傳統上由情報機構和軍方使用,OSINT 技術用於從可自由訪問的來源收集有關人員、組織或公司的信息,然後分析獲得的數據並從中得出有用的結論和信息。
但 IT 安全專家也可以從該技術中獲益,以發現潛在漏洞並在它們被攻擊者利用之前進行補救。
我們採訪了 Cato Networks 了解操作方法。
BN:什麼是 OSINT?
EM:開源情報 (OSINT) 是情報機構和軍方使用的一項技術。但是原則上,任何人都可以使用它,包括個人。這個想法是從可自由訪問的來源收集有關人員、組織或公司的信息。 OSINT 工具然後分析獲得的數據並從中得出有用的結論和信息。但 OSINT 也可用於識別網絡設備上的漏洞。
恢復的數據用於社會工程攻擊、定位人員、收集有關人員或公司的詳細信息,最後但並非最不重要的一點是,黑客攻擊網絡。
在許多情況下,可公開訪問的信息還顯示了人員的移動概況,這些信息也可用於攻擊或提供進一步的安全相關信息。通過這種方式,可以創建具有移動配置文件的交互式地圖,或者可以找到具有 Web 界面的網站、雲服務或網絡設備的登錄信息。這使得快速識別網絡中的安全漏洞成為可能。攻擊者充分利用這一事實。這正是為什麼 OSINT 對公司的安全經理也很感興趣,如果他們想更好地保護自己的網絡免受眾所周知的安全漏洞的侵害。”
BN:為什麼組織應該利用開放的潛力-獲取情報以更好地為潛在攻擊做好準備?
EM:借助 OSINT,組織可以收集和篩選他們自己的可公開訪問的數字痕跡,並且有很多。除了洩露的憑據和密碼外,這些還包括意外出現在網絡上的公司內部信息,以及域和服務器上的數據,還有來自暗網的數據,甚至是已經被刪除的信息。
幾乎在所有成功的攻擊案例中,攻擊者根本不需要破解任何東西;他們只是登錄。必要的登錄數據通常可以在暗網上或通過基於 OSINT 的社會工程找到。而這正是需要防止的。
安全團隊應積極搜索網絡中的漏洞。例如,通過在提到的網站上搜索他們自己和他們自己的設備。必須從攻擊者的角度檢查數據,以採取適當的措施來保護網絡和個人用戶。當然,這包括盡快修復已識別的漏洞。這至少排除了攻擊者在成功黑客攻擊中使用公共數據的可能性。
BN:OSINT 用於識別漏洞的公開來源有哪些?
EM:這些來源包括社交網絡,例如 Facebook、Twitter、LinkedIn 或 Instagram。許多用戶在不同平台上有多個配置文件。因此,可以讀取和關聯來自各種來源的數據。評論、簽到、位置、帖子、點贊和更多數據均可在此處公開訪問並易於利用。
專家將此稱為“過度共享”。也就是說,公開可用的信息比大多數社交網絡用戶意識到的要多得多。但約會應用程序和健康追踪器也是 OSINT 工具的流行信息媒介,就像在 GitHub 上搜索一樣。在這裡,你可以找到海量的數據庫數據或程序連接信息。
除了眾多的數據源,還有網站、互聯網上的鏈接數據、DNS數據等無數信息可以用於攻擊網絡,也用於防禦網絡。一旦編譯了各種信息,智能 OSINT 工具就會快速識別相關性,用戶可以利用這些信息為自己謀取利益。攻擊者利用這些信息進行攻擊。安全人員可以識別漏洞並及時關閉或化解潛在的攻擊場景。例如,通過更好地保護可公開訪問的數據,或者在某些情況下將其完全刪除。
在這一點上,不僅來自 Internet 的資源很有趣,而且來自廣播、電視或報紙的數據也很有趣。例如,這裡的信息隱藏在視頻的背景中。此外,還有 WiFi 信息、藍牙連接和無線網絡,它們也公開共享流入分析的信息。
BN:如何將 OSINT 用作 IT 和安全的強大部分團隊的軍械庫?
EM:OSINT 可以輕鬆使用且沒有風險。您可以輕鬆地從 Internet 或其他來源獲取信息。此外,這些工具價格低廉,而且數據完全免費。最後,研究很簡單:各種網站提供易於使用的界面,OSINT 應用程序在需要時通過 API 導入其他數據。此外,很難跟踪或控制誰在何時何地使用開源情報。
由於這些優勢,政府、情報機構、當局、軍方以及公司都有興趣利用開源情報的潛力開源情報。黑客和罪犯也是如此。因此,問題不是為什麼要使用 OSINT,而是為什麼不使用。最後但同樣重要的是,個人也在使用 OSINT,我們已經列出了一些示例。
除了已經描述的那些之外,還有擴展的 OSINT 功能,例如,主動掃描防火牆上的端口或路由器。這允許用戶自己收集和使用數據。在互聯網上可以很快找到有關標准設備的信息,例如默認 IP 地址、默認管理員登錄名和出廠時設置的密碼。許多用戶未能更改此默認數據,這使攻擊者可以快速輕鬆地進行訪問。可以通過 OSINT 和少量研究工作找到的數據。
Google 提供了許多選項來限制搜索。這對 OSINT 來說也不是無趣的,因為它可以更好地過濾與安全相關的信息。示例標題為:“web client:login”,intitle:“Printer Status”和 inurl:“/PrinterStatus.html”。這些只是顯示登錄頁面或有關公共打印機數據的眾多搜索詞中的兩個。結合其他谷歌選項,可以輕鬆收集大量信息。使用諸如“站點:”之類的選項,可以過濾單個頁面上的搜索結果。為此,Google 提供了許多易於使用的運算符。
BN:OSINT 是保護網絡的最佳工具嗎?
EM:對於安全專業人員,絕對值得仔細研究各種 OSINT 工具和信息收集功能,以保護他們的網絡。在大多數情況下,這甚至不需要高額投資和許可:許多工具都可以作為開源免費使用。 OSINT 框架提供了各種工具集合,這些工具不僅可以促進搜索,而且還可以作為縮小安全漏洞的重要基礎。
關於 OSINT 可能需要注意一點——必須了解當地的當地法律為了正確地進行 OSINT 而不是惹上麻煩。一些公司和國家會考慮端口敲門/掃描攻擊。同樣,搜索打印機是一回事,但單擊它並訪問公司的資源又是另一回事。儘管 OSINT 是一個有用的工具,但您需要謹慎行事,以免惹上麻煩。
黑客使用 OSINT 繞過安全措施並準備攻擊。為什麼公司自己不應該利用開源情報的潛力來更好地為黑客攻擊做好準備?
圖片來源:artursz/depositphotos.com