Когда компания привлекает внешних подрядчиков — разработчиков, интеграторов, маркетологов, хостинг-провайдеров, — она в 90% случаях делится с ними доступами и внутренними данными. И если у подрядчика произойдет утечка, по цепочке пострадает и заказчик.
Проблема в том, что полноценно провести аудит или пентест подрядчика обычно невозможно без его согласия. Но есть способы оценить уровень его цифровой гигиены по открытым источникам и снизить риски, не вмешиваясь в его инфраструктуру. Ниже — набор практик, которые реально работают.
Анализ исторических данных
Исторические данные позволяют понять, насколько подрядчик надежен в части кибербезопасности, задолго до начала сотрудничества с ним.
Сервисы вроде SecurityTrails, Censys или Shodan History, Hunter.how сохраняют «снимки» состояния систем. С их помощью можно узнать:
-
какие порты и сервисы подрядчик когда-то оставлял открытыми;
-
какие версии ПО использовались ранее;
-
были ли у него уязвимые домены или поддомены.
Если у подрядчика долгое время не обновлялось ПО или серверы оставались уязвимыми, это сигнал о слабом контроле безопасности. Такая проверка помогает понять, есть ли риск, что злоумышленник уже закрепился в инфраструктуре подрядчика и может использовать этот доступ против вас.
Разведка по открытым источникам
После анализа истории стоит изучить текущую инфраструктуру подрядчика — без пентеста и без нарушения законов.
Для этого применяются OSINT-инструменты вроде Shodan, HunterHow, FOFA, которые позволяют:
-
выявлять версии серверного ПО и фреймворков;
-
находить административные панели;
-
определять CMS и их плагины.
Дополнительно можно изучить:
-
метаданные веб-страниц и файлов;
-
открытые комментарии в коде;
-
скрытые каталоги и тестовые поддомены.
Эти данные часто становятся точкой входа для злоумышленников, поэтому стоит убедиться, что подрядчик не оставляет «лишнего» в открытом доступе.
Даркнет и публичные репозитории
Darknet — это не только площадки с продажей данных, но и места, где обсуждаются свежие утечки. Подрядчики нередко даже не подозревают, что их API-ключи, пароли или базы данных уже опубликованы.
Пример из практики: при мониторинге даркнета наша команда группы киберразведки обнаружила объявления о продаже доступов к инфраструктуре одной из компаний-подрядчиков крупного заказчика. В них содержались служебные логины и пароли. Сменив учетные данные, заказчик смог быстро предотвратить возможный взлом.
Постоянный мониторинг таких источников помогает вовремя реагировать, не дожидаясь публичной утечки.
Что касается публичных репозиториев, то тут подрядчики нередко оставляют в открытом доступе, в том числе и в коде:
-
API-ключи;
-
SSH-ключи;
-
пароли;
-
внутренние IP-адреса или фрагменты конфигураций.
Даже если компания сама не хранит ничего публично, у подрядчика могут быть утечки. Для автоматизации поиска утечек, паролей, фрагментов кода, API и других чувствительных данных, можно применить GitLeaks, TruffleHog и подобное.
Поиск по фавиконам
Favicon — маленькая иконка сайта (/favicon.ico или встроенный link-тег). Поскольку компании часто переиспользуют одну и ту же иконку для основного сайта, поддоменов, тестовых стендов и внутренних приложений, файл фавикона фактически становится «отпечатком» инфраструктуры. По этому отпечатку (хэшу) можно найти другие ресурсы с тем же фавиконом — часто это забытые тестовые серверы, staging-инстансы или фишинговые клоны.
Как хэшируется фавикон
Популярные поисковые движки и датасеты (Shodan, Zoomeye и другие) используют MurmurHash3 (mmh3) от base64-кодированного содержимого фавикона; другие сервисы (например, Censys) также хранят MD5/SHA-хэши фавикона в своих полях. Поэтому рабочий поток — получить файл фавикона, сгенерировать нужный хэш и использовать его в поиске по сервисам. InfoSec Write-ups+1
Практический рабочий алгоритм (шаг за шагом)
1. Найдите/скачайте фавикон.
Откройте https://example.com/favicon.ico или найдите link rel="icon" в HTML и скачайте файл.
2. Посчитайте хэш.
-
Для поиска в Shodan/Zoomeye используйте mmh3 (MurmurHash3) от base64-контента фавикона.
-
Для Censys можно использовать MD5/SHA256 поля (они представлены в индексе).
3. Поиск по хэшу в сервисах.
-
Shodan: используйте фильтр
http.favicon.hash:<hash>(например,http.favicon.hash:-2057558656). -
Censys: можно искать по полям, где хранятся MD5/SHA-значения фавикона, или по соответствующим
faviconsполям в API/интерфейсе. -
Другие: FOFA, ZoomEye и специализированные OSINT-утилиты тоже поддерживают поиск по фавикону (иногда требуется другая форма хэша).
4. Кросс-проверка и фильтрация.
-
Сопоставьте найденные хосты с WHOIS, reverse DNS, IP-диапазонами, сертификатами TLS и записями A/AAA, чтобы понять, действительно ли они принадлежат подрядчику.
-
Проверьте метаданные HTTP (Server, X-Powered-By), заголовки, содержимое страниц — это уменьшит количество ложных совпадений.
5. Что именно искать на найденных хостах.
-
Тестовые/стейджинг-сайты с включенной отладкой;
-
Неавторизованные бэкапы и дампы;
-
Админ-панели, интерфейсы 1С, phpMyAdmin, панели управления без пароля;
-
Конфигурационные файлы, содержащие строки подключения/ключи.
Примеры работы с фавиконами:
-
Найденные тестовые копии, где включена отладочная информация или сохранены пароли.
-
Обнаружение внутренних административных интерфейсов, случайно выставленных во внешний доступ.
-
Поиск фишинговых доменов, которые используют те же графические ресурсы (фавикон) для маскировки.
«Мы нашли сервер подрядчика с 1С» — типичный сценарий: фавикон указывал на тестовый поддомен, который не был в учете; на нем лежала копия приложения без пароля — это и дает примерный путь атаки.
Искусственный интеллект в киберразведке
Современные компании ежедневно генерируют терабайты информации — от сетевых логов до сообщений на форумах и в соцсетях. Отследить все это вручную невозможно, особенно если речь идет не о собственной инфраструктуре, а о подрядчиках и партнерах.
Искусственный интеллект (ИИ) помогает анализировать огромные объемы данных, выявлять закономерности и находить потенциальные угрозы задолго до того, как они станут инцидентом.
Основная ценность ИИ — скорость и масштаб обработки информации. Если человек может просмотреть десятки сайтов и репозиториев за день, то система на базе машинного обучения анализирует тысячи. При этом ИИ не просто ищет совпадения по ключевым словам, а распознает контекст и смысл, что особенно полезно при поиске утечек и фишинга.
Некоторые направления применения ИИ в киберразведке
1. Автоматический анализ репозиториев и кода подрядчиков
ИИ помогает искать чувствительные данные в открытых репозиториях GitHub, GitLab, Bitbucket. Вместо простого поиска по ключевым словам (password, key, token) нейросеть анализирует структуру и контекст кода, чтобы отличать реальный секрет от комментариев или примеров.
Например:
-
распознавание токенов, похожих по структуре на AWS или Telegram API-ключи;
-
определение «утекших» .pem-файлов или SSH-ключей;
-
классификация фрагментов кода по рискам (высокий / средний / низкий).
Такие инструменты могут быть реализованы на базе BERT, CodeBERT, GPT-моделей, дообученных на утечках.
2. Обнаружение фишинговых доменов и сайтов-клонов
ИИ сравнивает визуальные элементы сайтов подрядчика (фавикон, логотип, цветовую палитру, шрифты) с другими ресурсами в сети. На основе методов computer vision и deep learning (ResNet, Vision Transformer) можно определить, что сайт выглядит «подозрительно похожим» на оригинал, даже если у него другой домен или слегка изменен логотип. Также применяется анализ текста на странице — ИИ распознает подделки по лингвистическим признакам (ошибки, шаблонные тексты, характерные фразы).
3. Мониторинг даркнета, форумов и соцсетей
ИИ позволяет автоматически собирать и фильтровать информацию из труднодоступных источников: даркнет-форумов, Telegram-каналов, Pastebin, социальных сетей.
Технологии:
-
NLP (Natural Language Processing) — извлечение сущностей: имена компаний, домены, e-mail, IP-адреса, токены.
-
Sentiment Analysis — определение тона сообщений (например, обсуждают ли продажу данных подрядчика или просто упоминают компанию).
-
Web scraping с BeautifulSoup, Scrapy, Selenium — сбор текстов и метаданных.
-
Topic modeling (LDA, BERTopic) — выделение тем, связанных с подрядчиком (утечки, доступы, эксплойты).
Результат — система уведомлений, которая сообщает, если в даркнете появился новый пост с упоминанием компании или подрядчика.
Искусственный интеллект превращает киберразведку из ручного мониторинга в систему предсказательного анализа.
С его помощью можно мониторить подрядчиков в режиме 24/7, заранее выявлять утечки, даже если о них никто еще не сообщил, автоматизировать проверку кодов и инфраструктуры, сосредоточить внимание специалистов на действительно важных рисках.
Базовые меры для сокращения уязвимостей со стороны подрядчиков
1. Постоянный мониторинг Telegram, GitHub и даркнета
Современные атаки редко начинаются с прямого взлома. Гораздо чаще они начинаются с утечки данных подрядчиков — например, API-ключей, паролей или исходного кода, случайно опубликованных в открытом доступе.
Что делать:
-
Настройте OSINT-мониторинг упоминаний вашего бренда, доменов и e-mail-адресов подрядчиков.
-
Автоматизируйте поиск по GitHub, GitLab, Bitbucket на предмет утечек ключей и конфиденциальной информации.
-
Используйте даркнет-сканеры (CybelAngel, DarkOwl, Flare, OpenCTI) для отслеживания публикаций, связанных с вашей компанией.
-
Контролируйте Telegram-каналы, форумы и публичные репозитории — утечки часто появляются именно там.
Инструменты:
-
GitGuardian, LeakLooker, Gitleaks — автоматический анализ репозиториев.
-
Scrapy, BeautifulSoup, Telegram API — для кастомных OSINT-скриптов.
-
Google Dorking и Shodan — поиск открытых ресурсов подрядчиков.
2. Минимизируйте открытые связи между компаниями
Чем больше публичных связей между вами и подрядчиками, тем проще злоумышленнику построить цепочку атаки.
Даже без технических уязвимостей хакеры часто используют OSINT-разведку, чтобы найти «входные точки» — имена сотрудников, общие проекты, пересечения по доменам.
Что делать:
-
Не публикуйте имена подрядчиков в README, презентациях, тендерах и публичных отчетах.
-
Используйте общие корпоративные аккаунты (например,
dev-partner@company.com), а не личные. -
Избегайте упоминаний подрядчиков в доменных записях (WHOIS, DNS TXT, SPF).
Почему это важно:
Фишинговые атаки часто строятся на доверии — злоумышленники могут выдать себя за сотрудника подрядчика, указав «знакомое» имя из открытых источников.
3. Давайте доступы только под конкретную задачу
Одна из самых частых ошибок — предоставление подрядчику избыточных прав.
Доступ, выданный «на всякий случай», часто остается активным после завершения проекта и становится уязвимостью.
Что делать:
-
Используйте принцип минимальных привилегий (PoLP).
-
Каждое разрешение должно иметь конкретного владельца, срок действия, описание причины доступа.
-
Настройте автоматическое отключение учетных записей подрядчиков после окончания контракта.
-
Ведите аудит доступа: раз в квартал проверяйте, кто имеет права на серверы, репозитории, облачные сервисы и панели администрирования.
4. Регулярное обновление ПО подрядчиков
Зачастую подрядчики работают на устаревших версиях CMS, библиотек и веб-серверов. Это прямое окно для атак. Вы можете иметь идеальную защиту, но если подрядчик использует WordPress 5.6 или старый OpenSSL, злоумышленник может взломать их.
Что делать:
-
Включите в договор обязательное требование регулярного обновления ПО (например, не реже одного раза в месяц).
-
Проводите сканирование инфраструктуры подрядчиков на наличие уязвимостей, общедоступных сервисов и другого (с их согласия).
5. Договорные обязательства
Без четких юридических условий безопасность превращается в «надежду на добросовестность». Договор с подрядчиком должен не просто регулировать оплату и сроки, но и фиксировать обязательства по кибербезопасности.
Что включить в контракт:
-
Пункт о конфиденциальности и неразглашении (NDA).
-
Условие о своевременном устранении найденных уязвимостей (например, в течение 72 часов с момента уведомления).
-
Обязательство уведомлять заказчика о любых инцидентах безопасности в течение суток.
-
Требования к аудиту доступа и шифрованию данных.
-
Возможность проведения внешнего пентеста или проверки (с согласия сторон).
Итог
Даже если у подрядчика нет SOC, SIEM и собственной команды безопасности, вы можете оценить его надежность по открытым данным и поведению. Регулярный OSINT, аудит, мониторинг упоминаний и анализ утечек позволяют выявить слабые звенья до того, как ими воспользуются злоумышленники. Ключевой принцип — доверяй, но проверяй. Безопасность партнеров — это не их личная проблема, а часть вашего общего цифрового контура.
Автор: Павел Абакумов, аналитик сервиса проактивного мониторинга внешних цифровых угроз Jet CSIRT, «Инфосистемы Джет».
Автор: CSIRT
