แต่เดิมใช้โดยหน่วยข่าวกรองและกองทัพ เทคนิค OSINT ใช้เพื่อรวบรวมข้อมูลเกี่ยวกับบุคคล องค์กร หรือบริษัทจากแหล่งข้อมูลที่เข้าถึงได้ฟรี จากนั้นวิเคราะห์ข้อมูลที่ได้รับและสรุปผลและข้อมูลที่เป็นประโยชน์จากข้อมูลดังกล่าว
แต่ผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทียังสามารถได้รับประโยชน์จากเทคนิคในการค้นหาช่องโหว่ที่อาจเกิดขึ้นและแก้ไขก่อนที่จะถูกโจมตีโดยผู้โจมตี
เราได้พูดคุยกับ Etay Maor ผู้อำนวยการอาวุโสฝ่ายกลยุทธ์ด้านความปลอดภัยที่ เครือข่าย Cato เพื่อดูวิธีการ
BN: OSINT คืออะไร
EM: Open Source Intelligence (OSINT) คือเทคโนโลยีที่หน่วยงานข่าวกรองและกองทัพใช้ อย่างไรก็ตาม ตามหลักการแล้ว ทุกคนสามารถใช้มันได้ รวมถึงบุคคลทั่วไปด้วย แนวคิดคือการรวบรวมข้อมูลเกี่ยวกับบุคคล องค์กร หรือบริษัทจากแหล่งข้อมูลที่เข้าถึงได้ฟรี จากนั้นเครื่องมือ OSINT จะวิเคราะห์ข้อมูลที่ได้รับและสรุปผลและข้อมูลที่เป็นประโยชน์จากข้อมูลนั้น แต่ยังสามารถใช้ OSINT เพื่อระบุช่องโหว่บนอุปกรณ์เครือข่ายได้อีกด้วย
ข้อมูลที่กู้คืนจะถูกนำไปใช้ในการโจมตีทางวิศวกรรมสังคม ระบุตำแหน่งบุคคล รวบรวมข้อมูลโดยละเอียดเกี่ยวกับบุคคลหรือบริษัท และสุดท้าย แต่ไม่ท้ายสุด แฮ็กเครือข่าย
ในหลายกรณี ข้อมูลที่เปิดเผยต่อสาธารณชนยังแสดงโปรไฟล์การเคลื่อนไหวของผู้คน ซึ่งสามารถใช้ในการโจมตีหรือให้ข้อมูลที่เกี่ยวข้องกับความปลอดภัยเพิ่มเติมได้ ด้วยวิธีนี้ สามารถสร้างแผนที่แบบโต้ตอบพร้อมโปรไฟล์การเคลื่อนไหวหรือค้นหาข้อมูลการเข้าสู่ระบบสำหรับเว็บไซต์ บริการคลาวด์ หรืออุปกรณ์เครือข่ายที่มีเว็บอินเตอร์เฟสได้ ทำให้สามารถระบุช่องโหว่ด้านความปลอดภัยในเครือข่ายได้อย่างรวดเร็ว ความจริงที่ผู้โจมตีใช้ประโยชน์อย่างเต็มที่ นี่เป็นเหตุผลว่าทำไม OSINT จึงน่าสนใจสำหรับผู้จัดการด้านความปลอดภัยในบริษัทต่างๆ เช่นกัน หากพวกเขาต้องการปกป้องเครือข่ายของตนเองให้ดีขึ้นจากช่องโหว่ด้านความปลอดภัยที่เปิดเผยต่อสาธารณะ”
BN: เหตุใดองค์กรจึงควรใช้ประโยชน์จากศักยภาพของการเปิด-จัดหาข้อมูลข่าวกรองเพื่อเตรียมพร้อมสำหรับการโจมตีที่อาจเกิดขึ้นได้ดีขึ้นหรือไม่
EM: ด้วย OSINT องค์กรต่างๆ สามารถรวบรวมและกลั่นกรองร่องรอยทางดิจิทัลที่เข้าถึงได้แบบสาธารณะ ซึ่งมีไม่กี่แห่ง นอกจากข้อมูลประจำตัวและรหัสผ่านที่ถูกบุกรุกแล้ว ข้อมูลเหล่านี้ยังรวมถึงข้อมูลภายในของบริษัทที่บังเอิญไปอยู่บนอินเทอร์เน็ต เช่นเดียวกับข้อมูลบนโดเมนและเซิร์ฟเวอร์ แต่รวมถึงข้อมูลจากเครือข่ายมืดและแม้แต่ข้อมูลที่ถูกลบไปแล้วด้วย
ในเกือบทุกกรณีของการโจมตีที่ประสบความสำเร็จ ผู้กระทำความผิดไม่จำเป็นต้องแฮ็กข้อมูลใดๆ เลย พวกเขาเพียงแค่เข้าสู่ระบบ ข้อมูลการเข้าสู่ระบบที่จำเป็นสามารถพบได้ใน darknet หรือผ่านวิศวกรรมสังคมตาม OSINT และนั่นคือสิ่งที่จำเป็นต้องป้องกัน
ทีมรักษาความปลอดภัยควรค้นหาช่องว่างในเครือข่ายอย่างจริงจัง ตัวอย่างเช่น โดยการค้นหาตัวเองและอุปกรณ์ของตนเองในเว็บไซต์ดังกล่าว ข้อมูลจะต้องได้รับการตรวจสอบจากมุมมองของผู้โจมตีเพื่อใช้มาตรการที่เหมาะสมในการปกป้องเครือข่ายและผู้ใช้แต่ละราย แน่นอนว่ารวมถึงการแก้ไขช่องโหว่ที่ระบุโดยเร็วที่สุด อย่างน้อยก็ตัดความเป็นไปได้ที่ข้อมูลสาธารณะจะถูกใช้โดยผู้โจมตีในการแฮ็กที่ประสบความสำเร็จ
BN: OSINT แหล่งที่มาใดที่เปิดเผยต่อสาธารณะใช้เพื่อระบุช่องโหว่
EM: แหล่งที่มาเหล่านี้รวมถึงเครือข่ายสังคม เช่น Facebook, Twitter, LinkedIn หรือ Instagram ผู้ใช้หลายคนมีหลายโปรไฟล์บนแพลตฟอร์มที่แตกต่างกัน ส่งผลให้สามารถอ่านข้อมูลจากแหล่งต่าง ๆ และสัมพันธ์กันได้ ความคิดเห็น เช็คอิน ตำแหน่ง โพสต์ ถูกใจ และข้อมูลอื่นๆ อีกมากมายสามารถเข้าถึงได้แบบสาธารณะที่นี่และง่ายต่อการใช้ประโยชน์
ผู้เชี่ยวชาญเรียกสิ่งนี้ว่า’การแบ่งปันมากเกินไป’นั่นคือมีข้อมูลสาธารณะมากกว่าที่ผู้ใช้เครือข่ายสังคมส่วนใหญ่รับรู้อย่างมีนัยสำคัญ แต่แอพหาคู่และเครื่องมือติดตามสุขภาพยังเป็นสื่อข้อมูลยอดนิยมสำหรับเครื่องมือ OSINT เช่นเดียวกับการค้นหาบน GitHub ที่นี่คุณจะพบข้อมูลมากมายบนฐานข้อมูลหรือข้อมูลการเชื่อมต่อของโปรแกรม
นอกเหนือจากแหล่งข้อมูลจำนวนมากแล้ว ยังมีเว็บไซต์ ข้อมูลที่เชื่อมโยงบนอินเทอร์เน็ต ข้อมูล DNS และข้อมูลอื่นๆ อีกมากมายที่สามารถ ใช้เพื่อโจมตีเครือข่าย แต่ยังเพื่อปกป้องพวกเขาด้วย เมื่อรวบรวมข้อมูลต่างๆ แล้ว เครื่องมือ OSINT อัจฉริยะจะจดจำความสัมพันธ์ได้อย่างรวดเร็ว ซึ่งผู้ใช้สามารถใช้เพื่อผลประโยชน์ของตนเองได้ ผู้โจมตีใช้ข้อมูลในการโจมตี เจ้าหน้าที่รักษาความปลอดภัยรับรู้ถึงช่องว่างและสามารถปิดหรือกลบเกลื่อนสถานการณ์การโจมตีที่อาจเกิดขึ้นได้ทันเวลา ตัวอย่างเช่น การปกป้องข้อมูลที่สาธารณะเข้าถึงได้ดีขึ้น หรือในบางกรณี การลบข้อมูลทั้งหมด
ณ จุดนี้ ไม่เพียงแต่แหล่งข้อมูลจากอินเทอร์เน็ตเท่านั้นที่น่าสนใจ แต่ยังรวมถึงข้อมูลจากวิทยุ ทีวี หรือหนังสือพิมพ์ด้วย ตัวอย่างเช่น ข้อมูลจะซ่อนอยู่ในพื้นหลังของวิดีโอ นอกจากนี้ยังมีข้อมูล WiFi การเชื่อมต่อ Bluetooth และเครือข่ายไร้สาย ซึ่งแบ่งปันข้อมูลที่ไหลเข้าสู่การวิเคราะห์สู่สาธารณะ
BN: จะใช้ OSINT เป็นส่วนที่มีประสิทธิภาพของไอทีและความปลอดภัยได้อย่างไร คลังอาวุธของทีม?
EM: OSINT สามารถใช้งานได้ง่ายและไม่มีความเสี่ยง คุณสามารถดึงข้อมูลจากอินเทอร์เน็ตหรือแหล่งอื่นๆ นอกจากนี้ เครื่องมือยังมีราคาไม่แพง และข้อมูลมีให้ใช้งานฟรี สุดท้าย การวิจัยนั้นง่ายมาก: เว็บไซต์ต่างๆ มีอินเทอร์เฟซที่ใช้งานง่าย และแอพ OSINT จะนำเข้าข้อมูลเพิ่มเติมผ่าน API หากจำเป็น นอกจากนี้ยังติดตามหรือควบคุมได้ยากว่าใครใช้ OSINT เมื่อใดและที่ไหน
ด้วยข้อได้เปรียบเหล่านี้ รัฐบาล หน่วยงานข่าวกรอง ทางการ กองทัพ และบริษัทต่างๆ ก็สนใจที่จะใช้ประโยชน์จากศักยภาพของ OSINT. แฮ็กเกอร์และอาชญากรก็เช่นกัน ดังนั้น คำถามไม่ใช่เหตุผลที่ควรใช้ OSINT แต่ทำไมไม่ควรใช้ และสุดท้าย แต่ไม่ท้ายสุด บุคคลทั่วไปก็ใช้ OSINT เช่นกัน เราได้แสดงรายการตัวอย่างไว้แล้ว
นอกเหนือจากที่อธิบายไว้แล้ว ยังมีฟังก์ชัน OSINT เพิ่มเติม เช่น การสแกนพอร์ตที่ใช้งานอยู่บนไฟร์วอลล์หรือ เราเตอร์ สิ่งนี้ทำให้ผู้ใช้สามารถรวบรวมและใช้ข้อมูลได้ด้วยตนเอง ข้อมูลเกี่ยวกับอุปกรณ์มาตรฐานสามารถพบได้อย่างรวดเร็วบนอินเทอร์เน็ต เช่น ที่อยู่ IP เริ่มต้น ชื่อล็อกอินเริ่มต้นของผู้ดูแลระบบ และรหัสผ่านที่ตั้งไว้เมื่อจัดส่ง ผู้ใช้จำนวนมากไม่สามารถเปลี่ยนแปลงข้อมูลเริ่มต้นนี้ ซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึงได้อย่างรวดเร็วและง่ายดาย ข้อมูลที่สามารถพบได้ด้วย OSINT และความพยายามในการค้นคว้าเพียงเล็กน้อย
Google มีตัวเลือกมากมายในการจำกัดการค้นหา สิ่งนี้ไม่น่าสนใจสำหรับ OSINT เนื่องจากช่วยให้สามารถกรองข้อมูลที่เกี่ยวข้องกับความปลอดภัยได้ดีขึ้น ตัวอย่างมีชื่อ:”เว็บไคลเอ็นต์:เข้าสู่ระบบ”, ชื่อเรื่อง:”สถานะเครื่องพิมพ์”และ inurl:”/PrinterStatus.html”นี่เป็นเพียงสองคำค้นหาที่แสดงหน้าเข้าสู่ระบบหรือข้อมูลเกี่ยวกับเครื่องพิมพ์ที่เผยแพร่ต่อสาธารณะ เมื่อใช้ร่วมกับตัวเลือกอื่นๆ ของ Google จะสามารถรวบรวมข้อมูลจำนวนมากได้อย่างง่ายดาย ด้วยตัวเลือกต่างๆ เช่น”site:”ทำให้สามารถกรองผลการค้นหาในแต่ละหน้าได้ Google มีโอเปอเรเตอร์ที่ใช้งานง่ายมากมายสำหรับจุดประสงค์นี้
BN: OSINT เป็นเครื่องมือที่ดีที่สุดในการปกป้องเครือข่ายหรือไม่
EM: สำหรับผู้เชี่ยวชาญด้านความปลอดภัย เป็นสิ่งที่ควรค่าแก่การพิจารณาเครื่องมือต่างๆ ของ OSINT และความสามารถในการรวบรวมข้อมูลเพื่อปกป้องเครือข่ายของพวกเขาอย่างใกล้ชิด ในกรณีส่วนใหญ่ ไม่จำเป็นต้องมีการลงทุนและใบอนุญาตสูง: มีเครื่องมือมากมายให้ใช้งานฟรีในรูปแบบโอเพ่นซอร์ส OSINT Framework นำเสนอชุดเครื่องมือต่างๆ เพื่อเริ่มต้น ซึ่งไม่เพียงแต่อำนวยความสะดวกในการค้นหาเท่านั้น แต่ยังสร้างพื้นฐานที่สำคัญสำหรับการปิดช่องว่างด้านความปลอดภัย
อาจมีคำเตือนเกี่ยวกับ OSINT–กฎหมายท้องถิ่นที่ต้องรู้ใน เพื่อให้ทำ OSINT ได้อย่างถูกต้องและไม่เกิดปัญหา บางบริษัทและบางประเทศอาจพิจารณาพอร์ตเคาะ/สแกนการโจมตี ในทำนองเดียวกัน การค้นหาเครื่องพิมพ์เป็นสิ่งหนึ่ง แต่การคลิกที่เครื่องพิมพ์และเข้าถึงทรัพยากรของบริษัทนั้นเป็นอีกเรื่องหนึ่ง แม้ว่า OSINT จะเป็นเครื่องมือที่มีประโยชน์ แต่คุณต้องดำเนินการอย่างระมัดระวังเพื่อไม่ให้ตัวเองเดือดร้อน
แฮ็กเกอร์ใช้ OSINT เพื่อเลี่ยงผ่านมาตรการรักษาความปลอดภัยและเตรียมการโจมตี เหตุใดบริษัทต่างๆ จึงไม่ควรใช้ประโยชน์จากศักยภาพของข้อมูลโอเพนซอร์สเพื่อเตรียมพร้อมสำหรับการโจมตีของแฮ็กเกอร์ให้ดียิ่งขึ้น
เครดิตภาพ: artursz/depositphotos.com