Co to jest OSINT (Open Source Intelligence)?
Open Source Intelligence (OSINT)
OSINT to skrót od „Open-Source Intelligence” i odnosi się do metody gromadzenia, oceny i analizowania publicznie dostępnych informacji w celu generowania spostrzeżeń do podejmowania decyzji. Początkowo były one wykorzystywane w wojskowej wywiadowni równolegle z SIGINT (Signal Intelligence: Intelligence through Communication Interception) i HUMINT (Human Intelligence: Intelligence in human information) i były wykorzystywane do tworzenia strategii bezpieczeństwa narodowego i wojskowego. Obecnie OSINT rozprzestrzenił się w sektorze prywatnym i jest codziennie wykorzystywany przez wiele firm i organizacji non-profit.
Informacje publiczne gromadzone przez OSINT są zróżnicowane. Obejmuje informacje publikowane przez rząd, informacje powszechnie dostępne w Internecie, książki, artykuły prasowe itp.
Jak działa OSINT
Aby korzystać z OSINT, należy najpierw zrozumieć proces. Gromadzenie i analizowanie informacji publicznych to tylko jeden z etapów procesu i nie jest to kompletny proces. Seria kroków w OSINT, która obejmuje staranne planowanie i przekształcanie zebranych informacji w istotne informacje, nazywana jest cyklem inteligencji.
Jeśli chodzi o cykl wywiadowczy, są to procesy, za pomocą których prowadzone są działania OSINT w celu zwalczania zagrożeń cybernetycznych w ramach firmowych środków cyberbezpieczeństwa.
Planowanie
Na tym etapie oceniasz zagrożenia i zagrożenia bezpieczeństwa, z którymi boryka się Twoja firma, identyfikujesz potrzebne informacje oraz ustalasz cele i priorytety gromadzenia tych informacji.
Kolekcja
Następnie, w oparciu o określone potrzeby informacyjne, dane są zbierane ze źródeł publicznych, które mogą potencjalnie obejmować sieć Daewoo, media społecznościowe, wyspecjalizowane blogi i strony informacyjne dotyczące bezpieczeństwa, publiczne bazy danych luk w zabezpieczeniach (CVE) itp. Proces ten może również obejmować zastosowanie dedykowanych narzędzi OSINT i technik złomowania stron internetowych.
Przetwarzanie
Zgromadzone informacje są bardzo obszerne i nieustrukturyzowane, dlatego należy je przetwarzać i przekształcać w odpowiednią formę do analizy, w której dane są filtrowane, standaryzowane i usuwane. Skuteczne przetwarzanie danych na tym etapie w znacznym stopniu wpływa na jakość późniejszej analizy.
Analiza
Dane są następnie poddawane analizie zagrożeń, która obejmuje identyfikowanie luk w zabezpieczeniach, z których mogą korzystać cyberprzestępcy [link to what-is page], identyfikowanie wzorców ataków oraz przewidywanie intencji i możliwości atakujących. Na podstawie analizy firmy mogą zrozumieć konkretne zagrożenia i ich środki zaradcze, ustalić ich priorytety i opracować plan reagowania.
Udostępnianie
Wygenerowana analiza zagrożeń jest udostępniana odpowiednim decydentom (działom IT, kierownictwu, a czasami współpracownikom z innych branż lub agencjom rządowym). Cykl analizy może być kontynuowany w oparciu o informacje zwrotne od decydentów. Ważne jest, aby pamiętać, że rolą inteligencji jest nie tylko gromadzenie informacji, ale także efektywne wykorzystywanie tych informacji i przyczynianie się do osiągnięcia celów organizacji. W tym celu niezbędna jest komunikacja z osobami decyzyjnymi, od planowania po dzielenie się informacjami. Ważne jest również, aby zawsze mieć świadomość tego, czego oczekują decydenci.
Narzędzia OSINT w cyberzagrożeniach
Ostatnio narzędzia OSINT do wykrywania cyberzagrożeń stały się coraz bardziej zaawansowane, co umożliwia skuteczne gromadzenie niezbędnych informacji. Oto niektóre z powszechnie używanych narzędzi OSINT.
Shodan
Wyszukiwarka, która może wyszukiwać urządzenia podłączone do Internetu, których nie można znaleźć w ogólnym wyszukiwaniu internetowym (np. za pomocą Google). Gromadzi numery portów, adresy IP i informacje o lokalizacji publicznie dostępnych serwerów i urządzeń IoT. Można go użyć do sprawdzenia informacji o lukach w zabezpieczeniach i kontroli dostępu.
Maltego
Narzędzie do korelacji danych i analizy wizualnej, które umożliwia wizualne mapowanie relacji między ludźmi, grupami, organizacjami, stronami internetowymi, infrastrukturą internetową, sieciami społecznościowymi itp. Pomaga zrozumieć szerszy obraz łączący informacje poprzez wizualizację złożonych relacji.
Google Dorks (zaawansowane polecenia wyszukiwania Google)
Łącząc zaawansowane polecenia, funkcja wyszukiwania udostępniana przez Google pozwala skutecznie wyodrębnić szczegółowe informacje i konkretne dane, których nie można uzyskać za pomocą standardowych wyszukiwań. Takie korzystanie z funkcji wyszukiwania nazywa się „Google Dorks”, a indeksowane informacje są wyświetlane w wynikach wyszukiwania. Korzystając z tej funkcji, możesz sprawdzić, czy Twoja organizacja przypadkowo opublikowała informacje, które nie powinny zostać upublicznione.
Przykłady zapytań wyszukiwania używanych przez Google Dorks
- Pamięć podręczna: Zobacz wersję podręczną konkretnej strony internetowej Google
- typ pliku: Wyświetlanie dokumentów w określonym formacie pliku
- obrazowanie: Wyświetlanie obrazu o określonym rozmiarze
- ośrodek: Wyświetlane tylko na określonych stronach internetowych
- adres URL: Wyświetl strony zawierające określone słowo w adresie URL
- Tytuł: Wyświetl strony internetowe zawierające określone słowo w tytule strony
Punkty do zapamiętania podczas korzystania z systemu OSINT
Do tej pory wprowadziliśmy znaczenie systemu OSINT i narzędzi, z których korzysta, ale podczas korzystania z systemu OSINT należy pamiętać o następujących kwestiach:
Niezawodność i dokładność informacji
Używamy informacji publicznych jako podstawowego źródła danych, ale zawsze należy weryfikować wiarygodność i dokładność tych informacji. To, że źródło jest publiczne, nie oznacza, że treść jest dokładna, dlatego szczególnie ważne jest, aby zachować czujność na dezinformację i dezinformację.
Ciągłe aktualizowanie informacji i zarządzanie nimi
Informacje uzyskane za pośrednictwem systemu OSINT mogą z czasem stać się nieaktualne, więc muszą być regularnie aktualizowane, a ich ważność stale oceniana. Ponadto ze względu na ilość zebranych danych ważne jest posiadanie skutecznego systemu zarządzania danymi, aby zapewnić ich porządek i dostępność.
Kwestie prawne i etyczne
Biorąc pod uwagę te środki ostrożności, należy z wyprzedzeniem opracować jasne zasady podczas promowania korzystania z systemu OSINT w organizacji. Ponadto do gromadzenia i wybierania informacji OSINT wymagana jest wiedza specjalistyczna. Dzielenie się informacjami, takimi jak najlepsze praktyki w organizacji, może pomóc organizacjom w skuteczniejszym promowaniu korzystania z OSINT.
Trend Micro open source intelligence (OSINT)
W Trend Micro, korzystając z analizy open source (OSINT) Trend Micro, tworzymy raporty badawcze zawierające kluczowe trendy w krajobrazie zagrożeń ransomware.
Wykorzystujemy dane z OSINT wraz z danymi z miejsc przecieków w RaaS i grupach wymuszonych oraz Trend Micro™ Smart Protection Network™
W niedawnych badaniach opracowanych dzięki analizie open source (OSINT) Trend Micro omówiliśmy szczegółowo nasze monitorowanie krajobrazu ransomware w drugiej połowie 2023 r., skupiając się na rodzinach odpowiedzialnych za pokonanie największej liczby ataków: LockBit, BlackCat i Clop.
Rozwiązanie Trend Micro Cloud Security
Trend Micro Cloud Security umożliwia zespołom wizualizację i ustalanie priorytetów zagrożeń, a także automatyzację wykrywania i reagowania w środowiskach lokalnych, hybrydowych i wielochmurowych.
Wyjdź poza CNAPP, aby uzyskać kompleksową widoczność, ustalić priorytety ryzyka i zautomatyzować reagowanie w środowiskach hybrydowych i wielochmurowych.