发布时间:2024 年 4 月 8 日
撰稿人: Gregg Lindemulder、Amber Forrest
开源情报 (OSINT) 是收集和分析公开信息以评估威胁、做出决策或回答特定问题的过程。
早在第二次世界大战期间,情报界训练有素的特工就开始监控公开来源的信息,如电台广播、报纸和市场波动。今天,易于访问的数据源数量和种类众多,几乎任何人都可以参与开源情报收集。
OSINT 研究人员从中收集数据点的一些公共来源包括:
互联网搜索引擎,例如 Google、DuckDuckGo、Yahoo、Bing 和 Yandex。
印刷和在线新闻媒体,包括报纸、杂志和新闻网站。
Facebook,X,Instagram 和 LinkedIn 等平台上的社交媒体帐户。
在线论坛、博客和互联网中继聊天 (IRC)。
暗网,互联网的一个加密区域,不被搜索引擎收录。
电话号码、电子邮件地址和实际地址的在线目录。
公共记录,包括出生证明、死亡证明、法院文件和商业备案。
政府记录,例如地方、州和联邦/国家政府发布的会议记录、预算、演讲和新闻稿。
学术研究,包括论文、学位论文和期刊。
技术数据,例如 IP 地址、API、开放端口和网页元数据。
然而,开始从 OSINT 来源收集数据之前,应确定明确的目标。例如,使用 OSINT 的安全专业人员首先确定想要获取哪些信息,以及哪些公开数据将产生所需结果。
收集公开信息之后,必须对其进行处理,过滤掉不必要或冗余的数据。然后,安全团队可以分析精炼后的数据,并创建可操作的情报报告。
威胁参与者经常使用 OSINT 来发现敏感信息,进而找到并利用计算机网络中的漏洞。
这可能包括有关组织员工、合作伙伴和供应商的个人详细信息,这些信息可在社交媒体和公司网站上轻松获得。或者是凭据、安全薄弱环节或加密密钥等技术信息,这些信息可能出现在网页或云应用程序的源代码中。还有一些公开网站会公布泄露的信息,如数据泄露事件中被盗的登录名和密码。
网络犯罪分子可以利用这些公开数据达到各种邪恶目的。
例如,他们可以使用来自社交网络的个人信息创建定制的网络钓鱼电子邮件,诱使读者点击恶意链接。或者使用特定命令进行 Google 搜索,揭示网络应用程序中的安全漏洞,这种做法称为“Google dorking”。他们还可能在审查公司描述其网络安全防御策略的公开资产后,在黑客攻击尝试中逃避检测。
由于可用的公开信息数量庞大,手动收集、分类和分析 OSINT 数据通常不切实际。针对各种 OSINT 用例,专门的开源情报工具可以帮助管理数据任务并实现自动化运行。
一些 OSINT 分析工具使用人工智能和机器学习来检测哪些信息有价值和重要,哪些信息无关紧要或不相关。其中比较流行的 OSINT 工具有:
Osintframework.com(ibm.com 外部链接)– 一个广泛的目录,收集托管在开发者平台 GitHub 上的免费在线 OSINT 工具和资源。黑客和网络安全专业人员都可以使用此目录作为起点,深入了解他们需要在 OSINT 工具中寻找的特定功能。
Maltego(ibm.com 外部链接)– 适用于 Windows、Mac 和 Linux 平台的实时数据挖掘解决方案,提供数据模式和连接的图形表示。该工具能够剖析和跟踪个人的在线活动,对网络安全专业人员和威胁参与者都很有用。
Spiderfoot(ibm.com 外部链接)– 电子邮件地址、电话号码、IP 地址、子域等信息的数据源整合工具。伦理黑客可能会使用此资源来调查可能对组织或个人构成威胁的公开信息。
Shodan(ibm.com 外部链接)– 互联网连接设备的搜索引擎,它还能提供有关元数据和开放端口的信息。该工具可以检测数百万台设备中的安全漏洞,因此对于网络安全专业人员和网络犯罪分子都很有用。
Babel X(ibm.com 外部链接)- 一种多语言、AI 赋能的搜索工具,能够用 200 多种语言搜索万维网和暗网。组织内的安全团队可使用该工具搜索可能发布在暗网上或国外的敏感或专有信息。
Metasploit(ibm.com 外部链接)- 一种渗透测试工具,可以识别网络、系统和应用程序中的安全漏洞。该工具对网络安全专家和黑客都很有用,因为它能揭示出那些可能让网络攻击得逞的具体漏洞。
获取切实可行的洞察分析,帮助您了解威胁参与者如何发动攻击,以及如何主动保护您的组织。
了解渗透测试如何帮助组织发现其应用程序、网络、设备和其他资产中的严重安全漏洞。
探究安全分析师如何通过分析和关联原始信息来创建威胁情报,以帮助防范和减轻网络攻击风险,使其在发生之前就得到有效遏制。