Er du fan af fitness-fokuserede sociale netværksapps såsom Strava? Du er ikke alene. Selv militært personel nyder at spore og dele deres løbeture. Det lyder godt, bortset fra at alle aktivitets- og GPS-data, som Strava-appen indsamler og udgiver, uvægerligt afslører den præcise placering af militærbaser.
Du kan blive overrasket over at se den slags information, der er offentligt tilgængelig på internettet i dag. Men det burde ikke være en overraskelse, i betragtning af hvordan vi lever i dagene med overdeling. Vi annoncerer på Twitter og e-mailer autosvar om vores ferieplaner, og inviterer i det væsentlige røvere. Sikkerhedsprofessionelle kalder det OSINT (open source intelligens), og angribere bruger det hele tiden til at identificere og udnytte sårbarheder i processer, teknologier og mennesker. OSINT-data er normalt nemme at indsamle, og processen er usynlig for målet. (Derfor bruger militær efterretningstjeneste det sammen med andre OSINT-værktøjer som HUMIT, ELINT og SATINT.)
Den gode nyhed? Du kan trykke på OSINT for at beskytte dine brugere. Men først skal du forstå, hvordan angribere udnytter OSINT til tilstrækkeligt at evaluere omfanget af din angrebsflade og styrke dit forsvar i overensstemmelse hermed.
OSINT er et ældgammelt koncept. Traditionelt blev open source-efterretninger indsamlet gennem tv, radio og aviser. I dag findes sådanne oplysninger overalt på internettet, herunder:
· Sociale og professionelle netværk som Facebook, Instagram og LinkedIn
· Offentlige profiler på dating-apps
· Interaktive kort
· Sundheds- og fitnesstrackere
· OSINT-værktøjer som Censys og Shodan
Al denne offentligt tilgængelige information hjælper folk med at dele eventyr med venner, finde obskure steder, holde styr på medicin og finde drømmejob og endda sjælevenner. Men der er også en anden side af det. Uvidende potentielle mål er denne information lige så bekvem tilgængelig for svindlere og cyberkriminelle.
For eksempel kan den samme ADS-B Exchange-app, som du bruger til at holde styr på din elskedes flyvninger i realtid, udnyttes af ondsindede aktører til at lokalisere deres mål og lave ondsindede planer.
Forståelse af de forskellige applikationer af OSINT
Open source-information er ikke kun tilgængelig for dem, den er beregnet til. Alle kan få adgang til og bruge det, inklusive regering og retshåndhævende myndigheder. På trods af at de er billige og let tilgængelige, bruger nationalstater og deres efterretningstjenester OSINT, fordi det giver god efterretning, når det gøres rigtigt. Og da det hele er frit tilgængelig information, er det meget svært at tilskrive adgang og udnyttelse til en enkelt enhed.
Ekstremistiske organisationer og terrorister kan bevæbne den samme open source-information for at indsamle så mange data om deres mål som muligt. Cyberkriminelle bruger også OSINT til at lave meget målrettede social engineering og spear phishing-angreb.
Virksomheder bruger open source-information til at analysere konkurrence, forudsige markedstendenser og identificere nye muligheder. Men selv enkeltpersoner udfører OSINT på et tidspunkt og af forskellige årsager. Uanset om det er at google en gammel ven eller en yndlingsberømthed, er det hele OSINT.
Sådan bruges flere OSINT-teknikker
Skiftet til at arbejde hjemmefra var uundgåeligt, men hele processen skulle fremskyndes, da COVID-19 ramte. At finde sårbarheder og data mod folk, der arbejder hjemmefra, uden for den traditionelle sikkerhedsomkreds af organisationer, er nogle gange kun en hurtig onlinesøgning væk.
Sociale netværkssider: Cyberkriminelle kan indsamle data som personlige interesser, tidligere præstationer, familieoplysninger og nuværende og endda fremtidige placeringer af medarbejdere, VP'er og ledere i deres målorganisationer. De kan senere bruge dette til at lave spear-phishing-beskeder, opkald og e-mails.
Google: Ondsindede brugere kan Google-oplysninger såsom standardadgangskoder til specifikke mærker og modeller af it-udstyr og IoT-enheder som routere, sikkerhedskameraer og hjemmetermostater.
GitHub: Et par naive søgninger på GitHub kan afsløre legitimationsoplysninger, hovednøgler, krypteringsnøgler og godkendelsestokens til apps, tjenester og cloud-ressourcer i delt, åben kildekode. Det berygtede Capital One-brud er et glimrende eksempel på et sådant angreb.
Google hacking: Også kendt som Google dorking, denne OSINT-teknik lader cyberkriminelle bruge avancerede Google-søgeteknikker til at finde sikkerhedssårbarheder i apps, specifikke oplysninger om enkeltpersoner, filer, der indeholder brugeroplysninger og mere.
Shodan og Censys: Shodan og Censys er søgeplatforme for internetforbundne enheder og industrielle kontrolsystemer og platforme. Søgeforespørgsler kan forfines for at finde specifikke enheder med kendte sårbarheder, tilgængelige elastiske søgedatabaser og mere.
Anvendelser af OSINT til forsvarspraksis
Virksomheder, der allerede bruger OSINT til at identificere muligheder og studere konkurrenter, skal udvide deres anvendelse af OSINT til cybersikkerhed.
OSINT-rammer, en samling af OSINT-værktøjer, er et godt udgangspunkt for virksomheder til at udnytte kraften i OSINT. Det hjælper penetrationstestere og sikkerhedsforskere med at opdage og indsamle frit tilgængelige og potentielt udnyttelige data.
Værktøjer som Censys og Shodan er også primært designet til pen-testning. De giver virksomheder mulighed for at identificere og sikre deres internetforbundne aktiver.
Overdeling af personlige data er problematisk for enkeltpersoner og de organisationer, de arbejder for. Virksomheder bør uddanne medarbejderne om sikker og ansvarlig brug af sociale medier.
Medarbejdernes cybersikkerhedsbevidsthedstræning bør i det mindste være en halvårlig virksomhed. Uanmeldte cyberangreb og phishing-simuleringer skal være en del af disse træningsworkshops.
