где можно искать их след, уметь анализировать соцсети, анализировать логи и многое другое.
Предположим, бизнес расширяется и хочет начать работать в новой стране. Необходимо изучить основных игроков (экономические показатели, связи гендиров с местными властями, чтобы оценить степень их влияния, численность сотрудников и многое другое), оценить аффилированность этих игроков между собой, понять особенности местного законодательства по интересующим вопросам, найти потенциальных партнеров и многое другое. Итогом этой сложной аналитической работы должен стать некий отчет, который попадет на стол руководителя, для принятия управленческих решений.
Можно продолжать очень долго, но думаю вы и так все поняли. Если вы недавно начали увлекаться OSINT (возможно давно им увлекаетесь) и пока не совсем понимаете, куда вас это может привести и где можно применять подобные скиллы, то корпоративная безопасность - это один из вариантов.
Напоследок, если вы хотите больше деталей и вам ближе видео формат, предлагаю ознакомиться с моим докладом с OSINT mindset meetup №8 "Практика использования OSINT в корпоративной безопасности".