Policy da conoscere
Open-Source Intelligence – Preziosa fonte di informazioni per gli specialisti IT così come per i criminali informatici
L'uso dell'open-source intelligence (OSINT) sta diventando sempre più importante all'interno dei dipartimenti di sicurezza informatica. L'OSINT comprende l'acquisizione, la raccolta, l'analisi e il consolidamento delle informazioni disponibili da fonti pubbliche come Internet.
L'OSINT fornisce una grande opportunità per i team di sicurezza IT di utilizzare fonti pubblicamente disponibili per rintracciare dati interni che non dovrebbero essere pubblici - tra cui, ad esempio, porte aperte e dispositivi in rete - e a prendere provvedimenti per rimediare alla situazione.
Il problema è che mentre l'OSINT è una grande fonte di dati e informazioni per gli amministratori IT e altri professionisti che supervisionano la sicurezza IT dell'azienda, aiuta anche i criminali informatici che possono usare questa intelligence pubblica e open-source per ottenere informazioni nel tentativo di attaccare l'azienda.
In questo articolo imparerai:
- Quali strumenti di OSINT esistono e a cosa servono?
- L'OSINT è legale?
- Come gli hacker usano l'OSINT?
- In che modo i team di sicurezza usano l'OSINT per aumentare la sicurezza informatica dell'azienda?
- Cosa devo considerare se voglio usare l'OSINT come parte della gestione del rischio informatico?
Al giorno d'oggi, i gruppi di hacker sono più sofisticati che mai, a causa delle enormi risorse finanziarie e umane a loro disposizione. Tuttavia, prima di procedere all'attacco vero e proprio, devono fare i loro "compiti a casa", spiando le loro vittime e raccogliendo quante più informazioni possibili in modo da essere in grado di identificare i punti deboli dell'obiettivo. Il modo più semplice per farlo? Passare attraverso la più grande fonte di informazioni del mondo, il World Wide Web.
Dai mass media e dai canali dei social media ai dati pubblici come i rapporti del governo, i dati commerciali o le informazioni facilmente ricercabili dai motori di ricerca, ci sono un sacco di posti dove gli attaccanti possono ottenere informazioni su quasi tutti gli argomenti. Internet è una fonte quasi infinita che i criminali informatici possono facilmente sfruttare.
Anche se lo scopo, il quadro giuridico e l'intenzione di utilizzo differiscono, grazie all'OSINT sia gli specialisti della sicurezza informatica che i criminali informatici spesso utilizzano le stesse fonti di informazione. Se trasformiamo questo fatto in una metafora, l'open-source intelligence è approssimativamente paragonabile a un deposito di armi dove sia gli agenti di polizia che i gangster si procurano le loro armi.
Quali strumenti di OSINT sono presenti sul mercato e per quale scopo possono essere utilizzati?
- Shodan , per esempio, può essere utilizzato per individuare dispositivi IoT, sistemi OT (tecnologia operativa) e porte aperte.
- Maltego è uno strumento che aiuta a identificare le relazioni nascoste tra persone, domini, aziende, proprietari di documenti e altre entità. Le informazioni vengono poi visualizzate tramite un'interfaccia utente intuitiva.
- Metagoofil è uno strumento per estrarre metadati da documenti pubblicamente disponibili, fornisce informazioni cruciali sui sistemi IT (nomi utente, versioni del software, indirizzi MAC, ecc.)
- TheHarvester, uno degli strumenti di OSINT più diffusi e facili da usare, consente di vedere ciò che un attaccante può vedere sulla vostra organizzazione, compresi i sottodomini, gli host, le e-mail e le porte aperte. TheHarvester non analizza solo Google e Bing, ma anche motori di ricerca meno noti come DNSDumpster o il motore di ricerca di metadati Exalead.
L'OSINT è legale?
Come già spiegato, l'OSINT può identificare informazioni pubbliche e liberamente accessibili. Da questo punto di vista, è completamente legale nella maggior parte dei paesi occidentali. Tuttavia, si dovrebbe essere cauti quando si tratta di requisiti di protezione dei dati. Questi due esempi illustrano questo punto: raccogliere dati protetti da password o qualsiasi altro dato non pubblico è illegale, e l'uso di informazioni reperite dai social network viola i termini d'uso della maggior parte delle piattaforme.
Come gli hacker usano l'OSINT nei loro attacchi?
I criminali informatici cercano di identificare le fonti di dati rilevanti per sviluppare metodi di attacco corrispondenti - idealmente, senza lasciare tracce. Non è raro che i criminali informatici sfruttino le moderne tecnologie di informazione e comunicazione che automatizzano questi compiti.
Esempio 1: Spear-Phishing
I motori di ricerca come Google eccellono nell'usare internet per cercare informazioni personali e professionali sulle persone. Lo stesso fanno i social network orientati alla carriera come LinkedIn.
Ma anche altri canali di social media offrono dettagli utili (come i nomi di animali domestici e parenti) che possono essere utilizzati per crackare le password. I dati ottenuti in questo modo possono essere utilizzati per identificare obiettivi preziosi come i dipendenti con accesso a informazioni aziendali riservate.
Esempio 2: Vulnerabilità di sicurezza
Con l'aiuto dell'OSINT, gli aggressori cercano lacune nella sicurezza, come dispositivi senza patch, porte aperte, cloud storage mal configurati o anche informazioni pubblicate accidentalmente, per identificare potenziali obiettivi.
E come gli specialisti IT usano l'OSINT per proteggere la propria azienda?
Quando si usa l'OSINT, i team di sicurezza aziendale mirano principalmente a prendere coscienza delle informazioni pubblicamente accessibili sui propri sistemi IT, con lo scopo di colmare le lacune di sicurezza. Queste includono:
- Porte aperte e dispositivi di rete insicuri
- Software non protetto da patch
- Informazioni sui dispositivi e sul software che usano, come versioni del software, nomi di dispositivi, reti e indirizzi IP
L'OSINT è anche utile per i manager IT, aiutandoli a identificare le informazioni pubbliche al di fuori dell'azienda, come il contenuto sui siti web e sui social media. Inoltre, possono ottenere informazioni da siti web e file non indicizzati, che sono anche chiamati deep web. Anche se non appaiono nei risultati di ricerca, sono tecnicamente pubblici e quindi accessibili tramite strumenti OSINT.
Se volete usare OSINT come parte della tua gestione del rischio informatico, dovresti definire una chiara strategia in anticipo e rispondere alle seguenti domande:
• Vuoi identificare le vulnerabilità della rete e del software?
• Vuoi identificare le risorse pubblicamente disponibili che possono essere utilizzate dagli hacker per selezionare i vettori di attacco appropriat
• Vuoi scoprire se ci sono rischi associati ai post che i dipendenti condividono sui social media?
Oltre alle importanti misure di protezione degli endpoint, come l'utilizzo di una soluzione antivirus, firewall o sandboxing nel cloud, nonché la formazione regolare di tutti i dipendenti dell'azienda, le strategie legate all'OSINT possono aggiungere un prezioso livello di sicurezza alla vostra organizzazione
Iscriviti alla newsletter
Mantieni al sicuro il tuo percorso ricevendo più articoli relativi alla sicurezza dei dati
Voglio ricevere suggerimenti su offerte speciali, sconti ed informazioni utili nelle modalità riportate nella Policy Privacy.