Ben je een fan van op fitness gerichte sociale netwerk-apps zoals Strava? Je bent niet alleen. Zelfs militairen vinden het leuk om hun runs te volgen en te delen. Het klinkt geweldig, behalve dat alle activiteits- en GPS-gegevens die de Strava-app verzamelt en publiceert steevast de exacte locatie van militaire bases blootleggen.
U zult er misschien versteld van staan wat voor soort informatie tegenwoordig openbaar beschikbaar is op internet. Maar het zou geen verrassing moeten zijn, gezien hoe we leven in de tijd van overdeling. We kondigen op Twitter en e-mail automatische reacties over onze vakantieplannen, in wezen uitnodigende overvallers. Beveiligingsprofessionals noemen het OSINT (open source intelligentie), en aanvallers gebruiken het voortdurend om kwetsbaarheden in processen, technologieën en mensen te identificeren en uit te buiten. OSINT-gegevens zijn meestal gemakkelijk te verzamelen en het proces is onzichtbaar voor het doel. (Vandaar dat de militaire inlichtingendienst het samen met andere OSINT-tools zoals HUMIT, ELINT en SATINT gebruikt.)
Het goede nieuws? U kunt op OSINT tikken om uw gebruikers te beschermen. Maar eerst moet u begrijpen hoe aanvallers OSINT misbruiken om de omvang van uw aanvalsoppervlak voldoende te evalueren en uw verdediging dienovereenkomstig te versterken.
OSINT is een eeuwenoud concept. Traditioneel werd open source intelligence verzameld via tv, radio en kranten. Tegenwoordig bestaat dergelijke informatie overal op internet, waaronder:
· Sociale en professionele netwerken zoals Facebook, Instagram en LinkedIn
· Openbare profielen op dating-apps
· Interactieve kaarten
· Gezondheids- en fitnesstrackers
· OSINT-tools zoals Censys en Shodan
Al deze openbaar beschikbare informatie helpt mensen avonturen te delen met vrienden, obscure locaties te vinden, medicijnen bij te houden en droombanen en zelfs soulmates te vinden. Maar er zit ook een andere kant aan. Zonder medeweten van potentiële doelwitten, is deze informatie net zo gemakkelijk beschikbaar voor oplichters en cybercriminelen.
Dezelfde ADS-B Exchange-app die u gebruikt om de vluchten van uw geliefde in realtime bij te houden, kan bijvoorbeeld worden uitgebuit door kwaadwillende actoren om hun doelen te lokaliseren en snode plannen te maken.
De verschillende toepassingen van OSINT begrijpen
Open source-informatie is niet alleen beschikbaar voor degenen voor wie het bedoeld is. Iedereen kan er toegang toe krijgen en er gebruik van maken, inclusief de overheid en wetshandhavingsinstanties. Ondanks dat het goedkoop en gemakkelijk toegankelijk is, gebruiken natiestaten en hun inlichtingendiensten OSINT omdat het goede informatie biedt als het goed wordt gedaan. En aangezien het allemaal vrij beschikbare informatie is, is het erg moeilijk om toegang en gebruik toe te kennen aan één enkele entiteit.
Extremistische organisaties en terroristen kunnen dezelfde open source-informatie gebruiken om zoveel mogelijk gegevens over hun doelen te verzamelen. Cybercriminelen gebruiken OSINT ook om zeer gerichte social engineering- en spear phishing-aanvallen uit te voeren.
Bedrijven gebruiken open source-informatie om concurrentie te analyseren, markttrends te voorspellen en nieuwe kansen te identificeren. Maar zelfs individuen voeren OSINT op een bepaald moment en om verschillende redenen uit. Of het nu gaat om het Googlen van een oude vriend of een favoriete beroemdheid, het is allemaal OSINT.
Meerdere OSINT-technieken gebruiken
De verschuiving naar thuiswerken was onvermijdelijk, maar het hele proces moest worden versneld toen COVID-19 toesloeg. Het vinden van kwetsbaarheden en gegevens tegen thuiswerkende mensen, buiten de traditionele beveiligingsperimeter van organisaties, is soms slechts een snelle online zoektocht.
Sociale netwerksites: Cybercriminelen kunnen gegevens verzamelen zoals persoonlijke interesses, prestaties uit het verleden, familiegegevens en huidige en zelfs toekomstige locaties van werknemers, VP's en leidinggevenden van hun doelorganisaties. Ze kunnen dit later gebruiken om spear-phishing-berichten, oproepen en e-mails te maken.
Google: Kwaadwillende gebruikers kunnen Google-informatie gebruiken, zoals de standaardwachtwoorden voor specifieke merken en modellen van IT-apparatuur en IoT-apparaten zoals routers, beveiligingscamera's en huisthermostaten.
GitHub: Een paar naïeve zoekopdrachten op GitHub kunnen inloggegevens, hoofdsleutels, coderingssleutels en authenticatietokens voor apps, services en cloudbronnen onthullen in gedeelde, open source-code. De beruchte Capital One-inbreuk is een goed voorbeeld van een dergelijke aanval.
Google-hacking: Met deze OSINT-techniek, ook bekend als Google dorking, kunnen cybercriminelen geavanceerde Google-zoektechnieken gebruiken om beveiligingsproblemen in apps, specifieke informatie over personen, bestanden met gebruikersreferenties en meer te vinden.
Shodan en Censys: Shodan en Censys zijn zoekplatforms voor op internet aangesloten apparaten en industriële besturingssystemen en platforms. Zoekquery's kunnen worden verfijnd om specifieke apparaten met bekende kwetsbaarheden, toegankelijke elastische zoekdatabases en meer te vinden.
Toepassingen van OSINT voor defensiepraktijken
Bedrijven die OSINT al gebruiken om kansen te identificeren en concurrenten te bestuderen, moeten hun toepassing van OSINT uitbreiden naar cyberbeveiliging.
OSINT Framework, een verzameling OSINT-tools, is een goed startpunt voor ondernemingen om de kracht van OSINT te benutten. Het helpt penetratietesters en beveiligingsonderzoekers bij het ontdekken en verzamelen van vrij beschikbare en potentieel exploiteerbare gegevens.
Tools zoals Censys en Shodan zijn ook in de eerste plaats ontworpen voor pentesten. Ze stellen ondernemingen in staat hun met internet verbonden activa te identificeren en te beveiligen.
Het te veel delen van persoonsgegevens is problematisch voor individuen en de organisaties waarvoor ze werken. Ondernemingen moeten werknemers voorlichten over veilig en verantwoord gebruik van sociale media.
Training voor cybersecuritybewustzijn van werknemers moet op zijn minst een halfjaarlijkse onderneming zijn. Onaangekondigde cyberaanvallen en phishing-simulaties moeten deel uitmaken van deze trainingsworkshops.
