Актуальные тенденции киберразведки

Примечание: все нижеозвученное является моим личным мнением, не претендует на истинность. Данное мнение сложилось из долгосрочного наблюдения за вакансиями, расследованиями, работой информационно-аналитических организаций, инструментами, отдельными специалистами.

Примечание 2: речь будет идти не только о стандартных пробивах и составлении досье на физ и юр лиц, а про всю область киберразведки, включая создание инструментов, умения вести сложные международные расследования, социнж, выстраивание модели собственной безопасности и т.д. Это же целое искусство :)

Еще пару лет назад многозадачность и универсальность были уникальным навыком, за который очень ценили. Сейчас же это уже стало базовым навыком киберразведки, если вы хотите оставаться в курсе происходящего, обладать актуальным и эффективным инструментарием, связями и решать нетривиальные задачи с массивным объемом данных. На все это очень сильно влияет развитие AI.

Для того, чтобы сохранять и повышать профессиональную планку, необходимо обладать и уметь пользоваться:

1. Базовое программирование. Питон (пайплайны для автоматизации, парсеры, скрипты для обработки данных, ml и тд), bash\shell (нужно уметь разворачивать инструменты).
2. Работа с AI. Уметь составлять промпты (а для этого нужно знать, как они примерно работают), оценивать сильные стороны разных моделей, обходить запреты, проверять, корректировать и верифицировать данные и тд
3. Социальная инженерия. Общение с людьми крайне важно. При чем общение можно рассматривать с двух сторон: со стороны обмена опытом, идеями, возможностями, контактами, взаимопомощи и со стороны умения добывать уникальную информацию о том, что вам нужно. Оба варианта требуют большого опыта взаимодействия с людьми, как обычного, так и специального
4. Для построения модели собственной безопасности нужен большой блок хотя бы базовых знаний о: как работают сети (например, для VPN, оставление цифровых следов и тд), как работают разные операционные системы с точки зрения удобства под разные задачи, безопасности, анонимности, защищенности, как работают браузеры, как работают телефоны и другие технические устройства, которые вы задействуете в работе. Отдельно стоит выделить аспект, касающийся знаний об алгоритмах работы полиции и спецслужб. Откровенно говоря, в текущие времена это желательно знать всем.
5. Аналитика. Верификация, умение объективно оценивать данные и источники, умение писать скрипты, если работаете с большим количеством данных, оценивание своих результатов, построение алгоритмов работы. По верификации даже воркшопы устраивают (например, те же Bellingcat)
6. Отдельно стоит выделить disinformation analysis (исследование информационных операций). Имхо, тут даже обоснований никаких не требуется, как и для пункта ниже :)
7. GeoINT.
8. Базовые знания по криптовалюте.
9. Обязательное знание языков (хотя бы английского) и большой кругозор. Это может быть странно, но никогда не знаешь, в какой сегмент интернета тебя занесет и зачем. Иногда приходится узнавать про качество и долговечность кирпичей, иногда разбираться в военной технике, иногда копаться в арабских маркетплейсах.
10. Умение работать с утечками данных: мониторинг, поиск баз, обработка.
11. Умение работать в onion, знать, где какую информацию можно добыть или купить.
12. Мониторинг специалистов, инструментов и новостей для профессионального самообразования
13. Умение работать с разными типами данных (как исследовать социальные сети, что можно сделать с ФИО+ДР, как исследовать номер телефона и тд). Стоит выделить multimedia verification (изображения, видео, аудио, анализ дипфейков, out-of-context media, provenance, метаданные, цепочка происхождения контента). Например, на OScon'25 в Цюрихе был отдельный доклад про аудиокриминалистику в журналистике. В дополнение к этому - graph-centric analysis. Графы связей сейчас на хайпе, ибо удобно.
14. Это пункт под звездочкой. Работа с API приложений, чтобы уметь доставать незащищенные данные. Я сейчас пытаюсь учиться этому на примере телеграма.

Некоторые иногда добавляют блок про reproducibility и evidence discipline. Честно говоря, я просто фиксирую весь путь расследования и особо не заморачиваюсь. Где надо приложить источник или проследить путь информации - все есть. У меня есть свои форматы отчетов, иногда я формирую их под удобство заказчика.

И есть еще один пункт, который я бы добавила, но он очень специфический. Я сама этим занимаюсь уже некоторое время. Это создание локальной информационно-аналитической системы.

Примеры:

- https://www.worldmonitor.app/

- https://arxiv.org/abs/2503.03215 (но рукопись потом отозвали)

- https://x.com/bilawalsidhu/status/2024672151949766950?s=67

Я немного расскажу о своем проекте. Не смогу расписать все планируемые функции по понятным причинам, но, тем не менее.

Что будет входить в базовые задачи ИАС?

1. Сборка и обработка данных из разнородных источников (первичная обработка, нормализация, подготовка)
2. Извлечение фактов, событий, сущностей, связей (с помощью ML+IE-моделей типа OneIE\DyGIE\TARS)
3. Построение внутренней базы знаний (на основе Neo4j для начала, с векторным поиском, индексацией, обогащением фактами и тд)
4. Дополнительная обработка с помощью локального LLM с RAG (llama.cp)
5. Удобная визуализация

Дополнительные обвесы планируются, но говорить о них пока нет смысла, потому что сейчас я только поднимаю mvp.

Рассчитываю на то, что это очень сильно будет помогать при работе с проектами, которые имеют много сущностей. Но при этом, для безопасности, нужна локальная развертка, тот же мальтего в этом плане не подходит.

Сложные времена наступили...