OSINT (Open Source Intelligence) ist der Prozess der Erfassung, Auswertung und Analyse öffentlich zugänglicher Informationen mit dem Ziel, wertvolle Erkenntnisse zu gewinnen.
Inhalt
Bedeutung von Open Source Intelligence (OSINT)
OSINT kann von Sicherheitsfachleuten oder von Cyberkriminellen eingesetzt werden. Ursprünglich war OSINT Teil der militärischen Nachrichtendienstaktivitäten. Es wurde parallel zu SIGINT (Signal Intelligence: Nachrichtendienst durch Überwachung der Kommunikation) und HUMINT (Human Intelligence: Nachrichtendienst durch menschliche Informationen) eingesetzt und diente der nationalen Sicherheit und der Formulierung militärischer Strategien. Derzeit findet OSINT auch im privaten Sektor breiten Anklang und wird täglich von vielen Unternehmen und gemeinnützigen Organisationen genutzt.
Die von OSINT erfassten öffentlichen Informationen sind vielfältig. Informationen, die von der Regierung veröffentlicht wurden, sind ebenso enthalten wie Informationen, die über das Internet, Bücher, Zeitungsartikel und andere Quellen allgemein zugänglich sind.
Funktionsweise von OSINT
Wer OSINT nutzen will, muss zunächst den Prozess verstehen. Die Erfassung und Analyse öffentlicher Informationen ist nur einer von vielen Schritten in diesem Prozess und stellt keinen vollständigen Prozess dar. Die Abfolge von Schritten in OSINT, die eine sorgfältige Planung und die Umwandlung gesammelter Informationen in aussagekräftige Erkenntnisse umfasst, wird als Intelligence Cycle (Nachrichtenzyklus) bezeichnet.
In Bezug auf den Intelligence Cycle sind dies die Prozesse, mit denen OSINT-Aktivitäten durchgeführt werden, um Cyberbedrohungen im Rahmen der Cybersicherheitsmaßnahmen eines Unternehmens zu bekämpfen.
Planung
In dieser Phase werden die Sicherheitsbedrohungen und -risiken für das Unternehmen bewertet, der Informationsbedarf ermittelt und Ziele und Prioritäten für die Erfassung dieser Informationen festgelegt.
Sammlung
Im nächsten Schritt werden auf Grundlage der angegebenen Informationsanforderungen Daten aus öffentlichen Quellen gesammelt. Dazu zählen beispielsweise die Daewoo-Website, Social Media, spezialisierte Sicherheitsblogs und Nachrichtenseiten, öffentliche Schwachstellendatenbanken (CVEs) und andere Quellen. Dieser Prozess kann auch die Verwendung dedizierter OSINT-Tools und Web-Scraping-Techniken umfassen.
Verarbeitung
Die gesammelten Informationen sind sehr umfangreich und unstrukturiert und müssen daher verarbeitet und in eine für die Analyse geeignete Form gebracht werden. Dabei werden die Daten gefiltert, standardisiert und unwichtige Informationen entfernt. Eine effektive Datenverarbeitung in dieser Phase bestimmt maßgeblich die Qualität der nachfolgenden Analyse.
Analyse
Die Daten werden anschließend einer Bedrohungsanalyse unterzogen. Dazu gehört die Identifizierung von Schwachstellen, die von Cyberangreifern ausgenutzt werden könnten, die Ermittlung von Angriffsmustern und die Prognose der Absichten und Fähigkeiten der Angreifer. Anhand der Analyse können Unternehmen die spezifischen Bedrohungen und ihre Gegenmaßnahmen verstehen, priorisieren und einen Reaktionsplan entwickeln.
Teilen
Schließlich wird die generierte Threat Intelligence an die relevanten Entscheidungsträger (IT-Abteilungen, Management und manchmal auch Kollegen in anderen Branchen oder Behörden) weitergegeben. Der Intelligence Cycle kann auf Grundlage des Feedbacks der Entscheidungsträger fortgesetzt werden. Wichtig ist, sich vor Augen zu halten, dass die Aufgabe der Intelligence nicht nur darin besteht, Informationen zu sammeln. Vielmehr geht es darum, diese Informationen auch effektiv zu nutzen und zur Erreichung der Ziele des Unternehmens beizutragen. Dazu ist die Kommunikation mit Entscheidungsträgern von entscheidender Bedeutung, von der Planung bis zum Teilen. Es gilt auch, immer im Blick zu behalten, was die Entscheidungsträger wollen.
Tools für OSINT bei Cyberbedrohungen
In letzter Zeit sind OSINT-Tools für Cyber-Bedrohungen immer ausgefeilter geworden. Dadurch können die erforderlichen Informationen effizient gesammelt werden. Hier sind einige der OSINT-Tools, die tatsächlich weit verbreitet sind.
Shodan
Die Search Engine kann nach Geräten suchen, die mit dem Internet verbunden sind und die in einer allgemeinen Websuche nicht zu finden sind (etwa über die Suche mit Google). Shodan erfasst Portnummern, IP-Adressen und Standortinformationen öffentlich verfügbarer Server und IoT-Geräte. Damit können Schwachstelleninformationen und Zugriffskontrollen überprüft werden.
Maltego
Dieses Tool zur Datenkorrelation und visuellen Analyse dient dazu, Beziehungen zwischen Personen, Gruppen, Organisationen, Websites, Internetinfrastrukturen, Social Networks und anderen visuell darzustellen. Die Visualisierung komplexer Zusammenhänge schärft den Blick für das große Ganze, das Informationen miteinander verbindet.
Google Dorks (Erweiterte Google-Suchbefehle)
Durch die Kombination erweiterter Befehle kann die Suchfunktion von Google detaillierte Informationen und spezifische Daten extrahieren, die mit normalen Suchanfragen nicht abgerufen werden können. Ein solcher Einsatz der Suchfunktion wird als „Google Dorks“ bezeichnet. Indexierte Informationen werden in den Suchergebnissen angezeigt. Mit dieser Funktion können Sie überprüfen, ob Ihr Unternehmen versehentlich Informationen veröffentlicht hat, die der Öffentlichkeit nicht zugänglich sein sollten.
Beispiele für Suchanfragen, die von Google Dorks verwendet werden:
cache: Die im Cache von Google gespeicherte Version einer bestimmten Webseite anzeigen
filetype: Dokumente in einem bestimmten Dateiformat anzeigen
imagesize: Bild einer bestimmten Größe anzeigen
site: Etwas anzeigen, das nur auf bestimmten Websites vorkommt
inurl: Seiten anzeigen, die ein bestimmtes Wort in der URL enthalten
- intitle: Webseiten anzeigen, die ein bestimmtes Wort im Seitentitel enthalten
Wichtige Überlegungen bei der Verwendung von OSINT
Bisher ging es um die Bedeutung von OSINT und die dafür verwendeten Tools. Bei der Verwendung von OSINT sollten Sie jedoch Folgendes beachten:
- Zuverlässigkeit und Genauigkeit von Informationen: Auch wenn öffentliche Informationen als primäre Datenquelle dienen, sollten Sie die Zuverlässigkeit und Genauigkeit dieser Daten stets überprüfen. Nur weil eine Quelle öffentlich ist, bedeutet dies nicht, dass der Inhalt korrekt ist. Daher ist es besonders wichtig, auf Desinformationen und Fehlinformationen zu achten.
- Kontinuierliche Aktualisierung und Verwaltung von Informationen: Informationen, die über OSINT gewonnen werden, können im Lauf der Zeit veraltet sein. Daher müssen sie regelmäßig aktualisiert und auf ihre Gültigkeit überprüft werden. Aufgrund der Menge der gesammelten Daten ist außerdem ein effektives Datenmanagementsystem wichtig, mit dem diese Daten organisiert und zugänglich bleiben.
- Rechtliche und ethische Überlegungen: Angesichts dieser Vorsichtsmaßnahmen sollten im Voraus klare Richtlinien festgelegt werden, wenn der Einsatz von OSINT in einem Unternehmen gefördert werden soll. Darüber hinaus sind Fachkenntnisse für die Erfassung und Auswahl von OSINT-Informationen erforderlich. Der Austausch von Informationen wie Best Practices innerhalb eines Unternehmens kann Unternehmen dabei helfen, die Nutzung von OSINT effizienter zu fördern.
Trend Micro OSINT Recherche
Trend Micro erstellt Forschungsberichte mit wichtigen Trends in der Ransomware-Bedrohungslandschaft und nutzt dafür Open-Source Intelligence (OSINT).
Die Daten von OSINT werden zusammen mit Daten von RaaS und den Leak-Seiten von Erpressergruppen verwendet.
Eine aktuelle Studie aus dem Research, die dank der Open-Source-Intelligence (OSINT) von Trend Micro erstellt wurde, befasst sich eingehend mit den Entwicklungen im Bereich Ransomware in der zweiten Jahreshälfte 2023. Der Schwerpunkt liegt dabei auf den Familien, die für die meisten Angriffe verantwortlich sind: LockBit,BlackCat und Clop.
Gründe für Trend Vision One™ – Cloud Security
Cloud Security erweitert den Schutz von Rechenzentren auf Cloud-Workloads, Anwendungen und Cloud-native Architekturen. Die Lösung bietet plattformbasierenden Schutz, Risikomanagement und Multi-Cloud Detection and Response.
Wechseln Sie von isolierten Einzelprodukten zu einer Cybersicherheitsplattform mit beispielloser Funktionsbreite und -tiefe, darunter CSPM,CNAPP, CWP, CIEM, EASM und mehr. Viel mehr.
Verabschieden Sie sich von fragmentarischen Erkenntnissen und Bestandsaufnahmen. Eine Konsole mit nativen Sensoren und Drittanbieterquellen bietet umfassende Transparenz in Hybrid- und Multi-Clouds. So lässt sich bestimmen, welche Assets bei Angriffen ausgenutzt werden können.
Setzen Sie auf die erste Cybersicherheitsplattform, die Risiken für lokale und Cloud-Assets anhand der Wahrscheinlichkeit potenzieller Auswirkungen von Angriffen bewertet und priorisiert. Ordnen Sie das Risiko mehrerer Datenquellen einem einzelnen Index zu, um Ihre Verbesserungen zu überwachen.
Scott Sargeant, Vice President of Product Management, ist ein erfahrener Technologieexperte Er blickt auf über 25 Jahre Erfahrung in der Bereitstellung von Enterprise-Class-Lösungen im Bereich Cybersicherheit und IT zurück.
Häufig gestellte Fragen (FAQs)
Was ist OSINT Open Source Intelligence?
OSINT ist die Gewinnung von Informationen aus öffentlich zugänglichen Quellen, um sicherheitsrelevante Erkenntnisse, Bedrohungsanalysen und investigative Unterstützung bereitzustellen.
Wie funktioniert OSINT?
OSINT funktioniert durch Sammeln, Analysieren und Überprüfen öffentlich verfügbarer Daten aus Online‑Quellen, Datenbanken, Medien und offenen Netzwerken.
Wie wird Open Source Intelligence genutzt?
Open Source Intelligence unterstützt Cybersicherheit, Ermittlungen, Wettbewerbsanalysen und Risikobewertungen durch Nutzung verifizierbarer, öffentlich zugänglicher Informationen.
Was ist der Unterschied zwischen passivem und aktivem OSINT?
Passives OSINT sammelt Daten ohne Interaktion, während aktives OSINT direkt mit Quellen interagiert und potenziell digitale Spuren hinterlässt.
Was sind die Vorteile und Herausforderungen von Open Source Intelligence?
OSINT bietet kostengünstige Transparenz, steht jedoch Herausforderungen wie Datenüberflutung, Verifizierungsproblemen, rechtlichen Grenzen und schnell verändernden Informationsquellen gegenüber.