Киберразведка и мониторинг активов | OSINT, EASM, DRP | NLSec

Киберразведка и мониторинг цифровых активов

Киберразведка и мониторинг цифровых активов

Показываем, что видно о компании извне: домены, поддомены, IP, открытые сервисы, Shadow IT, утечки, скомпрометированные учетные записи, CVE и признаки цифровых рисков и изменений внешнего периметра. Без взлома — только легальный OSINT и мониторинг поверхности атаки.

OSINT
EASM
DRP
Shadow IT
FINDLER
24/7 мониторинг

Когда это актуально

  • вы не знаете, какие активы компании видны извне;
  • есть забытые поддомены, тестовые стенды, открытые админ-панели или Shadow IT;
  • нужно найти утечки документов, учетных записей или данных бренда;
  • нужен регулярный мониторинг внешнего периметра и ранние оповещения.

Что такое киберразведка и мониторинг цифровых активов

Киберразведка — это легальный сбор и анализ информации из открытых источников, технических метаданных и публично доступных цифровых следов компании. Цель — понять, что о компании, ее инфраструктуре, брендах, сотрудниках и сервисах видит внешний наблюдатель до того, как этим воспользуется злоумышленник.

В рамках услуги NLSec использует логику OSINT, EASM и DRP: ищет публичные цифровые активы, контролирует внешнюю поверхность атаки, выявляет забытые поддомены, открытые сервисы, тестовые стенды, скомпрометированные учетные записи, утечки в GitHub, Pastebin, Telegram, DarkNet и других источниках, сопоставляет найденные активы с CVE и формирует отчет с приоритетами и рекомендациями.

Киберразведка — это не взлом и не “атака на заказчика”. Это безопасный способ увидеть компанию глазами внешнего наблюдателя, найти слабые места и устранить риски до инцидента.

Юридические границы работ

Киберразведка должна быть безопасной и понятной для заказчика. Поэтому границы работ фиксируются заранее.

Что входит

  • анализ открытых источников и публичных технических признаков;
  • поиск связанных доменов, поддоменов, IP и сервисов;
  • мониторинг утечек и скомпрометированных учетных записей;
  • сопоставление найденных активов с известными уязвимостями;
  • отчет, приоритизация и рекомендации по снижению рисков.

Что не входит без отдельного согласования

  • несанкционированный доступ к системам;
  • эксплуатация уязвимостей;
  • нагрузочное воздействие на сервисы;
  • социальная инженерия;
  • пентест, если он не согласован как отдельный проект.

Что показывает карта внешнего периметра

По итогам разведки заказчик получает не разрозненный список находок, а карту цифровых активов с приоритетами и понятными действиями.

Что найдено Пример риска Что делать
Домены и поддомены Забытый поддомен старого проекта, который больше не обслуживается. Проверить владельца, отключить, закрыть доступ или вернуть в управляемый контур.
IP и открытые сервисы Публично доступный сервис администрирования или тестовый порт. Ограничить доступ, закрыть лишний сервис, добавить контроль и мониторинг.
Сертификаты и DNS-записи Сертификат раскрывает внутренние имена, тестовые среды или старые домены. Проверить актуальность, удалить лишние записи, привести DNS и сертификаты в порядок.
Технологии и версии Публичный сервис использует компонент с известной CVE. Проверить применимость, обновить компонент, ограничить доступ или компенсировать риск.
Репозитории и публикации В открытом репозитории найден токен, ключ, конфигурация или фрагмент внутреннего URL. Отозвать секрет, удалить публикацию, проверить историю, обновить процесс хранения секретов.
Утечки учетных записей Корпоративный email найден в утечке паролей или базе скомпрометированных аккаунтов. Сменить пароль, включить MFA, проверить активность и провести выборочную проверку доступа.

Решение необходимо, если…

Киберразведка особенно полезна, когда внешний периметр менялся годами, запускались новые проекты, работали подрядчики, появлялись облака, тестовые стенды, филиалы или отдельные бренды.

01

Неизвестно, какие активы видны извне

Домены, поддомены, IP, сервисы, тестовые стенды и облачные ресурсы могли появляться годами без единого учета.

02

Есть риск Shadow IT

Подрядчики, филиалы или внутренние команды могли поднять сервисы, которые не попали в официальный периметр ИБ.

03

Нужно найти открытые админ-панели

В интернете могут быть доступны панели управления, тестовые среды, API, dev-стенды и забытые интерфейсы.

04

Есть риск утечек данных

Документы, ключи, токены, дампы, учетные записи или фрагменты кода могут появляться в открытых источниках.

05

Нужно контролировать подрядчиков

Внешние подрядчики могут использовать домены, поддомены, сервисы и репозитории, связанные с брендом заказчика.

06

Нужны оповещения о новых угрозах

Важно получать сигналы о новых активах, CVE, утечках и изменениях внешней поверхности атаки регулярно, а не раз в год.

Какие алерты может получать заказчик

При регулярном мониторинге важны не только отчеты, но и своевременные сигналы о новых изменениях. Ниже — примеры алертов, которые помогают быстрее реагировать на внешние риски.

Новый поддомен

Обнаружен новый dev-поддомен, который ранее не входил в карту внешнего периметра.

Открытая панель

На публичном адресе обнаружен интерфейс администрирования или тестовая панель.

Новая CVE на публичном сервисе

Найдена версия компонента, для которой опубликована уязвимость с высоким приоритетом проверки.

Утечка учетной записи

Корпоративный email обнаружен в утечке. Требуется проверка доступа, MFA и смена пароля.

Секрет в репозитории

В открытой публикации найден токен, ключ, конфигурационный файл или внутренний URL.

Подозрительное упоминание бренда

Найдено новое упоминание бренда, домена или продукта в источниках, требующих проверки.

Логика услуги

Киберразведка и мониторинг цифровых активов

FINDLER: видеть риски раньше

1. OSINT 1. OSINT
2. EASM 2. EASM
3. DRP 3. DRP
4. Приоритизация 4. Приоритизация

Киберразведка работает как постоянный цикл: найти активы, проверить риски, убрать шум, приоритизировать угрозы и контролировать изменения.

Что входит

Собираем домены, поддомены, IP, сертификаты, сервисы, облачные ресурсы, тестовые стенды и другие публичные активы.

Поиск цифровых активов компании

Собираем домены, поддомены, IP, сертификаты, сервисы, облачные ресурсы, тестовые стенды и другие публичные активы.

Формируем карту внешней поверхности атаки: что доступно извне, какие сервисы открыты, где есть неожиданные точки входа.

Инвентаризация внешнего периметра

Формируем карту внешней поверхности атаки: что доступно извне, какие сервисы открыты, где есть неожиданные точки входа.

Выявляем забытые поддомены, dev/test-стенды, сервисы подрядчиков, старые панели, временные ресурсы и неучтенные активы.

Поиск Shadow IT

Выявляем забытые поддомены, dev/test-стенды, сервисы подрядчиков, старые панели, временные ресурсы и неучтенные активы.

Ищем упоминания компании, доменов, брендов, документов, учетных записей, токенов и ключей в открытых источниках и утечках.

Мониторинг утечек данных

Ищем упоминания компании, доменов, брендов, документов, учетных записей, токенов и ключей в открытых источниках и утечках.

Проверяем источники, где могут появляться секреты, фрагменты кода, документы, дампы, учетные записи и упоминания бренда.

Контроль GitHub, Pastebin, Telegram и DarkNet

Проверяем источники, где могут появляться секреты, фрагменты кода, документы, дампы, учетные записи и упоминания бренда.

Выявляем корпоративные email, пароли и связанные учетные записи, которые могли попасть в публичные или полузакрытые утечки.

Поиск скомпрометированных учетных записей

Выявляем корпоративные email, пароли и связанные учетные записи, которые могли попасть в публичные или полузакрытые утечки.

Проверяем найденные технологии и сервисы на наличие известных уязвимостей и признаков высокого риска эксплуатации.

Сопоставление активов с CVE

Проверяем найденные технологии и сервисы на наличие известных уязвимостей и признаков высокого риска эксплуатации.

Отделяем важные находки от шума, оцениваем критичность, влияние на бизнес и срочность устранения.

False positive и приоритизация

Отделяем важные находки от шума, оцениваем критичность, влияние на бизнес и срочность устранения.

Готовим отчет по находкам, рекомендации, список действий и сценарий регулярных оповещений о новых угрозах.

Отчет и оповещения

Готовим отчет по находкам, рекомендации, список действий и сценарий регулярных оповещений о новых угрозах.

Источники и направления мониторинга

Точный набор источников согласуется под задачу заказчика. Для одних проектов достаточно доменов и внешнего периметра, для других нужен расширенный мониторинг утечек, бренда и подрядчиков.

Доменная инфраструктура

  • домены и поддомены;
  • DNS-записи;
  • сертификаты;
  • история изменений;
  • связанные бренды и дочерние домены.

Внешние сервисы

  • IP и открытые порты;
  • web-сервисы и API;
  • админ-панели;
  • test/dev/stage-стенды;
  • версии технологий и признаки CVE.

Утечки и цифровые следы

  • GitHub и открытые репозитории;
  • Pastebin-подобные публикации;
  • Telegram и публичные каналы;
  • DarkNet-источники по согласованному периметру;
  • утечки учетных записей и документов.

Пример алерта FINDLER

Ценность мониторинга не только в большой карте активов, но и в коротких сигналах, которые позволяют быстро понять, что изменилось и какое действие нужно выполнить ответственному сотруднику.

Поле алерта Пример Что делает команда
Событие Обнаружен новый поддомен dev-company-example.ru, связанный с основным доменом организации. Проверяет владельца, назначение и необходимость включения актива в управляемый периметр.
Риск На поддомене доступен тестовый сервис с публичной страницей входа. Ограничивает доступ, проверяет настройки, журналы и необходимость публикации сервиса извне.
Приоритет Высокий, если сервис связан с рабочими данными, админ-панелью, API или известной уязвимостью. Назначает ответственного и срок проверки, чтобы находка не осталась без реакции.
Рекомендация Подтвердить легитимность актива, закрыть лишний доступ, добавить мониторинг и обновить карту периметра. Превращает находку в конкретный набор действий для ИТ и ИБ.

Что получает заказчик

Понятный список доменов, поддоменов, IP, сервисов и точек входа, видимых извне.

Карту внешней поверхности атаки

Понятный список доменов, поддоменов, IP, сервисов и точек входа, видимых извне.

Учетные записи, документы, токены, ключи, упоминания бренда и другие найденные риски.

Список утечек и компрометаций

Учетные записи, документы, токены, ключи, упоминания бренда и другие найденные риски.

Что критично закрыть срочно, что требует проверки, а что является низким риском или false positive.

Приоритизацию угроз

Что критично закрыть срочно, что требует проверки, а что является низким риском или false positive.

Сигналы о новых активах, сервисах, уязвимостях, утечках и изменениях периметра.

Мониторинг изменений

Сигналы о новых активах, сервисах, уязвимостях, утечках и изменениях периметра.

Хранение и передача результатов

В отчетах по киберразведке могут быть чувствительные сведения: утечки, учетные записи, токены, внутренние URL, технические признаки инфраструктуры. Поэтому формат передачи и хранения согласуется заранее.

Минимизация данных

В отчет попадают только сведения, необходимые для проверки и устранения риска. Лишние данные не собираются и не дублируются.

Ограниченный доступ

Результаты передаются согласованным контактам заказчика и не распространяются вне рабочей группы проекта.

Согласованный формат

Отчет может передаваться в защищенном архиве, через согласованный канал или в формате, принятом у заказчика.

Маскирование секретов

Токены, ключи, пароли и чувствительные фрагменты могут маскироваться, чтобы снизить риск повторной утечки.

Срок хранения

Срок хранения рабочих материалов и отчетов согласуется до начала работ и зависит от формата проекта.

Приоритет на устранение

Главная цель передачи результатов — быстро закрыть риск: отозвать секреты, ограничить доступы, обновить сервисы и убрать лишние активы.

Документы и артефакты на выходе

Артефакт Что дает заказчику Когда нужен
Карта цифровых активов Показывает домены, поддомены, IP, сервисы, сертификаты, облака и публичные точки входа. Для инвентаризации внешнего периметра и EASM.
Отчет по Shadow IT Фиксирует неучтенные сервисы, тестовые стенды, забытые поддомены и активы подрядчиков. Когда нужно понять, что появилось вне контроля ИБ.
Отчет по утечкам Содержит найденные учетные записи, документы, ключи, токены, фрагменты кода и упоминания бренда. Для DRP, реагирования и контроля цифровых рисков.
Список CVE и открытых сервисов Помогает понять, какие публичные сервисы связаны с известными уязвимостями и требуют внимания. Для приоритизации исправлений и управления уязвимостями.
Приоритизированный backlog действий Показывает, что закрывать первым: убрать сервис, ограничить доступ, сменить учетные данные, исправить CVE. После первичного OSINT/EASM-анализа.
Оповещения о новых рисках Помогают реагировать на новые утечки, активы, открытые сервисы и изменения периметра. При регулярном мониторинге внешней поверхности атаки.

Периодичность и оповещения

Внешний периметр меняется постоянно: появляются новые сервисы, домены, сертификаты, уязвимости, подрядчики и публикации. Поэтому регулярность мониторинга выбирается по уровню риска.

Формат Когда подходит Результат
Разовый аудит Первичная инвентаризация, подготовка к аудиту, смена подрядчика, запуск ИБ-проекта. Отчет, карта активов, список рисков и рекомендации.
Ежемесячный мониторинг Умеренно меняющийся периметр, несколько доменов, регулярные изменения сайта и инфраструктуры. Ежемесячный отчет и список новых находок.
Еженедельный мониторинг Большой периметр, активная разработка, подрядчики, филиалы, несколько брендов и облаков. Регулярные сводки, приоритеты и рекомендации по новым рискам.
Оповещения о критичных событиях Нужна быстрая реакция на утечки, новые открытые сервисы, критичные CVE или компрометацию учетных записей. Алерты по согласованным каналам и приоритетам.

Что нужно от заказчика для старта

Для первичного анализа достаточно базовых вводных. Чем полнее список активов и брендов, тем точнее карта периметра.

Домены и сайты

Основные домены, поддомены, сайты, личные кабинеты, API, порталы, лендинги и сервисы.

IP и подсети

Известные публичные IP, подсети, площадки, облачные аккаунты и выделенные инфраструктурные зоны.

Бренды и названия продуктов

Основной бренд, дочерние бренды, продукты, старые названия, юридические лица и публичные обозначения.

Критичные сервисы

Сервисы, которые особенно важны для бизнеса: личный кабинет, платежи, API, CRM, порталы, мобильные приложения.

Подрядчики и филиалы

Внешние команды, региональные домены, отдельные проекты, интеграторы и ресурсы, которые могут быть связаны с компанией.

Ограничения и приоритеты

Что нужно проверить в первую очередь, какие источники важны, какие направления не входят в задачу.

Форматы работ

Формат подбирается под задачу: от разовой проверки внешнего периметра до постоянного мониторинга новых активов, утечек и цифровых рисков.

Разовая разведка периметра

Подходит для первичного понимания: какие активы видны извне, где есть Shadow IT, открытые сервисы, утечки и срочные риски.

Регулярный мониторинг

Подходит компаниям с изменяющимся периметром, подрядчиками, филиалами, облаками и большим количеством публичных сервисов.

Мониторинг бренда и утечек

Подходит, если важны упоминания бренда, фишинговые домены, скомпрометированные учетные записи, документы и секреты.

Кому подходит услуга

Услуга подходит организациям с публичными цифровыми активами, распределенной инфраструктурой, подрядчиками, несколькими доменами, облаками, филиалами, брендами и риском утечек.

Компании с большим внешним периметром

Много доменов, поддоменов, IP, сайтов, API, личных кабинетов, облачных ресурсов и интеграций.

Организации с подрядчиками

Когда часть сервисов, кода, доменов или инфраструктуры находится у внешних команд и партнеров.

Финтех, e-commerce, SaaS

Когда внешний периметр, учетные записи и утечки напрямую влияют на клиентов, деньги и репутацию.

Госорганизации и крупные учреждения

Когда есть множество сайтов, подведомственных ресурсов, интеграций и публичных сервисов.

Компании после слияний и изменений

Когда инфраструктура менялась, покупались активы, запускались новые бренды и часть ресурсов могла быть забыта.

Команды ИБ и SOC

Когда нужен внешний взгляд, регулярные оповещения и дополнительный источник сигналов для реагирования.

Как мы работаем

1

Заявка и вводные данные

Собираем домены, URL, известные IP/подсети, бренды, названия продуктов, комментарии и ограничения по мониторингу.

2

OSINT-поиск и расширение периметра

Ищем связанные активы, поддомены, сервисы, сертификаты, репозитории, утечки и технические следы компании.

3

EASM-анализ внешней поверхности атаки

Проверяем, что доступно извне: открытые сервисы, панели, тестовые стенды, технологии, CVE и признаки риска.

4

DRP и мониторинг утечек

Проверяем упоминания бренда, документы, учетные записи, токены, ключи, GitHub, Pastebin, Telegram, DarkNet и другие источники.

5

Проверка находок и приоритизация

Убираем false positive, группируем риски, оцениваем критичность и готовим список действий.

6

Отчет, рекомендации и оповещения

Передаем отчет и рекомендации. При регулярном мониторинге настраиваются оповещения о новых изменениях и угрозах.

Почему NLSec

Киберразведка полезна только тогда, когда находки превращаются в понятные действия для ИБ, ИТ и бизнеса.

Фокус на практический результат

Не просто список доменов и IP, а карта рисков, приоритеты, рекомендации и понятные действия для устранения.

Связка OSINT, EASM и DRP

Смотрим не только на технический периметр, но и на утечки, бренд, подрядчиков, учетные записи и цифровые следы.

Ориентация на FINDLER

Мониторинг строится вокруг повторяемого процесса: активы, изменения, алерты, приоритеты и сопровождение.

Проверка и приоритизация

Находки группируются по критичности, влиянию и срочности, чтобы команда не тонула в шуме.

Безопасные границы работ

Работы проводятся без несанкционированного доступа и без эксплуатации уязвимостей, если пентест не согласован отдельно.

Связь с другими услугами ИБ

При необходимости результаты связываются с КСОИБ, управлением уязвимостями, SAST, WAF, SIEM и защитой ПДн.

Как подтверждаем качество результата

В услугах по информационной безопасности важно заранее зафиксировать границы работ, ожидаемый результат, формат документов и ответственность сторон. Это снижает риск формальных отчетов, которые нельзя применить на практике.

Фиксируем рамки работ

До старта согласуются системы, процессы, документы, доступы, ограничения, сроки и ожидаемые артефакты.

Передаем применимые материалы

Отчеты, матрицы, модели, регламенты и рекомендации привязываются к реальной инфраструктуре и задачам заказчика.

Показываем следующие шаги

В результате есть не только описание текущего состояния, но и приоритеты: что сделать срочно, что планово, что проверить повторно.

Стоимость и сроки

Стоимость зависит от количества доменов, брендов, IP/подсетей, глубины поиска, источников мониторинга, частоты оповещений и необходимости ручной валидации находок.

Что влияет на стоимость

  • количество доменов, брендов, URL, IP и подсетей;
  • нужен разовый OSINT-аудит или регулярный мониторинг;
  • глубина проверки GitHub, Pastebin, Telegram, DarkNet и других источников;
  • необходимость поиска скомпрометированных учетных записей;
  • нужна ли ручная валидация false positive;
  • частота отчетов и оповещений: разово, еженедельно, ежемесячно, 24/7.

Как получить расчет

Оставьте заявку и укажите домены, URL, известные IP/подсети, бренды, названия продуктов, список критичных сервисов и желаемый формат результата: разовый отчет, регулярный мониторинг или оповещения о новых угрозах.

Рассчитать стоимость

FAQ

  • Что такое киберразведка простыми словами?

    Это поиск и анализ открытых данных о компании: доменов, поддоменов, IP, сервисов, утечек, учетных записей, репозиториев, документов и других цифровых следов. Цель — увидеть риски раньше злоумышленника.

  • Чем OSINT отличается от взлома?

    OSINT использует открытые источники и законные методы наблюдения. В услуге нет несанкционированного доступа, эксплуатации уязвимостей или атак на инфраструктуру заказчика.

  • Что такое EASM?

    EASM — External Attack Surface Management, управление внешней поверхностью атаки. Это поиск и контроль публичных активов компании: доменов, поддоменов, IP, открытых сервисов, тестовых стендов, админ-панелей и уязвимостей.

  • Что такое DRP?

    DRP — Digital Risk Protection. Это мониторинг цифровых рисков: утечек данных, учетных записей, документов, токенов, упоминаний бренда, фишинговых доменов и других внешних угроз.

  • Какие данные нужны для старта?

    Минимально нужны домены, URL, бренды и контактные данные. Лучше также передать известные IP/подсети, названия продуктов, список критичных сервисов, дочерние бренды и комментарии по инфраструктуре.

  • Что входит в отчет OSINT/EASM?

    Обычно отчет включает карту активов, список открытых сервисов, найденные поддомены, признаки Shadow IT, утечки, CVE, скомпрометированные учетные записи, уровень риска и рекомендации по устранению.

  • Как часто нужно мониторить внешний периметр?

    Разовый аудит полезен для первичной картины, но внешний периметр меняется постоянно. Для компаний с большим количеством активов, подрядчиков и облаков лучше использовать регулярный мониторинг и оповещения.

  • Что делать после получения отчета?

    После отчета нужно закрыть критичные риски: удалить секреты, сменить скомпрометированные пароли, включить MFA, ограничить доступ к лишним сервисам, обновить уязвимые компоненты и убрать забытые активы.

Хотите увидеть компанию глазами внешнего наблюдателя?

Оставьте заявку — укажите домены, URL, IP/подсети и бренды. Мы подготовим маршрут киберразведки, карту внешнего периметра и рекомендации по снижению рисков.