Форум Сообщества Практиков Конкурентной разведки (СПКР)

Версия для печати

- Форум Сообщества Практиков Конкурентной разведки (СПКР) http://forum.razved.info/
-- Технологии работы и инструменты конкурентной разведки http://forum.razved.info//index.php?f=6
--- Как из конкурентной разведки сделать науку? http://forum.razved.info//index.php?t=2065

-- lukamud написал 31 августа 2011 13:44

(http://pics.livejournal.com/lukamud/pic/00055h8x)Внимательно наблюдаю за развитием этой отрасли знаний в России уже несколько лет. Много интересных книг вышло на эту тему, организованы курсы по обучению, полно публикаций в сети. Всем им присущ общий недостаток — нет методологии. Типичный стиль изложения достижений в этой области - история со счастливым концом для Заказчика или Исполнителя, или катастрофическими последствиями для тех против кого работала конкурентная разведка, или тех кто не уделял ей должного внимания.
Ну, а где методология? Попробую внести свой скромный вклад в дело развития этой отрасли знаний.

Количество изложенных примеров выходит за рамки разумно обозреваемого количества и вряд ли может послужить хорошим учебным пособием для человека, пытающегося решать практические задачи в области конкурентной разведки. Хотя может быть вполне достаточной для поиска специалиста способного решить имеющуюся проблему. Извечный вопрос, а что делать? Как неподготовленному в области конкурентной разведки, но специалисту в некоторой предметной области эффективно использовать опыт накопленный в этой области применительно к решению своих насущных задач?

Ответ на этот вопрос получен где-то в середине прошлого века. Все, что происходит в этом бренном мире с достаточной степенью точности может быть представлено в виде графа элементами которого являются элементарные события, т.е. пары «причина->следствие», Примеры (заимствованы у практиков конкурентной разведки). Каждая причина и следствие имеют свой, указанный в скобках.
1.
Причина: «Наличие файла robots.txt,»(id=1)
Следствие: «Раскрывает информацию о каталогах сайта» (id=2)

2.
Причина: «Наличие файла robots.txt,»(id=1)
Следствие: «Улучшает индексации сайта поисковыми системами» (id=3)

3.
Причина: «Наличие файла robots.txt,»(id=1)
Следствие: «Определение тип CMS на которой работает сайт» (id=4)

5.
Причина: «Определение типа CMS сайта,»(id=4)
Следствие: «Получение информации о наличии уязвимостей в сайте» (id=5)

6.
Причина: «Размещение конфиденциальной информации в каталогах сайта, в том числе и не подлежащих индексации поисковыми системами »(id=10)
Следствие: «Получение доступа к конфиденциальной информации третьими лицами» (id=6)

7.
Причина: «Получение доступа к конфиденциальной информации третьими лицами» (id=6)
Следствие: «Неконтролируемое распространение конфиденциальной информации» (id=8)

8.
Причина: «Получение доступа к конфиденциальной информации третьими лицами» (id=6)
Следствие: «Использование конфиденциальной информации третьими лицами не в интересах её владельца» (id=9)

9.
Причина: «Неконтролируемое распространение конфиденциальной информации» (id=8)
Следствие: «Использование конфиденциальной информации третьими лицами не в интересах её владельца»(id=9)

10. 1
Причина: «Раскрытие информации о каталогах сайта» (id=2)
Следствие: «Получение доступа к конфиденциальной информации третьими лицами» (id=6)

11.
Причина: ««Получение информации о наличии уязвимостей в сайте»,»(id=5)
Следствие: «Получение доступа к конфиденциальной информации третьими лицами» (id=6)

Простите за достаточно нудное описание, но это необходимо для дальнейшего понимания практических примеров. Вряд ли прочитав эти строки, даже внимательный читатель понял, что я хочу сказать?
Поэтому перейдем к наглядному примеру.

Пример №1
Вербальное описание ситуации.
Вебмастер, общаясь в курилке со специалистом по КР, безопасником или кого-то еще, ответсвенного за эти вопросы в компании(для краткости назовем этого специалиста - «крщик-безопасник» ), задает вопрос: «В Инете много чего написано про robots.txt, на нашем сайте мы его оставим или нет? »

Комментарий: Предположим, что на компьютере сотрудника которому обратился вебмастер установлено программное обеспечение, хранящее описанные выше элементарные события в базе данных и позволяющие визуализировать итоговый граф. Т.е. прорисовать возможные последствия наличия файла robots.txt на сайте.
Решение.
Нажатие нескольких кнопок и на экране отображается Граф... В вершине графа исходная ситуация - наличие файла robots.txt, ниже последствия к которым его наличие может привести. Положительные последствия отмечены зеленым (улучшение индексации поисковиками), нейтральные голубым, явно негативные ( получение доступа к конфиденциальной информации третьими лицами, неконтролируемое распространение конфиденциальной информации, использование конфиденциальной информации третьими лицами не в интересах её владельца) красным.
Отличный повод для содержательной беседы двух специалистов вебмастера и «крщика-безопасника».

Пример №2 или «А продемонстрировать Вам мой дедуктивный метод, дорогой Уотсон?»
Вербальное описание ситуации.
Владелец бизнеса, директор вызывает упомянутого выше «крщика-безопасника» и вставляет ему за то, что конкуренты узнали про прайс-листы, содержашие спец-предложения для особой категории клиентов компании.
Комментарий: В предыдущем примере был проиллюстрирован подход позволяющий спрогнозировать ситуацию. В этом примере будет показана возможность дедуктивного анализа ситуации с помощью предлагаемого подхода. Предположим, что «крщик-безопасник» интуитивно допустил возможность утечки прайс-листов через вебсервер компании, так же оставим в силе допущение о том, что то на компьютере «крщика-безопасника» установлено программное обеспечение, хранящее описанные выше элементарные события в базе данных и позволяющие визуализировать итоговый граф
Решение.
Налицо имеет место «Неконтролируемое распространение конфиденциальной информации» (id=8), являющееся следствием каких-то до сих пор не выясненных причин, с этого узла и начнем строить граф, с целью выяснить как это могло произойти? Построив граф от этого узла, с учетом того обстоятельства, что многие из приведенных Выше причинно-следсвенных связей обратимы можно понять из-за чего прайс-листы оказались в свободном доступе.

Недальновидный админ, модератор может испугаться, стереть мой пост и отправить меня в бан. Действительно можно подумать, что любая секретарша теперь сможет решать подобные рассмотренным выше задачам без участия специалистов, а специалисты останутся без работы. Я думаю, что это не так.

Создание некоторого проекта, реализующего алгоритм описанный выше, позволит обобщить опыт сообщества для решения практических задач, стоящих перед его членами. Возможностей для монетизации проекта просто не меряно. Например, бесплатный ресурс с ограниченными возможностями для пользователей, торгующей рекламой, или внес новый элемент в граф, его используют- получай деньги, попользовался системой — заплати.

PS Если кто-то возьмется за реализацию проекта с удовольствием понаблюдаю за его развитием.

-- Игорь Нежданов написал 31 августа 2011 20:51
Интересное предложение и вполне разумное. Вот только его реализация займет приличный кусок времени.

-- lukamud написал 1 сентября 2011 10:26

Игорь Нежданов написал:

[q]
Вот только его реализация займет приличный кусок времени.
[/q]

Если за это взятся всем миром, организовать какой-то фаундейшн на базе вашего сообщества, то больше года вряд ли потребуется.

-- Sergey написал 1 сентября 2011 11:08
Не все так просто. Обычно, любая нормальная компания не держит такую информацию (любую коммерческую) в виде открытых текстов.
Сайт и база разнесены (обычно, это отдельный сервер закрытой зоны). Доступ к базе вот так вот просто - это несбыточная мечта.

-- lukamud написал 1 сентября 2011 15:08

Sergey написал:

[q]
Не все так просто. Обычно, любая нормальная компания не держит такую информацию (любую коммерческую) в виде открытых текстов.
Сайт и база разнесены (обычно, это отдельный сервер закрытой зоны). Доступ к базе вот так вот просто - это несбыточная мечта.
[/q]

Не держат в виде открытых текстов? :laugh:

Я то же так раньше думал, пока мне про это не рассказали :laugh:

Это покруче будет, чем коммерческие тайны каких либо "Рогов и Копыт Интернешнл". "В открытый доступ попал находящийся во внутреннем документообороте газеты "Маркер" документ за подписью Президента Российской Федерации Д.А. Медведева, содержащий гриф "Для служебного пользования" _ttp://dobryi-leshii.livejournal.com/7779.html . Не очень поверил автору, пока сам не нашел черновые записи визита президента в ДФО в открытом доступе. _ttp://lukamud.livejournal.com/23151.html .

Но дело не в этих частных примерах. Вполне возможно, что они не очень наглядны. Я хочу сказать, что информация добытая совершенно законным путем, формаализованая и обрабатываемая как я написал в исходном посту может оказаться не только полезной для практикующего "крщика-безопасника", но и прриобретает новое качество. Попробуйте в голове осмыслить приведенные мною 11 элементарных событий, применительно к рассмотренным мною примерам задач и сравните с результатами полученными путем анализа графа на рисунке? Что проще?

-- Игорь Нежданов написал 1 сентября 2011 17:38

lukamud написал:

[q]
Если за это взятся всем миром, организовать какой-то фаундейшн на базе вашего сообщества, то больше года вряд ли потребуется.
[/q]

Безусловно да.
Только аниматор нужен, который будет процесс педалировать и координировать.

-- Sergey написал 1 сентября 2011 19:21

lukamud написал:

[q]

Не держат в виде открытых текстов? Я то же так раньше думал, пока мне про это не рассказали
[/q]

Вы меня не поняли. Я написал: в нормальной компании
2-х, дсп лежит всегда на внутреннем сервере компании в СУБД. И это никак не открытый файл (doc,txt,html,...)
А это всегда логин нужен и, зачастую, привязкой к IP

-- lukamud написал 1 сентября 2011 21:09

Игорь Нежданов написал:

[q]
Только аниматор нужен, который будет процесс педалировать и координировать.
[/q]

Найдите в вашем сообществе бывшего или действующего силовика и поручите это ему. Он всех построит и наладит бизнес-процессы.

Sergey написал:

[q]
Вы меня не поняли. Я написал: в нормальной компании
2-х, дсп лежит всегда на внутреннем сервере компании в СУБД. И это никак не открытый файл (doc,txt,html,...)
А это всегда логин нужен и, зачастую, привязкой к IP
[/q]

Естественно, в случае нормальной компании наличие в открытом доступе конфиденциальной информации исключается, полностью с Вами согласен. А в случае не нормальной? Как следует из приведенных выше ссылок ненормальные компании встречаются, и в этих редких или частых случаях предложенный подход можно использовать.

-- Игорь Нежданов написал 1 сентября 2011 21:59

lukamud написал:

[q]

Найдите в вашем сообществе бывшего или действующего силовика и поручите это ему. Он всех построит и наладит бизнес-процессы.
[/q]

в том то и дело, что тут большинство или бывшие или действующие...

-- Vinni написал 6 сентября 2011 11:50
ссылки в тему - про уязвимости одного популярного публичного сайта :reful:

- _ttp://habrahabr.ru/blogs/infosecurity/127333/ и _ttp://habrahabr.ru/blogs/infosecurity/127328/

Так что не все организации хорошо защищаются... :wonder1: