Che cos'è l'open-source intelligence (OSINT)?
Significato di Open Source Intelligence (OSINT)
OSINT è l'abbreviazione di "Open-Source Intelligence" e si riferisce a un metodo di raccolta, valutazione e analisi delle informazioni pubblicamente disponibili per generare informazioni per il processo decisionale. Originariamente parte delle attività di intelligenza militare, è stata utilizzata in parallelo con SIGINT (Signal Intelligence: intelligence attraverso l'intercettazione della comunicazione) e HUMINT (Human Intelligence: intelligence attraverso le informazioni umane) ed è stata utilizzata per la sicurezza nazionale e la formulazione di strategie militari. Attualmente, OSINT si è diffuso al settore privato ed è utilizzato quotidianamente da molte aziende e organizzazioni no-profit.
Le informazioni pubbliche raccolte da OSINT sono diverse. Include informazioni rilasciate dal governo, informazioni ampiamente accessibili da Internet, libri e articoli di notizie, ecc.
Come funziona OSINT
Per utilizzare OSINT, è prima necessario comprendere il processo. La raccolta e l'analisi delle informazioni pubbliche è solo una fase del processo e non è un processo completo. La serie di passaggi in OSINT, che prevede la pianificazione e la conversione accurata delle informazioni raccolte in informazioni significative, è chiamata ciclo di intelligence.
In termini di ciclo di intelligence, questi sono i processi attraverso i quali vengono eseguite le attività OSINT per combattere le minacce informatiche come parte delle misure di cybersecurity di un'azienda.
Pianificazione
In questa fase, valuti le minacce alla sicurezza e i rischi che la tua azienda deve affrontare, identifichi le informazioni di cui hai bisogno e stabilisci obiettivi e priorità per la raccolta di tali informazioni.
Collezione
In seguito, in base alle specifiche esigenze informative, i dati vengono raccolti da fonti pubbliche, che potrebbero potenzialmente includere il web Daewoo, i social media, i blog e i siti di notizie specializzati sulla sicurezza, i database pubblici sulle vulnerabilità (CVE), ecc. Questo processo può anche comportare l'uso di strumenti OSINT dedicati e tecniche di web scraping.
Elaborazione
Le informazioni raccolte sono molto voluminose e non strutturate, quindi devono essere elaborate e convertite in una forma adatta per l'analisi, in cui i dati vengono filtrati, standardizzati e le informazioni non importanti vengono rimosse. L'elaborazione efficace dei dati in questa fase determina notevolmente la qualità dell'analisi successiva.
Sandbox
I dati vengono quindi sottoposti a un'analisi delle minacce, che include l'identificazione delle vulnerabilità che gli aggressori informatici, l'identificazione dei modelli di attacco e la previsione dell'intento e delle capacità degli aggressori. Dall'analisi, le aziende possono comprendere le minacce specifiche e le loro contromisure, assegnare loro la priorità e sviluppare un piano di risposta.
Condivisione
Infine, le informazioni sulle minacce generate vengono condivise con i responsabili decisionali pertinenti (reparti IT, dirigenti e talvolta colleghi di altri settori o agenzie governative). Il ciclo di intelligence può continuare in base al feedback dei responsabili decisionali. È importante tenere presente che il ruolo dell'intelligence non è solo quello di raccogliere informazioni, ma anche di utilizzarle in modo efficace e contribuire al raggiungimento degli obiettivi dell'organizzazione. A tal fine, la comunicazione con i responsabili decisionali è essenziale, dalla pianificazione alla condivisione. È anche importante essere sempre consapevoli di ciò che i responsabili decisionali desiderano.
Strumenti per OSINT nelle minacce informatiche
Recentemente, gli strumenti OSINT per le minacce informatiche sono diventati sempre più sofisticati, consentendo di raccogliere le informazioni necessarie in modo efficiente. Ecco alcuni degli strumenti OSINT che sono in realtà ampiamente utilizzati.
Shodan
Un motore di ricerca in grado di cercare dispositivi connessi a Internet che non si trovano in una ricerca web generale (come la ricerca tramite Google). Raccoglie numeri di porta, indirizzi IP e informazioni sulla posizione di server e dispositivi IoT pubblicamente disponibili. Può essere utilizzato per controllare le informazioni sulle vulnerabilità e il controllo degli accessi.
Maltego
Uno strumento di correlazione dei dati e di analisi visiva che consente di mappare visivamente le relazioni tra persone, gruppi, organizzazioni, siti web, infrastrutture Internet, social network, ecc. Ti aiuta a comprendere il quadro generale che collega le informazioni visualizzando relazioni complesse.
Google Dorks (Comandi avanzati di ricerca di Google)
Combinando comandi avanzati, la funzione di ricerca fornita da Google può estrarre in modo efficiente informazioni dettagliate e dati specifici che non possono essere ottenuti dalle normali ricerche. Tale utilizzo della funzione di ricerca è chiamato "Google Dorks" e le informazioni indicizzate vengono visualizzate nei risultati della ricerca. Utilizzando questa funzione, è possibile verificare se la propria organizzazione ha accidentalmente pubblicato informazioni che non dovrebbero essere rese pubbliche.
Esempi di query di ricerca utilizzate da Google Dorks
- cache: Visualizza la versione memorizzata nella cache di Google di una determinata pagina web
- tipo di file: Visualizza i documenti in un formato di file specifico
- immagini: Visualizzare un'immagine di dimensioni specifiche
- sito: Visualizzato solo su siti web specifici
- inurlo: Visualizza le pagine che contengono una parola specifica nell'URL
- Titolo: Visualizzare le pagine web che contengono una parola specifica nel titolo della pagina
Punti da notare quando si utilizza OSINT
Finora, abbiamo introdotto il significato di OSINT e degli strumenti che utilizza, ma quando si utilizza OSINT, è necessario essere consapevoli di quanto segue:
Affidabilità e accuratezza delle informazioni
Utilizziamo le informazioni pubbliche come fonte principale di dati, ma è necessario verificare sempre l'affidabilità e l'accuratezza di tali informazioni. Solo perché una fonte è pubblica non significa che il contenuto sia accurato, quindi è particolarmente importante prestare attenzione alla disinformazione e alla disinformazione.
Aggiornamento e gestione continui delle informazioni
Le informazioni ottenute attraverso OSINT possono diventare obsolete nel tempo, quindi devono essere aggiornate regolarmente e la loro validità è continuamente valutata. Inoltre, a causa del volume di dati raccolti, è importante disporre di un sistema di gestione dei dati efficace per mantenerli organizzati e accessibili.
Considerazioni legali ed etiche
Tenendo conto di queste precauzioni, è necessario definire in anticipo politiche chiare quando si promuove l'uso di OSINT in un'organizzazione. Inoltre, è necessario il know-how per raccogliere e selezionare le informazioni OSINT. La condivisione di informazioni come le best practice all'interno di un'organizzazione può aiutare le organizzazioni a promuovere l'uso di OSINT in modo più efficiente.
Informazioni open source di Trend Micro (OSINT)
In Trend Micro, utilizzando l'intelligence open source (OSINT) di Trend Micro, creiamo report di ricerca con tendenze chiave nel panorama delle minacce ransomware.
Utilizziamo i dati di OSINT insieme ai dati provenienti dai siti di perdita di RaaS e gruppi di estorsioni.
In una recente ricerca creata grazie all'intelligence open source (OSINT) di Trend Micro, abbiamo discusso in modo approfondito il nostro monitoraggio del panorama dei ransomware durante la seconda metà del 2023, con particolare attenzione alle famiglie responsabili del recupero del maggior numero di attacchi: LockBit, BlackCat e Clop.
Perché scegliere Trend Vision One™ – Cloud Security?
Facendo progredire la sicurezza dai datacenter ai workload in cloud, alle applicazioni e alle architetture native del cloud, Cloud Security fornisce protezione basata sulla piattaforma, gestione dei rischi e rilevamento e risposta multi-cloud.
- Passa da prodotti disconnessi a una piattaforma di cybersecurity con un'ampiezza e una profondità di funzionalità senza pari, tra cui CSPM, CNAPP, CWP, CIEM, EASM e altro ancora. Molto di più.
- Dì addio a scoperta e inventario frammentati. Un'unica console con sensori nativi e fonti di terze parti fornisce una visibilità ibrida e multi-cloud completa per determinare quali asset potrebbero essere esposti ad attacchi.
- La prima piattaforma di cybersecurity che valuta e assegna una priorità ai rischi per le risorse on-premise e in cloud in base alla probabilità di impatto potenziale degli attacchi. Mappa il rischio di più fonti di dati in un unico indice per monitorare i tuoi miglioramenti.