OSINT è l'abbreviazione di "Open-Source Intelligence" e si riferisce a un metodo di raccolta, valutazione e analisi delle informazioni pubblicamente disponibili per generare informazioni per il processo decisionale. Originariamente parte delle attività di intelligenza militare, è stata utilizzata in parallelo con SIGINT (Signal Intelligence: intelligence attraverso l'intercettazione della comunicazione) e HUMINT (Human Intelligence: intelligence attraverso le informazioni umane) ed è stata utilizzata per la sicurezza nazionale e la formulazione di strategie militari. Attualmente, OSINT si è diffuso al settore privato ed è utilizzato quotidianamente da molte aziende e organizzazioni no-profit.
Le informazioni pubbliche raccolte da OSINT sono diverse. Include informazioni rilasciate dal governo, informazioni ampiamente accessibili da Internet, libri e articoli di notizie, ecc.
Per utilizzare OSINT, è prima necessario comprendere il processo. La raccolta e l'analisi delle informazioni pubbliche è solo una fase del processo e non è un processo completo. La serie di passaggi in OSINT, che prevede la pianificazione e la conversione accurata delle informazioni raccolte in informazioni significative, è chiamata ciclo di intelligence.
In termini di ciclo di intelligence, questi sono i processi attraverso i quali vengono eseguite le attività OSINT per combattere le minacce informatiche come parte delle misure di cybersecurity di un'azienda.
In questa fase, valuti le minacce alla sicurezza e i rischi che la tua azienda deve affrontare, identifichi le informazioni di cui hai bisogno e stabilisci obiettivi e priorità per la raccolta di tali informazioni.
In seguito, in base alle specifiche esigenze informative, i dati vengono raccolti da fonti pubbliche, che potrebbero potenzialmente includere il web Daewoo, i social media, i blog e i siti di notizie specializzati sulla sicurezza, i database pubblici sulle vulnerabilità (CVE), ecc. Questo processo può anche comportare l'uso di strumenti OSINT dedicati e tecniche di web scraping.
Le informazioni raccolte sono molto voluminose e non strutturate, quindi devono essere elaborate e convertite in una forma adatta per l'analisi, in cui i dati vengono filtrati, standardizzati e le informazioni non importanti vengono rimosse. L'elaborazione efficace dei dati in questa fase determina notevolmente la qualità dell'analisi successiva.
I dati vengono quindi sottoposti a un'analisi delle minacce, che include l'identificazione delle vulnerabilità che gli aggressori informatici, l'identificazione dei modelli di attacco e la previsione dell'intento e delle capacità degli aggressori. Dall'analisi, le aziende possono comprendere le minacce specifiche e le loro contromisure, assegnare loro la priorità e sviluppare un piano di risposta.
Infine, le informazioni sulle minacce generate vengono condivise con i responsabili decisionali pertinenti (reparti IT, dirigenti e talvolta colleghi di altri settori o agenzie governative). Il ciclo di intelligence può continuare in base al feedback dei responsabili decisionali. È importante tenere presente che il ruolo dell'intelligence non è solo quello di raccogliere informazioni, ma anche di utilizzarle in modo efficace e contribuire al raggiungimento degli obiettivi dell'organizzazione. A tal fine, la comunicazione con i responsabili decisionali è essenziale, dalla pianificazione alla condivisione. È anche importante essere sempre consapevoli di ciò che i responsabili decisionali desiderano.
Recentemente, gli strumenti OSINT per le minacce informatiche sono diventati sempre più sofisticati, consentendo di raccogliere le informazioni necessarie in modo efficiente. Ecco alcuni degli strumenti OSINT che sono in realtà ampiamente utilizzati.
Un motore di ricerca in grado di cercare dispositivi connessi a Internet che non si trovano in una ricerca web generale (come la ricerca tramite Google). Raccoglie numeri di porta, indirizzi IP e informazioni sulla posizione di server e dispositivi IoT pubblicamente disponibili. Può essere utilizzato per controllare le informazioni sulle vulnerabilità e il controllo degli accessi.
Uno strumento di correlazione dei dati e di analisi visiva che consente di mappare visivamente le relazioni tra persone, gruppi, organizzazioni, siti web, infrastrutture Internet, social network, ecc. Ti aiuta a comprendere il quadro generale che collega le informazioni visualizzando relazioni complesse.
Combinando comandi avanzati, la funzione di ricerca fornita da Google può estrarre in modo efficiente informazioni dettagliate e dati specifici che non possono essere ottenuti dalle normali ricerche. Tale utilizzo della funzione di ricerca è chiamato "Google Dorks" e le informazioni indicizzate vengono visualizzate nei risultati della ricerca. Utilizzando questa funzione, è possibile verificare se la propria organizzazione ha accidentalmente pubblicato informazioni che non dovrebbero essere rese pubbliche.
Esempi di query di ricerca utilizzate da Google Dorks
Finora, abbiamo introdotto il significato di OSINT e degli strumenti che utilizza, ma quando si utilizza OSINT, è necessario essere consapevoli di quanto segue:
Utilizziamo le informazioni pubbliche come fonte principale di dati, ma è necessario verificare sempre l'affidabilità e l'accuratezza di tali informazioni. Solo perché una fonte è pubblica non significa che il contenuto sia accurato, quindi è particolarmente importante prestare attenzione alla disinformazione e alla disinformazione.
Le informazioni ottenute attraverso OSINT possono diventare obsolete nel tempo, quindi devono essere aggiornate regolarmente e la loro validità è continuamente valutata. Inoltre, a causa del volume di dati raccolti, è importante disporre di un sistema di gestione dei dati efficace per mantenerli organizzati e accessibili.
Tenendo conto di queste precauzioni, è necessario definire in anticipo politiche chiare quando si promuove l'uso di OSINT in un'organizzazione. Inoltre, è necessario il know-how per raccogliere e selezionare le informazioni OSINT. La condivisione di informazioni come le best practice all'interno di un'organizzazione può aiutare le organizzazioni a promuovere l'uso di OSINT in modo più efficiente.
In Trend Micro, utilizzando l'intelligence open source (OSINT) di Trend Micro, creiamo report di ricerca con tendenze chiave nel panorama delle minacce ransomware.
Utilizziamo i dati di OSINT insieme ai dati provenienti dai siti di perdita di RaaS e gruppi di estorsioni e Trend Micro™ Smart Protection Network™
In una recente ricerca creata grazie all'intelligence open source (OSINT) di Trend Micro, abbiamo discusso in modo approfondito il nostro monitoraggio del panorama dei ransomware durante la seconda metà del 2023, con particolare attenzione alle famiglie responsabili del recupero del maggior numero di attacchi: LockBit, BlackCat e Clop.
Trend Micro Cloud Security consente ai team di visualizzare e assegnare priorità ai rischi, nonché di automatizzare il rilevamento e la risposta in ambienti locali, ibridi e multi-cloud.
Vai oltre la CNAPP per ottenere una visibilità completa, dare priorità al rischio e automatizzare la risposta negli ambienti ibridi e multi-cloud.