Firmy a technologie

Jak využít OSINT k zabezpečení podniku?

10 min. čtení

Využívání zpravodajství z otevřených zdrojů (Open Source Intelligence - OSINT) nabývá v odděleních IT bezpečnosti stále většího významu. OSINT zahrnuje získávání, shromažďování, analýzu a konsolidaci informací, které jsou k dispozici z veřejně dostupných zdrojů, jako je internet, tisk, televize nebo rádio.

Pro IT bezpečnostní týmy představuje OSINT skvělou příležitost, jak vystopovat interní data, která nemají být veřejně dostupná - například otevřené porty a síťová zařízení. Spoustu informací, které by neměly být zveřejněny, lze nalézt také na sociálních sítích a webových stránkách. Nicméně OSINT je skvělým zdrojem dat a informací IT nejen pro IT správce a další odborníky, kteří dohlížejí na bezpečnost společnosti, ale také pro kyberzločince, kteří při pokusech o útok na firmu těží ze zpravodajských informací z otevřených zdrojů a využívají veřejné informace jako užitečnou databázi.

Útoky a Open Source Intelligence

V současnosti jsou hackerské skupiny sofistikovanější než kdykoli předtím, a to také díky obrovským finančním a lidským zdrojům, které mají k dispozici. Přesto než přistoupí k samotnému útoku, musí si udělat "domácí úkol". Své oběti se snaží špehovat a shromáždit co nejvíce informací, aby mohly identifikovat jejich slabá místa. Nejjednodušší způsob, jak toho dosáhnout? Projít největší světový zdroj informací - web.

Od hromadných sdělovacích prostředků a kanálů sociálních médií až po veřejná data, jako jsou vládní zprávy, komerční data nebo informace dostupné na internetu - útočníci mají mnoho možností, jak získat ucelený obrázek na téměř jakékoli téma. Internet je téměř nekonečný zdroj, který mohou kyberzločinci snadno využít. Stejně tak mohou také IT správci využívat veřejně dostupné zdroje ke zjištění informací o své společnosti, toho jak si stojí v oblasti IT bezpečnosti a další údaje, které jsou zbytečně dostupné online.

Díky OSINT používají specialisté IT bezpečnosti často stejné informační zdroje jako kyberzločinci, i když účel, právní rámec a záměr použití je odlišný. Situaci můžeme shrnout metaforou a přirovnat zpravodajství z otevřených zdrojů ke skladišti zbraní, kde si je obstarávají jak policisté, tak gangsteři.

Jaké nástroje OSINT jsou dostupné a k jakým účelům je lze použít?

  • Pomocí platformy Shodan je možné odhalit zařízení IoT, OT systémy (operační technologie) a otevřené porty.
  • Maltego je nástroj, který vám pomůže identifikovat skryté vztahy mezi osobami, doménami, společnostmi, vlastníky dokumentů a dalšími subjekty. Tyto informace jsou pak vizualizovány prostřednictvím intuitivního uživatelského rozhraní.
  • Metagoofil, nástroj pro extrakci metadat z veřejně dostupných dokumentů vám poskytne důležité informace o IT systémech (uživatelská jména, verze softwaru, MAC adresy apod.).
  • TheHarvester jako jeden z nejpoužívanějších nástrojů OSINT umožňuje zjistit, co může útočník vidět o vaší organizaci, včetně subdomén, hostitelů, e-mailů a otevřených portů. TheHarvester analyzuje nejen Google a Bing, ale také méně známé vyhledávače, jako je DNSDumpster nebo vyhledávač metadat Exalead.

 

Pro obránce je nejdůležitější, že bez ohledu na nástroj, který se používá ke shromažďování informací o obraně a jejímu testování, je vždy nutné dodržovat zásady penetračního testování vaší organizace a dodavatelů služby v případě, že testování outsourcujete.

Legální a etické aspekty OSINT

Jak již bylo vysvětleno, OSINT může identifikovat veřejné a volně přístupné informace. Z tohoto hlediska je ve většině západních zemí zcela legální. Měli byste však být obezřetní, pokud jde o požadavky na ochranu údajů.

Dva příklady mluví za vše: Shromažďování údajů chráněných heslem nebo jiných neveřejných údajů je nezákonné. Využívání informací ze sociálních sítí porušuje podmínky používání většiny platforem.

 

Využití OSINT při útocích

Kyberzločinci se snaží identifikovat relevantní zdroje dat, aby mohli provést útok odpovídajícím způsobem - v ideálním případě beze stop. Nezřídka útočníci využívají moderní informační a komunikační technologie, pomocí kterých své útoky automatizují.

Příklad 1: Spear-Phishing

Vyhledávače, jako je ten od Googlu, vynikají tím, že využívají internet k vyhledávání osobních a pracovních informací o lidech. K tomuto účelu se často a jednoduše používají kariérně orientované sociální sítě, jako jsou LinkedIn a XING.

Ale i další kanály sociálních sítí nabízejí užitečné informace (například jména domácích mazlíčků a příbuzných). Takové informace lze zenužít k prolomení hesel nebo k identifikaci důležitých cílů - většinou osob s vyšším oprávněním k uživatelským účtům nebo přístupem k důvěrným informacím.

Příklad 2: Bezpečnostní zranitelnosti

Pomocí Open Source Intelligence útočníci hledají bezpečnostní mezery, jako jsou neaktualizovaná zařízení, otevřené porty, špatně nakonfigurovaná cloudová úložiště nebo dokonce náhodně zveřejněné informace, aby identifikovali potenciální cíle.

Jak využít OSINT k zabezpečení podniku?

Zpravodajské informace z otevřených zdrojů používají firemní bezpečnostní týmy především ke zjištění toho, jaké informace o jejich IT systémech jsou veřejně dostupné, tak aby mohli odstarnit mezery ve své bezpečnosti. Mezi ně patří např:

  • Otevřené porty a nezabezpečená síťová zařízení
  • Neaktualní software
  • Informace o zařízeních a softwaru, které používají, jako jsou verze softwaru, názvy zařízení, sítě a IP adresy

OSINT je užitečný také pro IT manažery, kterým pomáhá identifikovat veřejné informace mimo společnost, například obsah na webových stránkách a na sociálních sítích. Kromě toho mohou získávat informace z neindexovaných webových stránek a souborů, které se také označují jako hlubinný web. Přestože se nezobrazují ve výsledcích vyhledávání, jsou technicky veřejné, a tudíž přístupné prostřednictvím OSINT nástrojů .

Analýza zpravodajství z otevřených zdrojů

Pokud chcete využívat Open Source Intelligence jako součást řízení kybernetických rizik, měli byste si předem stanovit jasnou strategii a zabývat se otázkami jako:

  • Chcete identifikovat zranitelnosti sítě a softwaru?
  • Chcete identifikovat veřejně dostupná aktiva, která mohou hackeři využít k výběru vhodných vektorů útoku na vaši společnost?
  • Chcete zjistit, zda existují nějaká rizika spojená s příspěvky, které zaměstnanci sdílejí na sociálních sítích?

Měli byste si také uvědomit, že během analýzy vzniká velké množství dat. Proto je zásadní, aby byl tento proces z velké části automatizovaný. Osvědčené jsou také pravidelné penetrační testy zohledňující informace z otevřených zdrojů.

Kromě důležitých opatření na ochranu koncových zařízení, jako je používání bezpečnostního řešení, brány firewall nebo cloudového sandboxu, a pravidelného školení všech zaměstnanců ve firmě by do vaší bezpečnostní strategie měly být začleněny také kroky týkající se OSINT.