OSINT ist eine Abkürzung für „Open-Source Intelligence“ und bezieht sich auf eine Methode zum Sammeln, Bewerten und Analysieren öffentlich verfügbarer Informationen, um Erkenntnisse für die Entscheidungsfindung zu generieren. Ursprünglich Teil militärischer Geheimdienste, wurde sie parallel zu SIGINT (Signal Intelligence: Intelligence through Communication Interception) und HUMINT (Human Intelligence: Intelligence through Human Information) und für die Formulierung nationaler Sicherheit und militärischer Strategien verwendet. Derzeit hat sich OSINT auf den privaten Sektor ausgebreitet und wird täglich von vielen Unternehmen und gemeinnützigen Organisationen verwendet.
Die von OSINT erfassten öffentlichen Informationen sind vielfältig. Dazu gehören Informationen, die von der Regierung veröffentlicht werden, Informationen, die weithin über das Internet zugänglich sind, Bücher und Nachrichtenartikel usw.
Um OSINT zu nutzen, ist es zunächst notwendig, den Prozess zu verstehen. Die Erfassung und Analyse öffentlicher Informationen ist nur ein Schritt im Prozess und kein vollständiger Prozess. Die Reihe von Schritten in OSINT, bei der erfasste Informationen sorgfältig geplant und in aussagekräftige Intelligenz umgewandelt werden, wird als Intelligenzzyklus bezeichnet.
In Bezug auf den Intelligence Cycle sind dies die Prozesse, mit denen OSINT-Aktivitäten durchgeführt werden, um Cyberbedrohungen im Rahmen der Cybersicherheitsmaßnahmen eines Unternehmens zu bekämpfen.
In dieser Phase bewerten Sie die Sicherheitsbedrohungen und -risiken, denen Ihr Unternehmen ausgesetzt ist, ermitteln, welche Informationen Sie benötigen, und legen Ziele und Prioritäten für die Erfassung dieser Informationen fest.
Als nächstes werden basierend auf den angegebenen Informationsbedürfnissen Daten aus öffentlichen Quellen erfasst, die möglicherweise das Daewoo-Web, soziale Medien, spezialisierte Sicherheitsblogs und Nachrichtenseiten, öffentliche Schwachstellendatenbanken (CVEs) usw. umfassen können. Dieser Prozess kann auch die Verwendung dedizierter OSINT-Tools und Web Scraping-Techniken umfassen.
Die gesammelten Informationen sind sehr voluminös und unstrukturiert, daher müssen sie verarbeitet und in eine geeignete Form für die Analyse konvertiert werden, in der Daten gefiltert, standardisiert und unwichtige Informationen entfernt werden. Effektive Datenverarbeitung in dieser Phase bestimmt die Qualität der nachfolgenden Analyse stark.
Die Daten werden dann einer Bedrohungsanalyse unterzogen, die die Identifizierung von Schwachstellen umfasst, die Cyber-Angreifer [Link zu Was-ist-Seite] verwenden können, die Identifizierung von Angriffsmustern und die Vorhersage der Absicht und Fähigkeiten der Angreifer. Anhand der Analyse können Unternehmen die spezifischen Bedrohungen und ihre Gegenmaßnahmen verstehen, priorisieren und einen Reaktionsplan entwickeln.
Schließlich werden die generierten Bedrohungsinformationen an relevante Entscheidungsträger (IT-Abteilungen, Management und manchmal Kollegen in anderen Branchen oder Regierungsbehörden) weitergegeben. Der Intelligenzzyklus kann auf der Grundlage des Feedbacks der Entscheidungsträger fortgesetzt werden. Es ist wichtig zu bedenken, dass die Rolle von Intelligenz nicht nur darin besteht, Informationen zu sammeln, sondern diese Informationen effektiv zu nutzen und zur Erreichung der Ziele des Unternehmens beizutragen. Dazu ist die Kommunikation mit Entscheidungsträgern von entscheidender Bedeutung, von der Planung bis zum Teilen. Es ist auch wichtig, immer zu wissen, was die Entscheidungsträger wollen.
In letzter Zeit sind OSINT-Tools für Cyberbedrohungen immer komplexer geworden, sodass die erforderlichen Informationen effizient gesammelt werden können. Hier sind einige der OSINT-Tools, die tatsächlich weit verbreitet sind.
Eine Suchmaschine, die nach Geräten suchen kann, die mit dem Internet verbunden sind und die in einer allgemeinen Websuche nicht zu finden sind (z. B. Suche mit Google). Er erfasst Portnummern, IP-Adressen und Standortinformationen öffentlich verfügbarer Server und IoT-Geräte. Sie kann verwendet werden, um Schwachstelleninformationen und Zugriffskontrolle zu überprüfen.
Ein Tool für Datenkorrelation und visuelle Analyse, mit dem Sie Beziehungen zwischen Personen, Gruppen, Organisationen, Websites, Internetinfrastruktur, sozialen Netzwerken usw. visuell abbilden können. Sie hilft Ihnen, das Gesamtbild zu verstehen, das Informationen verbindet, indem komplexe Beziehungen visualisiert werden.
Durch die Kombination erweiterter Befehle kann die von Google bereitgestellte Suchfunktion detaillierte Informationen und spezifische Daten effizient extrahieren, die bei normalen Suchen nicht erhalten werden können. Diese Verwendung der Suchfunktion wird als „Google Dorks“ bezeichnet und indizierte Informationen werden in den Suchergebnissen angezeigt. Mit dieser Funktion können Sie überprüfen, ob Ihre Organisation versehentlich Informationen veröffentlicht hat, die nicht veröffentlicht werden sollten.
Beispiele für Suchanfragen, die von Google Dorks verwendet werden
Bisher haben wir die Bedeutung von OSINT und die verwendeten Tools vorgestellt, aber wenn Sie OSINT verwenden, sollten Sie Folgendes beachten:
Wir verwenden öffentliche Informationen als primäre Datenquelle, aber Sie sollten immer die Zuverlässigkeit und Genauigkeit dieser Informationen überprüfen. Nur weil eine Quelle öffentlich ist, bedeutet dies nicht, dass der Inhalt korrekt ist. Daher ist es besonders wichtig, auf Desinformationen und Fehlinformationen zu achten.
Informationen, die über OSINT gewonnen werden, können im Laufe der Zeit veraltet sein, daher müssen sie regelmäßig aktualisiert und ihre Gültigkeit kontinuierlich bewertet werden. Außerdem ist es aufgrund des Umfangs der erfassten Daten wichtig, ein effektives Datenmanagementsystem zu haben, um es organisiert und zugänglich zu halten.
Unter Berücksichtigung dieser Vorsichtsmaßnahmen sollten im Voraus klare Richtlinien festgelegt werden, wenn die Verwendung von OSINT in einer Organisation gefördert wird. Darüber hinaus ist Know-how für die Erfassung und Auswahl von OSINT-Informationen erforderlich. Das Teilen von Informationen wie Best Practices innerhalb einer Organisation kann Organisationen dabei helfen, die Nutzung von OSINT effizienter zu fördern.
Trend Micro erstellt Forschungsberichte mit wichtigen Trends in der Ransomware-Bedrohungslandschaft. Dabei nutzt Trend Micro Open-Source Intelligence (OSINT).
Wir verwenden die Daten von OSINT zusammen mit Daten von RaaS- und Erpressungsgruppen und Trend Micro™ Smart Protection Network™
In einer kürzlich durchgeführten Recherche, die dank der Open-Source Intelligence (OSINT) von Trend Micro erstellt wurde, haben wir ausführlich über unsere Überwachung der Ransomware-Landschaft in der zweiten Jahreshälfte 2023 gesprochen, wobei der Schwerpunkt auf den Familien lag, die für die Gewinnung der höchsten Anzahl von Angriffen verantwortlich sind: LockBit, BlackCat und Clop.
Trend Micro Cloud Security ermöglicht es Teams, Risiken zu visualisieren und zu priorisieren sowie Erkennung und Reaktion in lokalen, hybriden und Multi-Cloud-Umgebungen zu automatisieren.
Gehen Sie über CNAPP hinaus, um umfassende Transparenz zu erhalten, Risiken zu priorisieren und Reaktionen in Hybrid- und Multi-Cloud-Umgebungen zu automatisieren.