Data di pubblicazione: 8 aprile 2024
Collaboratori: Gregg Lindemulder, Amber Forrest
L'open source intelligence (OSINT) è il processo di raccolta e analisi delle informazioni pubblicamente disponibili per valutare le minacce, prendere decisioni o rispondere a domande specifiche.
Molte organizzazioni utilizzano l'OSINT come strumento di sicurezza informatica per aiutare a valutare i rischi per la sicurezza e identificare le vulnerabilità nei propri sistemi IT. I criminali informatici e gli hacker utilizzano anche le tecniche OSINT per l'ingegneria sociale, il phishing e l'esposizione degli obiettivi per gli attacchi informatici.
Oltre alla sicurezza informatica, anche altri settori, come le forze dell'ordine, la sicurezza nazionale, il marketing, il giornalismo e la ricerca accademica possono fare uso dell'open source intelligence.
Fin dalla Seconda Guerra Mondiale, gli agenti specialisti della comunità di intelligence hanno monitorato informazioni open-source come trasmissioni radiofoniche, giornali e le fluttuazioni di mercato. Oggi, dato il numero e la varietà di fonti di dati facilmente accessibili, quasi tutti possono partecipare alla raccolta di open source intelligence.
Alcune delle fonti pubbliche da cui i ricercatori OSINT raccolgono i dati includono:
Motori di ricerca internet come Google, DuckDuckGo, Yahoo, Bing e Yandex.
Mezzi di informazione cartacei e online, come giornali, riviste e siti di notizie.
Account social su piattaforme come Facebook, X, Instagram e LinkedIn.
Forum online, blog e Internet Relay Chats (IRC).
Il dark web, un'area crittografata di internet non indicizzata dai motori di ricerca.
Elenchi online di numeri di telefono, indirizzi e-mail e indirizzi fisici.
Registri pubblici di nascite, decessi, atti giudiziari e documenti aziendali.
Documenti governativi come trascrizioni delle riunioni, bilanci, discorsi e comunicati stampa emessi dai governi locali, statali e federali/nazionali.
Ricerche accademiche, inclusi documenti, tesi e riviste.
Dati tecnici quali indirizzi IP, API, porte aperte e metadati delle pagine web.
Tuttavia, prima di iniziare la raccolta dei dati dalle fonti OSINT, è bene stabilire un obiettivo chiaro. Ad esempio, i professionisti della sicurezza che utilizzano OSINT devono determinare innanzitutto quali informazioni vogliono scoprire e quali dati pubblici produrranno i risultati desiderati.
Una volta raccolte, le informazioni pubbliche devono essere elaborate per filtrare i dati non necessari o ridondanti. I team di sicurezza possono quindi analizzare i dati perfezionati e creare un report di intelligence fruibile.
Gli autori delle minacce utilizzano spesso l'OSINT per scoprire informazioni sensibili che possono utilizzare per sfruttare le vulnerabilità nelle reti informatiche.
Queste possono includere i dati personali dei dipendenti, dei partner e dei fornitori di un'organizzazione facilmente accessibili sui social media e sui siti web aziendali oppure informazioni tecniche come credenziali, lacune di sicurezza o chiavi di crittografia che possono apparire nel codice sorgente di pagine web o applicazioni cloud. Ci sono anche siti web pubblici che pubblicano informazioni compromettenti, come login e password rubate dalle violazioni di dati.
I criminali informatici sono in grado di utilizzare questi dati pubblici per una serie di scopi nefasti.
Ad esempio, potrebbero utilizzare le informazioni personali dei social network per creare e-mail di phishing personalizzate che convincano i lettori a fare clic su un link dannoso, oppure condurre una ricerca su Google con comandi specifici che rivelino i punti deboli della sicurezza in un'applicazione web, una pratica chiamata "Google dorking". Possono anche eludere il rilevamento durante un tentativo di hacking dopo aver esaminato le risorse pubbliche di un'azienda che descrivono le loro strategie di difesa di cybersecurity.
Per questi motivi, molte organizzazioni conducono valutazioni OSINT delle fonti pubbliche di informazioni relative ai loro sistemi, applicazioni e risorse umane.
I risultati possono essere utilizzati per individuare fughe non autorizzate di dati proprietari o sensibili, valutare la sicurezza delle informazioni e identificare vulnerabilità come software senza patch, configurazioni errate o porte aperte. Le organizzazioni possono anche condurre test di penetrazione dei propri sistemi e reti utilizzando gli stessi dati OSINT accessibili al pubblico da criminali informatici e hacker.
Spesso, le informazioni raccolte durante una valutazione OSINT vengono combinate con dati non pubblici per creare un report di threat intelligence più completo. Gli aggiornamenti frequenti alle valutazioni OSINT sulla cybersecurity possono aiutare le organizzazioni a mitigare il rischio di violazioni dei dati, ransomware, malware e altri attacchi informatici.
A causa della grande quantità di informazioni pubbliche disponibili, è spesso poco pratico raccogliere, ordinare e analizzare manualmente i dati OSINT. Gli strumenti di open source intelligence specializzati possono aiutare a gestire e automatizzare le attività relative ai dati per vari casi d'uso OSINT.
Alcuni strumenti di analisi OSINT utilizzano l'intelligenza artificiale e il machine learning per rilevare quali informazioni sono preziose e rilevanti e quali sono insignificanti o non correlate. Tra gli strumenti OSINT più popolari ci sono:
Osintframework.com (link esterno a ibm.com), un'ampia directory di strumenti e risorse OSINT gratuiti online ospitati sulla piattaforma per sviluppatori GitHub. Sia gli hacker che i professionisti della sicurezza informatica possono utilizzare questo elenco come punto di partenza per approfondire le funzionalità specifiche che desiderano in uno strumento OSINT.
Maltego (link esterno a ibm.com), una soluzione di data mining in tempo reale per piattaforme Windows, Mac e Linux che fornisce rappresentazioni grafiche di modelli di dati e connessioni. Con la sua capacità di profilare e tracciare le attività online degli individui, questo strumento è utile sia ai professionisti della sicurezza informatica che agli attori delle minacce.
Spiderfoot (link esterno a ibm.com) – Uno strumento di integrazione dell'origine dati per informazioni come indirizzi e-mail, numeri di telefono, indirizzi IP, sottodomini e altro ancora. Gli hacker etici possono utilizzare questa risorsa per indagare sulle informazioni disponibili al pubblico che potrebbero rappresentare una minaccia per un'organizzazione o un individuo.
Shodan (link esterno a ibm.com), un motore di ricerca per dispositivi connessi a internet in grado anche di fornire informazioni sui metadati e sulle porte aperte. Poiché questo strumento è in grado di identificare le vulnerabilità di sicurezza per milioni di dispositivi, può essere utile sia per i professionisti della sicurezza informatica che per i criminali informatici.
Babel X (link esterno a ibm.com), uno strumento di ricerca multilingue abilitato dall'AI in grado di cercare nel world wide web e nel dark web in oltre 200 lingue. I team di sicurezza di un'organizzazione possono utilizzare questo strumento per cercare informazioni sensibili o proprietarie che potrebbero essere pubblicate sul dark web o in un paese straniero.
Metasploit (link esterno a ibm.com), uno strumento di test di penetrazione in grado di identificare le vulnerabilità della sicurezza nelle reti, nei sistemi e nelle applicazioni. Sia i professionisti della sicurezza informatica che gli hacker trovano valore in questo strumento perché può rivelare i punti deboli specifici che possono consentire un attacco informatico di successo.
Utilizza un team di analisti di intelligence di fama mondiale per proteggere il tuo ambiente. Ottieni insight sulle tecniche più recenti, come malware, reverse engineering, ricerche sul dark web e monitoraggio delle vulnerabilità.
Scopri le informazioni utili per capire come gli autori delle minacce conducono attacchi e come proteggere in modo proattivo la tua organizzazione.
Comprendi come i test di penetrazione aiutano le organizzazioni a scoprire vulnerabilità critiche di sicurezza nelle loro applicazioni, reti, dispositivi e altre risorse.
Scopri come gli analisti della sicurezza creano informazioni sulle minacce analizzando e correlando le informazioni grezze per aiutare a mitigare e prevenire gli attacchi informatici prima che si verifichino.