Beating the attacker with his own weapons: questa è la strategia che le aziende perseguono con le tattiche OSINT. Come parte delle scansioni di vulnerabilità e dei test di penetrazione, le informazioni pubblicamente disponibili vengono filtrate per ridurre la superficie di attacco.
Attenzione alla frase: i dati sono l'oro del 21° secolo. Un po' banale ormai, ma l'affermazione è ancora vera. Quando le aziende raccolgono dati, possono usarli per ottenere vantaggi competitivi. Dà loro nuove intuizioni sugli interessi e sul comportamento d'acquisto dei loro clienti e potenziali clienti. Così, possono usare i dati per generare più vendite.
Ma anche gli aggressori informatici raccolgono dati. E lo fanno sulle aziende e sui loro dipendenti per effettuare attacchi mirati. Per fare questo, usano le cosiddette tattiche OSINT.
Il termine Open Source Intelligence (OSINT) è emerso per la prima volta al di fuori dell'industria della sicurezza informatica. Si riferisce alla raccolta di dati da fonti aperte e liberamente disponibili al fine di ottenere intuizioni utilizzabili attraverso l'analisi dei dati.
Per molti anni, i servizi di intelligence hanno utilizzato fonti come la televisione, la radio, la stampa o Internet per raccogliere informazioni. Il vantaggio qui è che i costi sono molto bassi, poiché le fonti sono numerose e pubblicamente accessibili. Inoltre, molte attività di ricerca possono essere automatizzate. Inoltre, ottenere informazioni attraverso le infrastrutture pubbliche è meno rischioso che, per esempio, spiare in un paese ostile.
Anche il Servizio di Intelligence Federale tedesco (BND) usa OSINT e gli strumenti corrispondenti per trovare contenuti rilevanti.
La maggior parte delle aziende ha una massa non strutturata di beni e applicazioni che si trovano su vari dispositivi all'interno e all'esterno della rete aziendale. Raramente i dipartimenti IT conoscono tutti i contenuti, parola chiave shadow IT. Se gli aggressori ottengono l'accesso alle infrastrutture, alcune delle quali sono pubblicamente accessibili, possono utilizzare le informazioni degli asset per il social engineering e il phishing.
Il compito dei manager IT è quindi quello di trovare tutte le informazioni che potrebbero rappresentare un rischio per l'azienda. Così facendo, riducono al minimo la superficie di attacco per i cyberattacchi. Come parte della gestione del rischio informatico, le aziende stanno utilizzando sempre più OSINT per prevenire l'uso improprio dei dati liberamente disponibili.
Thomas Uhlemann, Security Specialist di Eset
Con l'aiuto dei test di penetrazione, i team di sicurezza trovano informazioni su risorse interne che sono pubblicamente visibili così come informazioni rilevanti all'esterno dell'organizzazione. Come spiega il fornitore di sicurezza Eset, questo include porte aperte, dispositivi collegati in rete in modo insicuro, software senza patch, informazioni su dispositivi e software distribuiti, come versioni, nomi di dispositivi, reti e indirizzi IP. Si può anche imparare molto sui dipendenti attraverso i social media e i portali di carriera, il che aiuta gli attaccanti.
Tech Data usa anche OSINT per il cyber scoring. In questo modo, il distributore fornisce ai suoi partner un servizio con il quale può offrire alle aziende una panoramica della situazione di minaccia dei loro sistemi IT accessibili da Internet.
Per le scansioni, il team di Tech Data ha bisogno solo del dominio dell'azienda da controllare. Su questa base, trovano l'impronta e quindi l'azienda registrata nel registro commerciale. Scomponendo il sistema dei nomi di dominio, il team ricava ulteriori informazioni, come i sottodomini, i server di posta elettronica e i negozi online. Tech Data analizza e valuta le vulnerabilità delle applicazioni e prepara i risultati per i clienti in rapporti comprensibili.
Siccome l'OSINT consiste nel trovare informazioni pubblicamente disponibili, è legale nella maggior parte dei paesi. Tuttavia, i requisiti di protezione dei dati e del copyright devono essere osservati in ogni momento. Come aggiunge Eset, ci possono essere conseguenze legali per i team OSINT se esaminano dati protetti da password o altrimenti privati.
I Pen tester di solito definiscono in anticipo i quadri su quali attività sono permesse e proibite nei loro tentativi di attacco.