OSINT veya Açık Kaynaklı İstihbarat, değerli içgörüleri elde etmek için kamuya açık bilgileri toplama, değerlendirme ve analiz etme sürecidir.
İçindekiler
Açık Kaynak İstihbaratı (OSINT) Anlamı
Siber güvenlikte OSINT, güvenlik uzmanları veya siber suçlular tarafından kullanılabilir. İlk olarak askeri istihbarat faaliyetlerinin bir parçası olarak, SIGINT (Sinyal İstihbaratı: iletişimin durdurulması yoluyla istihbarat) ve HUMINT (İnsan İstihbaratı: insan bilgileri yoluyla istihbarat) ile paralel olarak kullanıldı ve ulusal güvenlik ve askeri strateji formülasyonu için kullanıldı. OSINT şu anda özel sektöre yayılmıştır ve birçok şirket ve kâr amacı gütmeyen kuruluş tarafından günlük olarak kullanılmaktadır.
OSINT tarafından toplanan kamuya açık bilgiler çeşitlidir. Devlet tarafından yayınlanan bilgileri, internetten, kitaplardan ve haber makalelerinden vb. geniş çapta erişilebilen bilgileri içerir.
OSINT Neyi Destekler?
OSINT, Açık Kaynaklı İstihbarat anlamına gelir. Siber güvenlik, soruşturmalar ve tehdit analizi için istihbarat toplamak amacıyla web siteleri, sosyal medya, haber makaleleri ve kamu kayıtları gibi kaynaklardan kamuya açık bilgilerin toplanmasını ve analizini ifade eder.
OSINT nasıl çalışır
OSINT'i kullanmak için öncelikle sürecin anlaşılması gerekir. Halka açık bilgilerin toplanması ve analiz edilmesi, sürecin yalnızca bir adımıdır ve eksiksiz bir süreç değildir. Toplanan bilgilerin dikkatli bir şekilde planlanmasını ve anlamlı istihbarata dönüştürülmesini içeren OSINT'teki adımlara istihbarat döngüsü adı verilir.
İstihbarat döngüsü açısından bunlar, bir şirketin siber güvenlik önlemlerinin bir parçası olarak siber tehditlerle mücadele etmek için OSINT faaliyetlerinin yürütüldüğü süreçlerdir.
Planlama
Bu aşamada, şirketinizin karşılaştığı güvenlik tehditlerini ve risklerini değerlendirir, hangi bilgilere ihtiyacınız olduğunu belirler ve bu bilgileri toplamak için hedefler ve öncelikler belirlersiniz.
Koleksiyon
Ardından, belirtilen bilgi ihtiyaçlarına dayalı olarak, Daewoo webini, sosyal medyayı, özel güvenlik bloglarını ve haber sitelerini, genel güvenlik açığı veritabanlarını (CVE'ler) vb. içerebilecek halka açık kaynaklardan veriler toplanır. Bu süreç ayrıca özel OSINT araçlarının ve web kazıma tekniklerinin kullanımını da içerebilir.
İşleme
Toplanan bilgiler çok hacimlidir ve yapılandırılmamıştır, bu nedenle verilerin filtrelendiği, standartlaştırıldığı ve önemsiz bilgilerin kaldırıldığı analiz için uygun bir forma dönüştürülmesi gerekir. Bu aşamada etkili veri işleme, sonraki analizin kalitesini büyük ölçüde belirler.
Analiz
Veriler daha sonra siber saldırganların kullanabileceği güvenlik açıklarının belirlenmesini, saldırı modellerinin belirlenmesini ve saldırganların niyet ve yeteneklerinin tahmin edilmesini içeren bir tehdit analizine tabi tutulur. Analizden, şirketler belirli tehditleri ve karşı önlemleri anlayabilir, bunlara öncelik verebilir ve bir müdahale planı geliştirebilir.
Paylaşma
Son olarak, oluşturulan tehdit istihbaratı ilgili karar vericilerle (BT departmanları, yönetim ve bazen diğer sektörlerdeki veya devlet kurumlarındaki meslektaşlar) paylaşılır. İstihbarat döngüsü, karar vericilerin geri bildirimlerine bağlı olarak devam edebilir. İstihbaratın rolünün sadece bilgi toplamak değil, aynı zamanda bu bilgileri etkili bir şekilde kullanmak ve kuruluşun hedeflerine ulaşmasına katkıda bulunmak olduğunu unutmamak önemlidir. Bunu yapmak için, planlamadan paylaşıma kadar karar vericilerle iletişim çok önemlidir. Ayrıca, karar vericilerin ne istediğinin her zaman farkında olmak da önemlidir.
Siber Tehditlerde OSINT için Araçlar
Son zamanlarda, siber tehditlere yönelik OSINT araçları giderek daha karmaşık hale gelerek gerekli bilgileri verimli bir şekilde toplamayı mümkün kılıyor. İşte günümüzde gerçekten yaygın olarak kullanılan bazı OSINT araçları.
Shodan
Genel bir web aramasında (Google kullanarak arama yapmak gibi) bulunamayacak, İnternete bağlı cihazları arayabilen bir arama motorudur. Halka açık sunucuların ve IoT cihazlarının bağlantı noktası numaralarını, IP adreslerini ve konum bilgilerini toplar. Güvenlik açığı bilgilerini ve erişim kontrolünü kontrol etmek için kullanılabilir.
Maltego
Kişiler, gruplar, kuruluşlar, web siteleri, internet altyapısı, sosyal ağlar vb. arasındaki ilişkileri görsel olarak haritalandırmanıza olanak tanıyan bir veri korelasyonu ve görsel analiz aracı. Karmaşık ilişkileri görselleştirerek bilgileri birbirine bağlayan büyük resmi anlamanıza yardımcı olur.
Google Dorks (Gelişmiş Google Arama Komutları)
Gelişmiş komutları birleştirerek, Google tarafından sağlanan arama işlevi, normal aramalarla elde edilemeyen ayrıntılı bilgileri ve belirli verileri verimli bir şekilde çıkarabilir. Arama işlevinin bu şekilde kullanımı "Google Dorks" olarak adlandırılır ve dizinli bilgiler arama sonuçlarında görüntülenir. Bu işlevi kullanarak, kuruluşunuzun yanlışlıkla kamuya açıklanmaması gereken bilgileri yayınlayıp yayınlamadığını kontrol edebilirsiniz.
Google Dorks tarafından kullanılan arama sorgularına örnekler
cache: Belirli bir web sayfasının Google tarafından önbelleğe alınmış (cached) sürümünü görüntüler.
filetype: Belirli bir dosya formatındaki belgeleri görüntüler
imagesize: Belirli bir boyuttaki görselleri gösterir.
site: Yalnızca belirli web sitelerinde görüntülenir
inurl: URL’sinde belirli bir kelime geçen sayfaları görüntüler
- Intitle: Sayfa başlığında (title) belirli bir kelime bulunan web sayfalarını görüntüler
OSINT'i kullanırken dikkat edilmesi gereken önemli hususlar
Şimdiye kadar, OSINT'in anlamını ve kullandığı araçları tanıttık, ancak OSINT'i kullanırken aşağıdakilerin farkında olmalısınız:
Bilgilerin güvenilirliği ve doğruluğu
Kamuya açık bilgileri birincil veri kaynağımız olarak kullanıyoruz, ancak her zaman bu bilgilerin güvenilirliğini ve doğruluğunu doğrulamalısınız. Bir kaynağın kamuya açık olması, içeriğin doğru olduğu anlamına gelmez, bu nedenle deminformasyona ve yanlış bilgilere karşı dikkatli olmak özellikle önemlidir.
Bilgilerin sürekli güncellenmesi ve yönetimi
OSINT aracılığıyla elde edilen bilgiler zaman içinde eskiyebilir, bu nedenle düzenli olarak güncellenmesi ve geçerliliğinin sürekli olarak değerlendirilmesi gerekir. Ayrıca, toplanan verilerin hacmi nedeniyle, verileri düzenli ve erişilebilir tutmak için etkili bir veri yönetim sistemine sahip olmak önemlidir.
Yasal ve etik hususlar
Bu önlemler dikkate alınarak, OSINT'in bir kuruluşta kullanımını teşvik ederken önceden açık politikalar belirlenmelidir. Buna ek olarak, OSINT bilgilerini toplamak ve seçmek için bilgi birikimi gereklidir. Bir kuruluş içinde en iyi uygulamalar gibi bilgilerin paylaşılması, kuruluşların OSINT kullanımını daha verimli bir şekilde teşvik etmesine yardımcı olabilir.
Trend Micro’nun açık kaynaklı istihbaratı (OSINT)
Trend Micro’da, Trend Micro’nun açık kaynak istihbaratı (OSINT) kullanılarak fidye yazılımı (ransomware) tehdit ortamındaki temel eğilimleri ortaya koyan araştırma raporları hazırlanır.
OSINT verilerini, RaaS (Ransomware-as-a-Service) ve fidye/şantaj gruplarının sızıntı (leak) sitelerinden elde edilen verilerle birlikte kullanırız.
Trend Micro’nun OSINT yetkinlikleri sayesinde hazırlanan yakın tarihli bir araştırmada, 2023’ün ikinci yarısında fidye yazılımı ekosisteminin izlenmesini derinlemesine ele aldık ve en fazla saldırıdan sorumlu ailelere odaklandık: LockBit, BlackCat ve Clop.
Neden Trend Vision One™ – Cloud Security çözümünü tercih etmeli?
Veri merkezlerinden bulut iş yüklerine, uygulamalara ve buluta özgü mimarilere kadar güvenliği geliştiren Bulut Güvenliği, platform tabanlı koruma, risk yönetimi ve çoklu bulut tespiti ve müdahalesi sağlıyor.
Birbirinden kopuk nokta ürünlerinden; CSPM, CNAPP, CWP, CIEM, EASM ve daha fazlasını kapsayan, benzersiz genişlik ve derinlikte yeteneklere sahip birleşik bir siber güvenlik platformuna geçişi mümkün kılar. Çok daha fazlası.
Parçalara ayrılmış keşif ve envantere elveda deyin. Yerel sensörlere ve üçüncü taraf kaynaklara sahip tek bir konsol, hangi varlıkların saldırılara maruz kalabileceğini belirlemek için kapsamlı hibrit ve çoklu bulut görünürlüğü sağlar.
Şirket içi ve bulut varlıklardaki riski, saldırıların potansiyel etki olasılığına göre değerlendiren ve önceliklendiren ilk siber güvenlik platformu. İyileştirmelerinizi izlemeye yardımcı olmak için birden fazla veri kaynağının riskini tek bir endekste eşleştirin.
Scott Sargeant, Trend Micro’da Ürün Yönetimi Başkan Yardımcısıdır ve siber güvenlik ile BT alanında kurumsal düzeyde çözümler sunma konusunda 25 yılı aşkın deneyime sahip köklü bir teknoloji lideridir.