Strava와 같은 피트니스 중심 소셜 네트워킹 앱의 팬입니까? 당신은 혼자가 아닙니다. 군인들도 자신의 달리기를 추적하고 공유하는 것을 즐깁니다. Strava 앱이 수집하고 게시하는 모든 활동 및 GPS 데이터가 항상 군사 기지의 정확한 위치를 노출한다는 점을 제외하면 훌륭합니다.
오늘날 인터넷에서 공개적으로 사용할 수 있는 종류의 정보를 보고 놀랄 수 있습니다. 그러나 우리가 과잉 공유의 시대에 살고 있는 방식을 고려할 때 놀라운 일이 아닙니다. 우리는 트위터에 발표하고 휴가 계획에 대한 자동 응답을 이메일로 보내며 본질적으로 강도를 초대합니다. 보안 전문가는 이를 OSINT(오픈 소스 인텔리전스), 그리고 공격자는 프로세스, 기술 및 사람의 취약점을 식별하고 악용하기 위해 항상 이를 사용합니다. OSINT 데이터는 일반적으로 수집하기 쉽고 프로세스는 대상에 보이지 않습니다. (따라서 군사 정보국이 HUMIT, ELINT 및 SATINT와 같은 다른 OSINT 도구와 함께 이를 사용하는 이유입니다.)
좋은 뉴스? OSINT를 탭하여 사용자를 보호할 수 있습니다. 그러나 먼저 공격자가 OSINT를 악용하여 공격 표면의 범위를 충분히 평가하고 그에 따라 방어를 강화하는 방법을 이해해야 합니다.
OSINT는 오래된 개념입니다. 전통적으로 오픈 소스 정보는 TV, 라디오, 신문을 통해 수집되었습니다. 오늘날 이러한 정보는 다음을 포함하여 인터넷 전체에 존재합니다.
· Facebook, Instagram 및 LinkedIn과 같은 소셜 및 전문 네트워크
· 데이트 앱의 공개 프로필
· 대화형 지도
· 건강 및 피트니스 트래커
· Censys 및 Shodan과 같은 OSINT 도구
공개적으로 사용 가능한 이 모든 정보는 사람들이 친구와 모험을 공유하고, 모호한 위치를 찾고, 약을 추적하고, 꿈의 직업과 소울메이트를 찾는 데 도움이 됩니다. 그러나 여기에는 또 다른 측면도 있습니다. 잠재적인 대상이 모르는 사이에 이 정보는 사기꾼과 사이버 범죄자가 편리하게 사용할 수 있습니다.
예를 들어, 사랑하는 사람의 비행을 실시간으로 추적하는 데 사용하는 것과 동일한 ADS-B Exchange 앱이 악의적인 행위자가 표적을 찾고 사악한 계획을 세우는 데 악용될 수 있습니다.
OSINT의 다양한 응용 프로그램 이해
오픈 소스 정보는 의도된 사람들에게만 제공되는 것이 아닙니다. 정부 및 법 집행 기관을 포함하여 누구나 액세스하고 사용할 수 있습니다. 저렴하고 쉽게 접근할 수 있음에도 불구하고 국가와 정보 기관은 OSINT를 사용합니다. OSINT가 올바르게 수행되면 좋은 정보를 제공하기 때문입니다. 그리고 모두 무료로 사용할 수 있는 정보이기 때문에 액세스 및 활용을 단일 엔터티에 귀속시키기가 매우 어렵습니다.
극단주의 조직과 테러리스트는 동일한 오픈 소스 정보를 무기화하여 목표물에 대한 최대한 많은 데이터를 수집할 수 있습니다. 사이버 범죄자들은 또한 OSINT를 사용하여 고도로 표적화된 사회 공학 및 스피어 피싱 공격을 만듭니다.
기업은 오픈 소스 정보를 사용하여 경쟁을 분석하고 시장 동향을 예측하며 새로운 기회를 식별합니다. 그러나 개인조차도 특정 시점에서 다양한 이유로 OSINT를 수행합니다. 오랜 친구나 좋아하는 유명인을 인터넷 검색하거나 모두 OSINT입니다.
여러 OSINT 기술을 사용하는 방법
재택근무로의 전환은 불가피했지만, 코로나19가 닥치자 전 과정을 서둘러야 했다. 조직의 기존 보안 경계 외부에서 재택 근무하는 사람들에 대한 취약점과 데이터를 찾는 것은 때때로 빠른 온라인 검색입니다.
소셜 네트워크 사이트: 사이버 범죄자는 대상 조직의 직원, 부사장 및 임원의 개인 관심사, 과거 업적, 가족 세부 정보, 현재 및 미래 위치와 같은 데이터를 수집할 수 있습니다. 나중에 이를 사용하여 스피어 피싱 메시지, 전화 및 이메일을 만들 수 있습니다.
구글 : 악의적인 사용자는 라우터, 보안 카메라, 가정용 온도 조절 장치와 같은 IT 장비 및 IoT 장치의 특정 브랜드 및 모델에 대한 기본 비밀번호와 같은 정보를 Google에 알릴 수 있습니다.
GitHub : GitHub에서 몇 가지 순진한 검색을 통해 공유 오픈 소스 코드에서 앱, 서비스 및 클라우드 리소스에 대한 자격 증명, 마스터 키, 암호화 키 및 인증 토큰을 알 수 있습니다. 악명 높은 Capital One 침해가 그러한 공격의 대표적인 예입니다.
구글 해킹: Google dorking이라고도 하는 이 OSINT 기술을 통해 사이버 범죄자는 고급 Google 검색 기술을 사용하여 앱의 보안 취약성, 개인에 대한 특정 정보, 사용자 자격 증명이 포함된 파일 등을 찾을 수 있습니다.
쇼단과 센시스: Shodan과 Censys는 인터넷 연결 장치와 산업 제어 시스템 및 플랫폼을 위한 검색 플랫폼입니다. 알려진 취약점, 액세스 가능한 탄력적 검색 데이터베이스 등을 가진 특정 장치를 찾기 위해 검색 쿼리를 구체화할 수 있습니다.
국방 실무를 위한 OSINT의 적용
이미 OSINT를 사용하여 기회를 식별하고 경쟁자를 연구하고 있는 기업은 OSINT를 사이버 보안에 적용하는 범위를 확대해야 합니다.
OSINT 프레임 워크, OSINT 도구 모음은 기업이 OSINT의 힘을 활용하는 좋은 출발점입니다. 침투 테스터와 보안 연구원이 무료로 사용 가능하고 잠재적으로 악용할 수 있는 데이터를 검색하고 수집하는 데 도움이 됩니다.
Censys 및 Shodan과 같은 도구도 기본적으로 펜 테스트용으로 설계되었습니다. 이를 통해 기업은 인터넷에 연결된 자산을 식별하고 보호할 수 있습니다.
개인 데이터를 과도하게 공유하는 것은 개인과 그들이 일하는 조직에 문제가 됩니다. 기업은 직원들에게 안전하고 책임감 있는 소셜 미디어 사용에 대해 교육해야 합니다.
직원의 사이버 보안 인식 교육은 최소한 반기별로 실시해야 합니다. 예고되지 않은 사이버 공격 및 피싱 시뮬레이션은 이러한 교육 워크샵의 일부여야 합니다.
