OSINT в кибербезопасности: что это такое и как работает разведка по открытым источникам

OSINT — это не хакерство и не слежка. Это профессия, которая учит находить то, что уже лежит в открытом доступе, но большинство людей не умеет читать. Веб-сайты, реестры, метаданные файлов, DNS-записи, геолокация фотографий — всё это источники, которые рассказывают больше, чем кажется на первый взгляд.

В кибербезопасности OSINT используют до начала атаки или аудита — чтобы собрать максимум информации о цели без единого несанкционированного запроса к её системам. В 2026 году это одна из самых востребованных и при этом дефицитных компетенций в индустрии.

Что такое OSINT: определение и история

OSINT (Open Source Intelligence) — это разведка на основе открытых источников: сбор, анализ и интерпретация информации, которая находится в публичном доступе. Ключевой принцип: никакого несанкционированного доступа к системам — только то, что уже доступно любому.

Термин появился в военной разведке США ещё в 1940-х годах, когда аналитики ЦРУ начали систематически анализировать иностранную прессу и радиопередачи. В кибербезопасность OSINT пришёл в 2000-х: пентестеры быстро поняли, что до взлома системы стоит собрать максимум информации о цели из открытых источников — и это радикально повышает эффективность аудита.

Откуда пришёл термин

В разведывательном сообществе OSINT — одна из пяти официальных дисциплин сбора данных наряду с HUMINT (агентурная разведка), SIGINT (радиоэлектронная), IMINT (фото и видео) и MASINT (технические сигнатуры). В кибербезопасности OSINT занял особое место: он не требует специального оборудования или государственных полномочий — только методологию, инструменты и аналитическое мышление.

Из каких источников берут данные

Открытые источники для OSINT делятся на несколько классов: поверхностный веб (индексируемые сайты, соцсети, новостные ресурсы), глубокий веб (неиндексируемые базы данных, реестры, академические архивы), технические источники (Shodan, Censys — базы данных подключённых устройств), утечки данных (Have I Been Pwned), геоданные (спутниковые снимки, Mapillary) и метаданные файлов (EXIF фотографий, свойства документов).

Каждый класс источников требует отдельных инструментов и методологии. Профессиональный OSINT-аналитик работает со всеми слоями одновременно, строя полную картину из фрагментов — каждый из которых по отдельности кажется незначительным.

Пассивный и активный OSINT

Пассивный OSINT — сбор информации без прямого контакта с целью. Запросы к поисковикам, анализ кэшированных версий страниц, изучение публичных профилей — цель не знает, что её изучают. Активный OSINT предполагает прямое взаимодействие: DNS-запросы, сканирование, попытки получить данные через контакт. Активные методы несут юридические риски и требуют явного разрешения при проведении коммерческих аудитов.

Инструменты OSINT-аналитика

Экосистема инструментов OSINT насчитывает сотни решений — от простых до профессиональных платформ корпоративного уровня. Вот ключевые инструменты базового стека.

Maltego, Shodan, theHarvester и другие

Maltego — визуальная платформа для построения графов связей между сущностями: доменами, IP-адресами, персонами, организациями. Позволяет в один клик раскрывать связи, которые вручную искать часами.

Shodan — поисковик по подключённым устройствам. Позволяет найти незащищённые камеры, промышленные контроллеры, открытые базы данных, устаревшее ПО. Незаменим при оценке внешней поверхности атаки организации.

theHarvester — инструмент для сбора email-адресов, поддоменов, имён сотрудников и хостов из открытых источников. Входит в состав Kali Linux, используется на этапе разведки при пентестах.

Дополнительно в арсенал входят: Recon-ng (фреймворк для автоматизированной разведки), SpiderFoot (автоматический OSINT по IP, домену, персоне), Amass (обнаружение поддоменов), ExifTool (анализ метаданных файлов).

Где применяется OSINT в кибербезопасности

OSINT — не самостоятельная специализация, а сквозная методология, проникающая в большинство направлений кибербезопасности.

Пентест и Red Team

Разведка — первая фаза любого пентеста согласно методологии PTES. OSINT позволяет составить карту внешней поверхности атаки до единого запроса к целевой системе: найти все поддомены, открытые порты, технологический стек, email-адреса сотрудников, упоминания в утечках данных.

Threat Intelligence

В Threat Intelligence OSINT используется для мониторинга угроз: отслеживания активности хакерских групп, обнаружения фишинговых доменов-клонов, мониторинга даркнета на предмет утечек данных компании. Крупные организации строят автоматизированные OSINT-пайплайны, обогащающие SIEM-системы внешним контекстом об угрозах в реальном времени.

Расследование инцидентов

При расследовании кибератак OSINT помогает атрибутировать инцидент: связать индикаторы компрометации (IP, домены, хэши файлов) с известными хакерскими группами. Инструменты VirusTotal, Shodan, Censys и пассивный DNS позволяют восстановить историю вредоносной инфраструктуры и понять масштаб угрозы.

Легальность и этика OSINT

OSINT работает исключительно с публично доступной информацией — это его фундаментальное отличие от взлома. Тем не менее правовые риски существуют. В России сбор персональных данных регулируется 152-ФЗ: даже публично доступные данные нельзя собирать и обрабатывать без законного основания. GDPR в Европе создаёт аналогичные ограничения.

Профессиональный принцип: OSINT проводится в рамках явно согласованного scope при коммерческих заказах и исключительно в образовательных или исследовательских целях при самостоятельной практике. Серая зона — мониторинг конкурентов и частных лиц — требует юридической консультации в каждом конкретном случае.