您是 Strava 等专注于健身的社交网络应用程序的粉丝吗? 你不是一个人。 即使是军事人员也喜欢跟踪和分享他们的跑步。 听起来不错,除了 Strava 应用程序收集和发布的所有活动和 GPS 数据总是暴露军事基地的精确位置。
您可能会对今天在 Internet 上公开的信息类型感到惊讶。 但考虑到我们生活在过度分享的时代,这不应该是一个惊喜。 我们在 Twitter 上宣布并通过电子邮件自动回复我们的假期计划,本质上是邀请强盗。 安全专家称之为 OSINT(开源情报),并且攻击者一直使用它来识别和利用流程、技术和人员中的漏洞。 OSINT 数据通常很容易收集,并且该过程对目标是不可见的。 (因此,为什么军事情报将它与其他 OSINT 工具(如 HUMIT、ELINT 和 SATINT)一起使用。)
好消息? 您可以点击 OSINT 来保护您的用户。 但首先你必须了解攻击者如何利用 OSINT 来充分评估你的攻击面的范围并相应地加强你的防御。
OSINT 是一个古老的概念。 传统上,开源情报是通过电视、广播和报纸收集的。 如今,此类信息遍布互联网,包括:
· Facebook、Instagram 和 LinkedIn 等社交和专业网络
· 约会应用上的公开资料
· 互动地图
· 健康和健身追踪器
· Censys 和 Shodan 等 OSINT 工具
所有这些公开的信息都可以帮助人们与朋友分享冒险经历,找到不为人知的地点,跟踪药物,找到梦想的工作,甚至是灵魂伴侣。 但它还有另一面。 潜在目标不知道,这些信息对于诈骗者和网络犯罪分子来说同样方便。
例如,您用来实时跟踪亲人航班的同一个 ADS-B Exchange 应用程序可能会被恶意行为者利用来定位他们的目标并制定邪恶计划。
了解 OSINT 的不同应用
开源信息不仅适用于它的目标用户。 任何人都可以访问和使用它,包括政府和执法机构。 尽管价格便宜且易于访问,但民族国家及其情报机构使用 OSINT,因为它在正确处理时提供了良好的情报。 而且由于这些都是免费可用的信息,因此很难将访问和利用归于单个实体。
极端组织和恐怖分子可以将相同的开源信息武器化,以尽可能多地收集有关其目标的数据。 网络犯罪分子还使用 OSINT 制造针对性很强的社会工程和鱼叉式网络钓鱼攻击。
企业使用开源信息来分析竞争、预测市场趋势并发现新机会。 但即使是个人也会出于各种原因在某些时候执行 OSINT。 无论是搜索老朋友还是最喜欢的名人,这都是 OSINT。
如何使用多种 OSINT 技术
在家工作的转变是不可避免的,但当 COVID-19 来袭时,整个过程必须加快。 在组织的传统安全范围之外查找针对在家工作的人员的漏洞和数据,有时只需快速在线搜索即可。
社交网站: 网络犯罪分子可以收集目标组织的员工、副总裁和高管的个人兴趣、过去成就、家庭详细信息以及当前甚至未来的位置等数据。 他们以后可以使用它来制作鱼叉式网络钓鱼消息、电话和电子邮件。
谷歌: 恶意用户可以通过谷歌搜索特定品牌和型号的 IT 设备和物联网设备(如路由器、安全摄像头和家用恒温器)的默认密码等信息。
GitHub的: 在 GitHub 上进行一些简单的搜索可以揭示共享的开源代码中的应用程序、服务和云资源的凭据、主密钥、加密密钥和身份验证令牌。 臭名昭著的资本一号漏洞就是这种攻击的一个典型例子。
谷歌黑客: 这种 OSINT 技术也称为 Google dorking,可让网络犯罪分子使用先进的 Google 搜索技术来查找应用程序中的安全漏洞、有关个人的特定信息、包含用户凭据的文件等。
Shodan 和 Censys: Shodan 和 Censys 是互联网连接设备和工业控制系统和平台的搜索平台。 可以细化搜索查询以查找具有已知漏洞、可访问的弹性搜索数据库等的特定设备。
OSINT 在防御实践中的应用
已经在使用 OSINT 来识别机会和研究竞争对手的企业需要将 OSINT 的应用范围扩大到网络安全。
OSINT框架是 OSINT 工具的集合,是企业利用 OSINT 力量的良好起点。 它可以帮助渗透测试人员和安全研究人员发现和收集免费可用和潜在可利用的数据。
Censys 和 Shodan 等工具主要也是为渗透测试而设计的。 它们允许企业识别和保护他们的互联网连接资产。
过度共享个人数据对于个人和他们工作的组织来说是个问题。 企业应教育员工安全和负责任地使用社交媒体。
员工网络安全意识培训至少应该是半年一次。 未经宣布的网络攻击和网络钓鱼模拟必须成为这些培训研讨会的一部分。