OSINT est une abréviation de « Open-Source Intelligence » et fait référence à une méthode de collecte, d’évaluation et d’analyse des informations publiquement disponibles pour générer des informations pour la prise de décision. Faisant à l'origine partie des activités de renseignement militaire, il a été utilisé en parallèle avec SIGINT (Signal Intelligence : intelligence through communication interception) et HUMINT (Human Intelligence : intelligence through human information) et a été utilisé pour la formulation de la stratégie de sécurité nationale et militaire. Actuellement, OSINT s'est étendu au secteur privé et est utilisé quotidiennement par de nombreuses entreprises et organisations à but non lucratif.
Les informations publiques collectées par OSINT sont diverses. Il comprend les informations publiées par le gouvernement, les informations largement accessibles à partir d’Internet, les livres et articles de presse, etc.
Pour utiliser OSINT, il est d'abord nécessaire de comprendre le processus. La collecte et l'analyse d'informations publiques ne sont qu'une étape du processus, et ce n'est pas un processus complet. La série d’étapes dans OSINT, qui implique une planification et une conversion minutieuses des informations collectées en renseignements significatifs, est appelée le cycle de renseignements.
En termes de cycle de veille, il s'agit des processus par lesquels les activités OSINT sont menées pour combattre les cybermenaces dans le cadre des mesures de cybersécurité d'une entreprise.
À cette étape, vous évaluez les menaces et les risques de sécurité auxquels votre entreprise est confrontée, identifiez les informations dont vous avez besoin et définissez des objectifs et des priorités pour collecter ces informations.
Ensuite, en fonction des besoins d’information spécifiés, les données sont collectées auprès de sources publiques, qui pourraient inclure le Web Daewoo, les réseaux sociaux, les blogs et sites d’actualités spécialisés en sécurité, les bases de données de vulnérabilité publiques (CVE), etc. Ce processus peut également impliquer l'utilisation d'outils OSINT dédiés et de techniques de web scraping.
Les informations collectées sont très volumineuses et non structurées, elles doivent donc être traitées et converties dans un formulaire approprié pour l’analyse, où les données sont filtrées, normalisées et les informations non importantes sont supprimées. Un traitement efficace des données à ce stade détermine grandement la qualité de l’analyse ultérieure.
Les données font ensuite l'objet d'une analyse des menaces, qui comprend l'identification des vulnérabilités que les cyberattaques peuvent utiliser, l'identification des schémas d'attaque et la prédiction de l'intention et des capacités des cyberattaques. À partir de l'analyse, les entreprises peuvent comprendre les menaces spécifiques et leurs contre-mesures, les hiérarchiser et développer un plan d'intervention.
Enfin, les renseignements générés sur les menaces sont partagés avec les décideurs pertinents (services informatiques, direction et parfois pairs dans d'autres secteurs ou agences gouvernementales). Le cycle de veille peut se poursuivre en fonction des commentaires des décideurs. Il est important de garder à l'esprit que le rôle de l'intelligence n'est pas seulement de collecter des informations, mais aussi d'utiliser ces informations efficacement et de contribuer à atteindre les objectifs de l'organisation. Pour ce faire, la communication avec les décideurs est essentielle, de la planification au partage. Il est également important de toujours être conscient de ce que veulent les décideurs.
Récemment, les outils OSINT pour les cybermenaces sont devenus de plus en plus sophistiqués, ce qui permet de recueillir efficacement les informations nécessaires. Voici quelques-uns des outils OSINT qui sont en fait largement utilisés.
Un moteur de recherche qui peut rechercher des appareils connectés à Internet qui ne se trouvent pas dans une recherche Web générale (comme la recherche à l’aide de Google). Il collecte les numéros de port, les adresses IP et les informations de localisation des serveurs et appareils IoT accessibles au public. Il peut être utilisé pour vérifier les informations sur les vulnérabilités et le contrôle d’accès.
Un outil de corrélation des données et d'analyse visuelle qui vous permet de cartographier visuellement les relations entre les personnes, les groupes, les organisations, les sites Web, l'infrastructure Internet, les réseaux sociaux, etc. Il vous aide à comprendre la vue d'ensemble qui relie les informations en visualisant des relations complexes.
En combinant des commandes avancées, la fonction de recherche fournie par Google peut extraire efficacement des informations détaillées et des données spécifiques qui ne peuvent pas être obtenues par des recherches normales. Une telle utilisation de la fonction de recherche est appelée « Google Dorks » et les informations indexées sont affichées dans les résultats de recherche. En utilisant cette fonction, vous pouvez vérifier si votre organisation a publié accidentellement des informations qui ne doivent pas être rendues publiques.
Exemples de requêtes de recherche utilisées par Google Dorks
Jusqu'à présent, nous avons introduit la signification d'OSINT et des outils qu'il utilise, mais lorsque vous utilisez OSINT, vous devez être conscient des éléments suivants :
Nous utilisons les informations publiques comme source de données principale, mais vous devez toujours vérifier la fiabilité et l’exactitude de ces informations. Ce n’est pas parce qu’une source est publique que le contenu est exact, il est donc particulièrement important d’être vigilant contre la désinformation et la désinformation.
Les informations obtenues grâce à OSINT peuvent devenir obsolètes au fil du temps. Elles doivent donc être régulièrement mises à jour et leur validité évaluée en continu. De plus, en raison du volume de données collectées, il est important d’avoir un système de gestion des données efficace pour les maintenir organisées et accessibles.
En tenant compte de ces précautions, des politiques claires doivent être définies à l’avance lors de la promotion de l’utilisation d’OSINT dans une organisation. En outre, le savoir-faire est requis pour collecter et sélectionner les informations OSINT. Le partage d'informations telles que les bonnes pratiques au sein d'une organisation peut aider les organisations à promouvoir l'utilisation d'OSINT plus efficacement.
Chez Trend Micro, grâce à l'intelligence open source (OSINT) de Trend Micro, nous créons des rapports de recherche avec les tendances clés dans le paysage des menaces de ransomware.
Nous utilisons les données d'OSINT, ainsi que les données des sites de fuite des groupes RaaS et d'extorsion, et Trend Micro elles utilisent le Smart Protection Network elles aussi.
Dans une étude récente créée grâce à l’intelligence open source (OSINT) de Trend Micro, nous avons discuté en profondeur de notre surveillance du paysage des ransomware au cours du deuxième semestre 2023, en mettant l’accent sur les familles responsables du plus grand nombre d’attaques : LockBit, BlackCat et Clop.
Trend Micro Cloud Security permet aux équipes de visualiser et de hiérarchiser les risques, ainsi que d’automatiser la détection et la réponse dans les environnements sur site, hybrides et multicloud.
Allez au-delà de la CNAPP pour obtenir une visibilité complète, hiérarchiser les risques et automatiser la réponse dans les environnements hybrides et multi-cloud.