OSINT, ou Open Source Intelligence, é o processo de coletar, avaliar e analisar informações publicamente disponíveis para extrair insights valiosos.
Índice
Significado de Open Source Intelligence (OSINT)
O OSINT em Cibersegurança pode ser usado por especialistas em segurança ou criminosos cibernéticos. Originalmente parte das atividades de inteligência militar, era usado em paralelo com SIGINT (Signal Intelligence: intelligence por meio de interceção de comunicação) e HUMINT (Human Intelligence: intelligence por meio de informações humanas) e era usado para formulação de estratégias de segurança nacional e militar. Atualmente, o OSINT se espalhou para o setor privado e é usado diariamente por muitas empresas e organizações sem fins lucrativos.
As informações públicas coletadas pelo OSINT são diversas. Inclui informações divulgadas pelo governo, informações amplamente acessíveis na Internet, livros e artigos de notícias, etc.
O Que Significa OSINT?
OSINT significa Open-Source Intelligence. Refere-se à coleta e análise de informações publicamente disponíveis de fontes como websites, mídias sociais, artigos de notícias e registos públicos para reunir intelligence para Cibersegurança, investigações e análise de ameaças.
Como o OSINT funciona
Para utilizar o OSINT, é primeiro necessário entender o processo. Coletar e analisar informações públicas é apenas uma etapa no processo, e não é um processo completo. A série de etapas no OSINT, que envolve planejar e converter cuidadosamente as informações coletadas em intelligence significativa, é chamada de ciclo de intelligence.
Em termos do ciclo de intelligence, estes são os processos pelos quais as atividades de OSINT são realizadas como parte das medidas de Cibersegurança de uma empresa para combater ameaças cibernéticas.
Planejamento
Nesta fase, você avalia as ameaças de segurança e os Riscos Cibernéticos que sua empresa enfrenta, identifica as informações de que precisa e define objetivos e prioridades para a coleta dessas informações.
Coleta
Em seguida, com base nas informações especificadas, os dados são coletados de fontes públicas, o que pode incluir potencialmente a Daewoo web, mídia social, blogs de segurança especializados e sites de notícias, vulnerabilidades públicas (CVEs), etc. Este processo também pode envolver o uso de ferramentas OSINT dedicadas e técnicas de raspagem da web.
Processamento
As informações coletadas são muito volumosas e não estruturadas, por isso precisam ser processadas e convertidas em um formato adequado para análise, onde os dados são filtrados, padronizados e informações sem importância são removidas. O processamento eficaz de dados nesta fase determina de forma crítica a qualidade da análise subsequente.
Análise
Os dados são então submetidos a uma análise de ameaças, que inclui identificar vulnerabilidades que os agentes cibernéticos podem usar, identificar padrões de ataque e prever a intenção e os recursos dos agentes. A partir da análise, as empresas podem entender as ameaças específicas e suas contramedidas, priorizá-las e desenvolver um plano de resposta.
Compartilhamento
Finalmente, o threat intelligence gerado é compartilhado com os cloud decision-makers relevantes (departamentos de TI, gerentes) e, às vezes, com colegas em outros setores ou agências governamentais. O ciclo de inteligência pode continuar com base no feedback dos tomadores de decisão. É importante ter em mente que o papel da intelligence não é apenas coletar informações, mas usá-las de forma eficaz e contribuir para alcançar os objetivos da organização. Para isso, a comunicação com os tomadores de decisão é essencial, desde o planejamento até o compartilhamento. É importante também estar sempre ciente do que os tomadores de decisão desejam.
Ferramentas para OSINT em Ameaças Cibernéticas
Recentemente, as ferramentas OSINT para ameaças cibernéticas se tornaram mais e mais sofisticadas, tornando possível reunir as informações necessárias com eficiência. Aqui estão algumas das ferramentas OSINT que são amplamente utilizadas.
Shodan
Um mecanismo de busca que pode procurar por dispositivos conectados à Internet que não seriam encontrados em uma busca geral na web (como a busca do Google). Ele coleta números de porta, endereços IP e informações de localização de servidores publicamente disponíveis e dispositivos IoT. Pode ser usado para verificar informações de vulnerabilidade e controle de acesso.
Maltego
Uma ferramenta de análise de dados, correlação e visualização que permite mapear visualmente relacionamentos entre pessoas, grupos, organizações, sites, infraestrutura de internet, redes sociais, etc. Ela ajuda a entender o quadro geral que conecta informações, visualizando relacionamentos complexos.
Google Dorks (Advanced Google Search Commands)
Ao combinar comandos avançados, a função de busca fornecida pelo Google pode extrair eficientemente informações detalhadas e dados específicos que não podem ser obtidos por buscas normais. Tal uso da função de busca é chamado de "Google Dorks," e a informação indexada é exibida nos resultados da busca. Usando esta função, você pode verificar se sua organização publicou acidentalmente informações que não deveriam ser públicas.
Exemplos de consultas de busca usadas pelo Google Dorks
cache: Visualizar a versão em cache do Google de uma página web específica
filetype: Visualizar documentos em um formato de arquivo específico
imagesize: Exibir uma imagem de um tamanho específico
site: Exibido apenas em sites específicos
inurl: Exibir páginas que contêm uma palavra específica na URL
- Intitle: Exibir páginas web que contêm uma palavra específica no título da página
Principais considerações ao utilizar o OSINT
Até agora, apresentámos o significado do OSINT e as ferramentas que utiliza, mas ao usar o OSINT, deve ter em atenção o seguinte:
Confiabilidade e precisão da informação
Usamos a informação pública como a nossa principal fonte de dados, mas deve sempre verificar a confiabilidade e a precisão dessa informação. O simples fato de uma fonte ser pública não significa que seu conteúdo seja preciso, por isso é especialmente importante estar atento à desinformação e à informação errônea.
Atualização e gestão contínua da informação
A informação obtida através do OSINT pode tornar-se desatualizada com o tempo, por isso precisa de ser atualizada regularmente e a sua validade continuamente avaliada. Além disso, devido ao volume de dados recolhidos, é importante ter um sistema de gestão de dados eficaz para os manter organizados e acessíveis.
Considerações legais e éticas
Tendo estas precauções em conta, devem ser estabelecidas políticas claras com antecedência ao promover o uso do OSINT numa organização. Além disso, é necessário conhecimento especializado (know-how) para recolher e selecionar informação OSINT. Partilhar informação como as melhores práticas dentro de uma organização pode ajudar as organizações a promover o uso do OSINT de forma mais eficiente.
Trend Micro's open-source intelligence (OSINT)
Na Trend Micro, usando o open-source intelligence (OSINT) da Trend Micro, criamos relatórios de pesquisa com palavras-chave nas tendências da ameaça ransomware.
Usamos os dados do OSINT juntamente com dados de Raas e grupos de extorsão ' leak sites.
Numa pesquisa recente criada graças ao open-source intelligence (OSINT) da Trend Micro, discutimos em profundidade o nosso monitoramento do panorama do ransomware durante a segunda metade de 2023, com foco nas famílias responsáveis pelo maior número de ataques: LockBit, BlackCat, e Clop.
Por que escolher Trend Vision One™ – Cloud Security?
Avançando a segurança dos data centers para workloads em nuvem, aplicações e arquiteturas nativas em nuvem, o Cloud Security oferece proteção baseada em plataforma, gerenciamento de riscos e detecção e resposta multi-cloud.
Mude de produtos pontuais desconectados para uma plataforma de cibersegurança com amplitude e profundidade incomparáveis de recursos, incluindo CSPM, CNAPP, CWP, CIEM, EASM e muito mais. Muito mais.
Diga adeus à descoberta e inventário fragmentados. Um console único com sensores nativos e fontes de terceiros oferece visibilidade abrangente em ambientes híbridos e multi-cloud para determinar quais ativos podem estar expostos a ataques.
A primeira plataforma de cibersegurança a avaliar e priorizar o risco em ativos locais e em nuvem com base na probabilidade de impacto potencial de ataques. Mapeie o risco de múltiplas fontes de dados em um único índice para ajudar a monitorar suas melhorias.
Scott Sargeant, Vice-Presidente de Gerenciamento de Produto, é um experiente líder em tecnologia com mais de 25 anos de experiência em fornecer soluções corporativas em todo o cenário de Cibersegurança e TI.