Strava などのフィットネスに焦点を当てたソーシャル ネットワーキング アプリのファンですか。 あなたは一人じゃない。 軍人でさえ、ランニングの追跡と共有を楽しんでいます。 Strava アプリが収集して公開するすべてのアクティビティと GPS データが常に軍事基地の正確な位置を公開していることを除けば、それはすばらしいことのように思えます。
今日、インターネットで公開されている情報の種類を見て驚くかもしれません。 しかし、過剰共有の時代に私たちがどのように生きているかを考えると、それは驚くべきことではありません. 休暇の計画を Twitter や電子メールの自動応答で発表し、基本的に強盗を誘っています。 セキュリティ専門家はそれを呼んでいます OSINT (オープンソースインテリジェンス)、そして攻撃者はプロセス、テクノロジー、および人々の脆弱性を特定して悪用するために常にそれを使用しています. 通常、OSINT データは簡単に収集でき、プロセスはターゲットから見えません。 (したがって、軍事情報機関が HUMIT、ELINT、SATINT などの他の OSINT ツールと一緒に使用する理由です。)
良いニュース? OSINT をタップしてユーザーを保護できます。 ただし、最初に、攻撃者が OSINT をどのように悪用して攻撃対象領域の範囲を十分に評価し、それに応じて防御を強化するかを理解する必要があります。
OSINT は古くからの概念です。 従来、オープンソースの情報は、テレビ、ラジオ、新聞を通じて収集されていました。 今日、そのような情報はインターネット全体に存在します。
· Facebook、Instagram、LinkedIn などのソーシャルおよびプロフェッショナル ネットワーク
· 出会い系アプリの公開プロフィール
· インタラクティブ マップ
· 健康とフィットネスのトラッカー
・CensysやShodanなどのOSINTツール
この公開情報はすべて、人々が友人と冒険を共有したり、未知の場所を見つけたり、薬を追跡したり、夢の仕事やソウルメイトを見つけたりするのに役立ちます. しかし、それには別の側面もあります。 潜在的なターゲットには知られていないため、この情報は詐欺師やサイバー犯罪者にも簡単に入手できます。
たとえば、愛する人のフライトをリアルタイムで追跡するために使用しているのと同じ ADS-B Exchange アプリが、悪意のある攻撃者によって悪用されて、ターゲットを特定し、悪質な計画を作成する可能性があります。
OSINT のさまざまなアプリケーションを理解する
オープンソースの情報は、対象者だけが利用できるわけではありません。 政府機関や法執行機関を含め、誰でもアクセスして利用できます。 安価で簡単にアクセスできるにもかかわらず、国民国家とその諜報機関は OSINT を使用しています。 また、これらはすべて自由に入手できる情報であるため、アクセスと利用を XNUMX つのエンティティに帰することは非常に困難です。
過激派組織とテロリストは、同じオープンソース情報を武器にして、標的に関するデータをできるだけ多く収集することができます。 サイバー犯罪者は、OSINT を使用して、標的を絞ったソーシャル エンジニアリングやスピア フィッシング攻撃も作成します。
企業はオープンソース情報を使用して、競争を分析し、市場動向を予測し、新しい機会を特定します。 しかし、個人でさえ、ある時点でさまざまな理由で OSINT を実行します。 古くからの友人であれ、お気に入りの有名人であれ、それはすべて OSINT です。
複数の OSINT 手法の使用方法
在宅勤務への移行は避けられませんでしたが、COVID-19 の影響により、プロセス全体を迅速に行う必要がありました。 組織の従来のセキュリティ境界の外側で、自宅で働く人々に対する脆弱性とデータを見つけることは、オンラインで簡単に検索できる場合があります。
ソーシャル・ネットワーキング・サイト: サイバー犯罪者は、個人的な興味、過去の実績、家族の詳細、従業員、副社長、ターゲット組織の幹部の現在および将来の場所などのデータを収集できます。 後でこれを使用して、スピア フィッシング メッセージ、通話、電子メールを作成できます。
グーグル社: 悪意のあるユーザーは、ルーター、セキュリティ カメラ、家庭用サーモスタットなどの IT 機器や IoT デバイスの特定のブランドやモデルのデフォルト パスワードなどの情報を Google で検索できます。
GitHub: GitHub で少し単純な検索を行うだけで、共有されたオープン ソース コード内のアプリ、サービス、およびクラウド リソースの資格情報、マスター キー、暗号化キー、および認証トークンが明らかになる可能性があります。 悪名高い Capital One の侵害は、そのような攻撃の代表的な例です。
グーグルのハッキング: Google ドーキングとも呼ばれるこの OSINT 手法により、サイバー犯罪者は高度な Google 検索手法を使用して、アプリのセキュリティの脆弱性、個人に関する特定の情報、ユーザー資格情報を含むファイルなどを見つけることができます。
初段とセンシス: Shodan と Censys は、インターネットに接続されたデバイスと産業用制御システムおよびプラットフォームの検索プラットフォームです。 検索クエリを絞り込んで、既知の脆弱性を持つ特定のデバイス、アクセス可能なエラスティック検索データベースなどを見つけることができます。
防衛慣行のための OSINT の適用
すでにOSINTを使用して機会を特定し、競合他社を調査している企業は、OSINTのアプリケーションをサイバーセキュリティに拡大する必要があります.
OSINTフレームワークOSINT ツールのコレクションである は、企業が OSINT の機能を活用するための出発点として適しています。 これは、侵入テスターやセキュリティ研究者が自由に利用でき、悪用される可能性のあるデータを発見して収集するのに役立ちます。
Censys や Shodan などのツールも、主に侵入テスト用に設計されています。 これにより、企業はインターネットに接続された資産を識別して保護できます。
個人データを過度に共有することは、個人とその所属組織にとって問題です。 企業は、安全で責任あるソーシャル メディアの使用について従業員を教育する必要があります。
従業員のサイバーセキュリティ意識向上トレーニングは、少なくとも半年に XNUMX 回実施する必要があります。 予告なしのサイバー攻撃とフィッシングのシミュレーションは、これらのトレーニング ワークショップの一部である必要があります。
