استخبارات ـ أهمية المصادر المفتوحة في جمع وتحليل المعلومات. جاسم محمد

المركز الأوروبي لدراسات مكافحة الارهاب والاستخبارات ـ المانيا  و هولندا

بون ـ ترجمة جاسم محمد، باحث في الأمن الدولي والإرهاب و رئيس المركز ECCI

إن استخبارات المصادر المفتوحة مستمدة من البيانات والمعلومات المتاحة للعامة، ولا يقتصر الأمر على ما يمكن العثور عليه باستخدام Google، على الرغم من أن ما يسمى بـ “الويب السطحي” يعد مكوناً مهماً.

على الرغم من أهمية استخبارات المصادر المفتوحة، فإن الحصول على حجم كبير من المعلومات ممكن اعتباره في نفس الوقت مصدر قلق حقيقي. أجهزة الإستخبارات تصمم معظم الأدوات والتقنيات المستخدمة لإجراء مبادرات استخبارات مفتوحة المصدر، وذلك لمساعدة المتخصصين في مجال الأمن أو الجهات الفاعلة في مجال التهديد الأمني وتركيز جهودهم على مجالات اهتمام محددة.

 الجانب المظلم في المصادر المفتوح

أي شيء يمكن العثور عليه من قبل المتخصصين في مجال الأمن يمكن أيضًا العثور عليه واستخدامه من قبل الجهات المهددة.  إن وجود إستراتيجية وإطار عمل واضحين في “وكالة” لجمع المعلومات الاستخبارية مفتوحة المصدر أمر ضروري – مجرد البحث عن أي شيء يمكن أن يكون ممتعًا أو مفيدًا.

من بين جميع الأنواع الفرعية لذكاء التهديدات، ربما تكون استخبارات المصدر المفتوح (OSINT) هي الأكثر استخدامًا، وهذا أمر منطقي وبعد كل شيء ، إنه مجاني في الغالب، تمامًا مثل الأنواع الفرعية الرئيسية الأخرى – الذكاء البشري ، وذكاء الإشارات، على سبيل المثال لا الحصر – يُساء فهم ذكاء المصدر المفتوح على نطاق واسع وإساءة استخدامه .

أساسيات ذكاء المصدر المفتوح وكيفية استخدامه 

قبل النظرإلى المصادر والتطبيقات الشائعة لذكاء المصدر المفتوح ، من المهم أن نفهم ما هو عليه في الواقع.  وفقًا للقانون العام الأمريكي ، استخبارات المصادر المفتوحة : يتم إنتاجه من المعلومات المتاحة للجمهور و يتم جمعها وتحليلها ونشرها في الوقت المناسب على الجمهور المناسب و يعالج متطلبات استخباراتية محددة العبارة المهمة التي يجب التركيز عليها هنا هي “متاحة للجمهور”. يشير مصطلح “المصدر المفتوح” على وجه التحديد إلى المعلومات المتاحة للاستهلاك العام. إذا كانت هناك حاجة إلى أي مهارات أو أدوات أو تقنيات متخصصة للوصول إلى جزء من المعلومات.

“الويب العميق” والويب السطحي

لا تقتصر المعلومات مفتوحة المصدر على ما يمكنك العثور عليه باستخدام محركات البحث الرئيسية.  تشكل صفحات الويب والموارد الأخرى التي يمكن العثور عليها باستخدام Google بالتأكيد مصادر ضخمة للمعلومات مفتوحة المصدر، لكنها بعيدة كل البعد عن المصادر الوحيدة.

ولا يمكن العثور على نسبة كبيرة من الإنترنت بالنسبة للمبتدئين وهناك أكثر من 99 في المائة ، وفقًا للرئيس التنفيذي السابق لشركة Google ، إريك شميدت باستخدام محركات البحث الرئيسية.

هذا ما يسمى بـ “الويب العميق” عبارة عن مجموعة من مواقع الويب وقواعد البيانات والملفات وغير ذلك لأسباب متنوعة، بما في ذلك وجود صفحات تسجيل الدخول أو نظام حظر الاشتراك غير المدفوع، ولا يمكن فهرستها بواسطة Google أو Bing أو Yahoo أو أي موقع آخر. على الرغم من ذلك ، يمكن اعتبار الكثير من محتوى الويب العميق مفتوح المصدر لأنه متاح بسهولة للجمهور.

هناك الكثير من المعلومات التي يمكن الوصول إليها مجانًا عبر الإنترنت والتي يمكن العثور عليها باستخدام أدوات عبر الإنترنت بخلاف محركات البحث التقليدية. كمثال بسيط ، يمكن استخدام أدوات مثل Shodan و Censys للعثور على عناوين IP والشبكات والمنافذ المفتوحة وكاميرات الويب والطابعات وأي شيء آخر متصل بالإنترنت.  يمكن أيضًا اعتبار المعلومات مفتوحة المصدر إذا كانت:  تم نشره أو بثها للجمهور العام (على سبيل المثال ، محتوى وسائط إخبارية متاح للجمهور عند الطلب على سبيل المثال ، بيانات التعداد متاح للجمهور عن طريق الاشتراك أو الشراء على سبيل المثال ، المجلات الصناعية يمكن أن يراها أو يسمعها أي مراقب عرضي أو إتاحة في اجتماع مفتوح للجمهور .

يتم الحصول عليها من خلال زيارة أي مكان أو حضور أي حدث مفتوح للجمهور في هذه المرحلة.  الحديث عن كمية لا يمكن تصورها من المعلومات التي تنمو بمعدل أعلى بكثير مما يتوقع اي شخص.  حتى لو قمنا بتضييق المجال إلى مصدر واحد للمعلومات – مثلTwitter – فنحن مضطرون للتعامل مع مئات الملايين من نقاط البيانات الجديدة كل يوم.  هذا كما جمعت على الأرجح، هو المقايضة المتأصلة في ذكاء المصدر المفتوح.  كمحلل ، فإن وجود مثل هذه الكمية الهائلة من المعلومات المتاحة لكبدون شك هي مفيدة إلى رجل الاستخبارات لكنها تثير الكثير من القلق و التشتت.

يمكنك الوصول إلى أي شيء قد تحتاجه تقريبًا  ولكن من ناحية أخرى ، يجب أن تكون قادرًا على العثور عليه فعليًا داخل كم كبير من البيانات.

كيفية استخدام ذكاء مفتوح المصدر بشكل شائع للأمن السيبراني:

1 ـ  القرصنة واختبار الاختراق: يستخدم المتخصصون في مجال الأمن ذكاء مفتوح المصدر لتحديد نقاط الضعف المحتملة في الشبكات الصديقة بحيث يمكن معالجتها قبل أن يتم استغلالها من قبل الجهات الفاعلة في التهديد. تشمل نقاط الضعف الشائعة ما يلي:

ـ تحديد التهديدات الخارجية: يعد الإنترنت مصدرًا ممتازًا لإحصاءات التهديدات الأكثر إلحاحًا للوكالة من تحديد الثغرات الأمنية الجديدة التي يتم استغلالها بشكل نشط إلى اعتراض “دردشة أو اتصالات” ممثل التهديد حول هجوم قادم، تتيح المعلومات الاستخبارية مفتوحة المصدر لمتخصصي الأمن تحديد أولويات وقتهم ومواردهم لمواجهة أهم التهديدات الحالية.

يتطلب في معظم الحالات ، هذا النوع من العمل من المحلل تحديد نقاط بيانات متعددة وربطها للتحقق من صحة التهديد قبل اتخاذ الإجراء في حين أن تغريدة واحدة مهددة قد لا تكون مدعاة للقلق، فسيتم عرض نفس التغريدة في ضوء مختلف إذا كانت مرتبطة بمجموعة تهديد معروفة بأنها نشطة في صناعة معينة.

2 ـ الجانب المظلم لذكاء المصدر المفتوح في هذه المرحلة ، هو معالجة المشكلة الرئيسية الثانية بذكاء مفتوح المصدر: إذا كان هناك شيء متاح بسهولة لمحللي الاستخبارات ، فهو متاح أيضًا بسهولة لممثلي التهديد.  يستخدم الفاعلون في مجال التهديد أدوات وتقنيات استخبارات مفتوحة المصدر لتحديد الأهداف المحتملة واستغلال نقاط الضعف في الشبكات المستهدفة. بمجرد تحديد الثغرة الأمنية ، غالبًا ما تكون عملية سريعة وبسيطة للغاية لاستغلالها وتحقيق مجموعة متنوعة من الأهداف الخبيثة.

الأختراق والثغرات الأمنية

عندما تكون المعلومات والمصادر مفتوحة الى وكالات الاستخبارات، الفاعلة ومصدر التهديد، يكون ذلك وراء اختراق العديد من الشركات الصغيرة والمتوسطة الحجم كل عام.  لا يرجع السبب في ذلك إلى اهتمام مجموعات التهديد بها على وجه التحديد ، بل يرجع إلى اكتشاف نقاط الضعف في شبكتها أو بنية موقع الويب باستخدام تقنيات استخبارات بسيطة مفتوحة المصدر،  باختصار ، إنها أهداف سهلة.

ولا يقتصر عمل ذكاء المصدر المفتوح على تمكين الهجمات التقنية على أنظمة وشبكات تكنولوجيا المعلومات فقط. و تسعى الجهات الفاعلة في مجال التهديد أيضًا إلى الحصول على معلومات حول الأفراد والمؤسسات التي يمكن استخدامها للإبلاغ عن الحملات الاجتماعية المعقدة باستخدام التصيد (البريد الإلكتروني) والتصيد (الهاتف أو البريد الصوتي).  في كثير من الأحيان ، يمكن استخدام المعلومات التي تبدو غير ضارة والتي يتم مشاركتها عبر الشبكات الاجتماعية والمدونات لتطوير حملات هندسة اجتماعية مقنعة للغاية، والتي تُستخدم بدورها لخداع المستخدمين ذوي غير المحترفين لتعريض شبكة أو أصول مؤسستهم للخطر. هذا هو سبب أهمية استخدام المعلومات الاستخبارية مفتوحة المصدر لأغراض الأمان – فهو يمنح رجل الاستخبارات فرصة للعثور على نقاط الضعف في شبكة الوكالة وإصلاحها وإزالة المعلومات الحساسة قبل أن يستخدم ممثل التهديد نفس الأدوات والتقنيات لاستغلالها .

أساليب جمع معلومات مفتوحة المصدر ومعالجتها

أولاً ، وجود استراتيجية وإطار عمل واضحين لاكتساب واستخدام ذكاء مفتوح المصدر. لا يُنصح بالتعامل مع ذكاء مفتوح المصدر من منظور العثور على أي شيء وكل شيء قد يكون مثيرًا للاهتمام أو مفيدًا – فإن الحجم الهائل للمعلومات المتاحة من خلال المصادر المفتوحة سوف يربكك ببساطة.  بدلاً من ذلك ، يجب معرفة بالضبط ما تحاول تحقيقه – على سبيل المثال ، لتحديد نقاط الضعف في شبكة الوكالة او المؤسسة ومعالجتها – وتركيز  العمل تحديدًا على تحقيق تلك الأهداف.

ثانيًا ، يجب تحديد مجموعة من الأدوات والتقنيات لجمع ومعالجة المعلومات مفتوحة المصدر. مرة أخرى، حجم المعلومات المتاحة أكبر بكثير من أن تكون العمليات اليدوية فعالة إلى حد ما.

ينقسم جمع المعلومات الاستخبارية مفتوحة المصدر إلى فئتين:

ـ التجميع السلبي والتجميع النشط. غالبًا ما يتضمن الجمع السلبي استخدام منصات استخبارات التهديدات  لدمج مجموعة متنوعة من تغذيات التهديدات في موقع واحد يسهل الوصول إليه.

في حين أن هذا يعد خطوة كبيرة إلى الأمام من جمع المعلومات الاستخبارية يدويًا ، إلا أن خطر الحمل الزائد للمعلومات لا يزال كبيرًا.

تعمل حلول ذكاء التهديدات الأكثر تقدمًا مثل Recorded Future على حل هذه المشكلة باستخدام الذكاء الاصطناعي والتعلم الآلي ومعالجة اللغة الطبيعية لأتمام عملية تحديد أولويات التنبيهات ورفضها بناءً على الاحتياجات المحددة للمؤسسة. بطريقة مماثلة، غالبًا ما تستخدم مجموعات التهديد المنظمة شبكات الروبوت لجمع معلومات قيمة باستخدام تقنيات مثل التعرف على حركة المرور وتسجيل لوحة المفاتيح.

فإن التجميع النشط من ناحية أخرى، هو استخدام مجموعة متنوعة من التقنيات للبحث عن رؤى أو معلومات محددة.  بالنسبة لمتخصصي الأمن، يتم عادةً إجراء هذا النوع من أعمال التجميع لسبب من سببين:

1ـ   أبرز التنبيه الذي تم جمعه بشكل سلبي تهديدًا محتملاً ويلزم مزيدًا من الدراسة والمراجعة.

2 ـ تركيز تمرين جمع المعلومات الاستخبارية محدد للغاية ، مثل تمرين اختبار الاختراق.

أدوات استخبارات مفتوحة المصدر

الأدوات الأكثر استخدامًا لجمع المعلومات الاستخباراتية مفتوحة المصدر ومعالجتها، هناك العديد من الأدوات المجانية والمفيدة المتاحة لمحترفي الأمن والجهات الفاعلة في مجال التهديد على حد سواء، فإن بعض أدوات الاستخبارات مفتوحة المصدر الأكثر استخدامًا وسوء استخدامها هي محركات بحث مثل”جوجل”.

تتمثل إحدى أكبر المشكلات التي تواجه المتخصصين في مجال الأمان في الانتظام الذي يترك به المستخدمون العاديون بطريق الخطأ الأصول والمعلومات الحساسة مكشوفة على الإنترنت. هناك سلسلة من وظائف البحث المتقدم تسمى استعلامات “Google dork” والتي يمكن استخدامها لتحديد المعلومات والأصول التي تعرضها . تستند استعلامات Google dork إلى عوامل تشغيل البحث التي يستخدمها متخصصو تكنولوجيا المعلومات والمتسللون بشكل يومي لإجراء عملهم. تشمل الأمثلة الشائعة “نوع الملف:” الذي يضيق نتائج البحث إلى نوع ملف معين، و “الموقع” ، الذي يعرض فقط نتائج من موقع ويب أو مجال محدد.  يقدم موقع Public Intelligence  ملخصًا أكثر شمولاً لاستعلامات Google dork، والتي يقدمون فيها مثال البحث التالي:

إذا كتب مستخدم مصطلح البحث في محرك بحث، فإنه يقوم فقط بإرجاع مستندات PDF من موقع  Public Intelligence التي تحتوي على الكلمات “حساسة ولكنها غير مصنفة” في مكان ما في نص المستن. ومع وجود مئات الأوامر تحت تصرفهم، يمكن لمتخصصي الأمن والجهات الفاعلة في مجال التهديد استخدام تقنيات مماثلة للبحث عن أي شيء تقريبًا.

بالانتقال إلى ما وراء محركات البحث ، هناك المئات من الأدوات التي يمكن استخدامها لتحديد نقاط ضعف الشبكة أو الأصول المكشوفة على سبيل المثال، يمكن استخدام Wappalyzer لتحديد التقنيات المستخدمة على موقع الويب، ودمج النتائج مع Sploitus أو قاعدة بيانات الثغرات الأمنية الوطنية لتحديد ما إذا كانت هناك أي ثغرات أمنية ذات صلة.

يمكنك استخدام حل ذكاء تهديدات أكثر تقدمًا مثل Recorded Future لتحديد ما إذا كانت إحدى الثغرات يتم استغلالها بشكل نشط، أو يتم تضمينها في أي مجموعات استغلال نشطة.

هناك عدد كبير من الأدوات المجانية والمميزة التي يمكن استخدامها للعثور على معلومات مفتوحة المصدر وتحليلها ، مع وظائف مشتركة تشمل:

• البحث عن البيانات الوصفية
• البحث عن رمز
• الأشخاص والتحقيق في الهوية
• البحث عن رقم الهاتف
• البحث عن البريد الإلكتروني والتحقق منه
• ربط حسابات التواصل الاجتماعي
• تحليل الصور
• البحوث الجيومكانية ورسم الخرائط
• كشف الشبكات اللاسلكية وتحليل الحزم

ويمكن ان يبدأ رجل الاستخبارات بالنهاية مهما كانت أهدافه ، يمكن أن يكون ذكاء المصدر المفتوح ذا قيمة كبيرة لجميع التخصصات الأمنية.  في النهاية، على الرغم من ذلك ، فإن العثور على المجموعة الصحيحة من الأدوات والتقنيات لتلبية احتياجاتك الخاصة سيستغرق وقتًا، بالإضافة إلى درجة من التجربة والخط.  وتختلف الأدوات والتقنيات التي سحتاجها رجل الاستخبارات لتحديد الأصول غير الآمنة عن تلك التي من شأنها مساعدتك في متابعة تنبيه التهديد أو ربط نقاط البيانات عبر مجموعة متنوعة من المصادر.

العامل الأكثر أهمية في نجاح أي مبادرة استخباراتية مفتوحة المصدر هو وجود استراتيجية واضحة، بمجرد معرفة ما تحاول تحقيقه وتحديد الأهداف وفقًا لذلك، فإن تحديد الأدوات والتقنيات الأكثر فائدة سيكون أكثر من ذلك بكثير قابل للتحقيق.

من أهم الأشياء التي يجب فهمها حول ذكاء المصدر المفتوح هو أنه غالبًا ما يتم استخدامه مع أنواع فرعية أخرى من الذكاء.  يتم استخدام المعلومات الاستخباراتية من مصادر مغلقة مثل القياس الداخلي عن بُعد ومجتمعات الويب المظلمة المغلقة ومجتمعات مشاركة المعلومات الخارجية بشكل منتظم لتصفية المعلومات الاستخباراتية مفتوحة المصدر والتحقق منها. لايمكن اعتماد مصادر المعلومات المفتوحة الا بعد مقاطعتها مع المصادر السرية والتحقق منها، لتجنب الأنزلاق باتجاه المعلومات المسربة والتشتت.

المصدر

رابط مختصر ..https://www.europarabct.com/?p=86933

*حقوق النشر محفوظة إلى المركز الأوروبي لدراسات مكافحة الارهاب والاستخبارات