Trochę o analizie danych w pracy bezpiecznika

Nie tak dawno widziałem fajny, lekko prześmiewczy mem na temat pracy bezpiecznika pokazujący jak osoby z zewnątrz widzą jego pracę – zdobywanie informacji, detektywistyka biznesowa, obserwacje, śledztwa, współpraca z służbami, niebezpieczne kraje vs jak on sam widzi swoją pracę –  analizy, prezentacje, godziny przed komputerem itp.

Dzisiaj chciałbym skupić się na analizie danych bez której nie da się prowadzić działań.

No właśnie żyjemy w XXi wieku i jesteśmy wręcz zalewani danymi które wykorzystujemy w naszej pracy, problemem nie jest ich zbieranie a analiza tych danych tak by dostarczone dla klienta były dla niego maksymalnie użyteczne.

Dane wykorzystane w odpowiednim czasie są potężniejsze niż nie jedna broń natomiast użyte za wczas lub za późno nie tylko są bezużyteczne ale wręcz narażają na niebezpieczeństwo

Jest parę złotych zasad związanych z analizą danych w pracy bezpiecznika:

  • czym bardziej skomplikowana sprawa tym więcej mamy danych do przeanalizowania.
  • na 100% danych jakie analizujemy ok 10% jest na prawdę użyteczna a cała reszta niestety tylko marnuje nasz czas.
  • analiza danych nie jest wieczna, mam na myśli że nawet najmniejsza informacja zdobyta z opóźnieniem może mieć wpływ na całą naszą analizę
  • analiza musi by napisana w sposób maksymalnie syntetyczny a także zawierać rekomendację dla klienta co dalej w przedmiotowej sprawie

To nie wszystkie zasady ale możemy przyjąć że są to jedne z ważniejszych.

Jak już wspomniałem sprawa jest dosyć prosta jeśli mamy tylko parę danych do przeanalizowania jednak mocno się komplikuje jeśli danych jest dużo a zbieranie ich dotyczy wielu krajów.

Tutaj z pomocą śpieszą nam rozwiązania XXI wieku w postaci specjalnego oprogramowania służącego do analizy danych, wyszukiwania informacji czy też powiązań.

Głównym celem programu jest analizowanie relacji w świecie rzeczywistym między informacjami, które są publicznie dostępne w internecie. Może to obejmować tzw. „internetowy odcisk palca” pozostawiony przez indywidualna osobę, a także znajdować informacje o osobach i organizacji, które ją posiadają.

Przy użyciu oprogramowania jakiego używamy możemy jasno określić zależności między następującymi jednostkami:

  • ludzie:
      - imiona i nazwiska,
      - adresy e-mailowe;
    • grupy osób (sieci społecznościowe);
    • firmy;
    • organizacje;
    • strony www;
    • infrastruktura internetowa, taka jak:
      - domeny,
      - nazwy DNS,
      - netblocks,
      - adresy IP;
    • powiązania;
    • dokumenty i pliki;

Połączenia między tymi informacjami można znaleźć za pomocą technik OSINT (Open Source Intelligence), wyszukując takie źródła, jak rekordy DNS, rekordy whois, wyszukiwarki, sieci społecznościowe, różne interfejsy internetowe i metadane.

Narzędzi tego typu jest sporo niektóre z nich to:

  • Maltego – Paterva https://www.paterva.com
  • i2 – IBM http://www-03.ibm.com/software/products/pl/i2-analyze
  • Business Intelligence – SAS https://www.sas.com/pl_pl/software/business-intelligence.html

Powyższe oprogramowanie bardzo ułatwia pracę bezpiecznika, mankamentem jest jednak jego cena, dosyć wysoka jak na nasze warunki.

Istnieją także darmowe rozwiązania on-line które ułatwiają analizę a także przygotowują powiązania jednakże mają mocno ograniczone funkcjonalności stąd w przypadku skomplikowanych spraw możemy się rozczarować.

Co jeszcze jest ważne w analizie danych a w zasadzie w początkowej jej fazie to jasno zdefiniowane kluczowe punkty które analizujemy i które stanową podstawę analizy.

Wspomniane punkty zależą od przedmiotu sprawy jaką się zajmujemy ale mogą to być np:

  • ludzie
  • firmy
  • kraje
  • inne (w zależności od aspektu sprawy)

Mając jasno zdefiniowane punkty analizy możemy przystąpić do jej tworzenia.

By nie zdradzać naszego warsztatu pracy powyższy opis jest bardzo ogólny,  ma on jednak za zadanie wykazać że analiza danych pomimo iż wielokrotnie jest uznawana za coś nudnego i mało widowiskowego jest kluczowa w naszych działaniach.

Jest jej niezmiernie ciężko się nauczyć tym bardziej że szkoły o tematyce bezpieczeństwa nie podejmują tematu (jeśli się mylę to proszę o informację) więc pozostaje nauka oparta o wiedzę i doświadczenie zdobyte podczas pracy od starszych Kolegów.

Mam nadzieję że choć trochę przybliżyłem jeden z ważniejszych choć mało widowiskowych rozdziałów pracy bezpieczników