OSINT 101: ¿Qué es la inteligencia de código abierto y cómo se utiliza?


OSINT puede ser utilizado por cualquier persona, tanto para buenos como para malos fines: así es como los defensores pueden usarlo para mantenerse por delante de los atacantes.

La industria de la ciberseguridad a menudo se obsesiona con la tecnología: los últimos exploits, herramientas de piratería y computer software de búsqueda de amenazas. En realidad, mucho se lessen a las personas. Son las personas que desarrollan malware, las personas que presionan el botón rojo para lanzar ataques y, por otro lado, las personas que tienen la tarea de defenderse de ellos. Con este fin, OSINT, o inteligencia de código abierto, es un elemento «humano» importante, pero a menudo pasado por alto, de la ciberseguridad.

La conclusión es que cualquier cosa que pueda encontrar en línea sobre su organización, también pueden hacerlo los malos actores. Ese pensamiento por sí solo debería impulsar los esfuerzos continuos de OSINT para mitigar el riesgo cibernético.

¿Cómo se usa OSINT?

El termino OSINT se utilizó por primera vez fuera de la industria de la ciberseguridad, haciendo referencia a los esfuerzos militares y de inteligencia para recopilar información estratégicamente importante pero disponible públicamente en asuntos de seguridad nacional. Si bien los esfuerzos de espionaje de la posguerra se centraron en diferentes formas de obtener información (por ejemplo, HUMINT, SIGINT), en la década de 1980, OSINT estaba de regreso. Con el advenimiento de la website, las redes sociales y los servicios digitales, ahora existe un gran recurso para que los actores de OSINT recopilen inteligencia sobre cada parte de la infraestructura de TI de una organización, así como sobre sus empleados.

Para los CISO, el objetivo principal es encontrar cualquier parte de esta información que pueda representar un riesgo para la organización, para que puedan mitigar ese riesgo antes de que sea explotado por los actores de amenazas. Una de las formas más obvias de hacer esto es ejecutando pruebas de penetración regulares y ejercicios del Equipo Rojo, que aprovechan OSINT para encontrar debilidades.

Así es como los atacantes y defensores pueden utilizar OSINT:

Cómo los equipos de seguridad pueden usar OSINT

Para los probadores de penetración y los equipos de seguridad, OSINT se trata de descubrir información disponible públicamente sobre activos internos, así como información fuera de la organización. A veces, la información confidencial se encuentra en metadatos que la organización ha publicado accidentalmente. Información útil sobre sistemas de TI podría incluir:

  • Puertos abiertos y dispositivos conectados inseguros
  • Computer software sin parches
  • Información de activos, como versiones de application, nombres de dispositivos, redes y direcciones IP
  • Información filtrada, como código propietario en pastebin o GitHub

Fuera de la organización, los sitios net y, en certain, las redes sociales pueden ser un tesoro de información, especialmente para los empleados. Los proveedores y socios también pueden estar compartiendo en exceso ciertos detalles de su entorno de TI que sería mejor mantener en privado. Luego está la vasta extensión de sitios world wide web y archivos no indexados conocidos colectivamente como la world wide web profunda. Esto técnicamente todavía está disponible públicamente y, por lo tanto, es un juego justo para OSINT.

Cómo los actores de amenazas usan OSINT

Por supuesto, todo esto tiene un lado negativo. Si la información está disponible públicamente, cualquiera puede acceder a ella, incluidos los actores de amenazas.

Entre los ejemplos más comunes se encuentran:

  • Buscando en las redes sociales para obtener información private y profesional sobre los empleados. Esto podría usarse para seleccionar objetivos de spear phishing (es decir, aquellos que probablemente tengan cuentas privilegiadas). LinkedIn es un gran recurso para este tipo de OSINT. Sin embargo, otros Los sitios sociales también pueden revelar detalles como fechas de nacimiento. y los nombres de los niños y las mascotas de la familia, cualquiera de los cuales podría usarse para adivinar contraseñas.
  • Escaneo en busca de activos sin parches, puertos abiertos y almacenes de datos en la nube mal configurados se ha hecho relativamente barato y fácil gracias al poder de la computación en la nube. Si saben qué buscar, los atacantes también pueden buscar credenciales y otra información filtrada en sitios como GitHub. A veces, las contraseñas y las claves de cifrado están integradas en el código, que es la forma de Uber fue violado, a través de una filtración en GitHub.

¿OSINT es legal?

OSINT se trata de encontrar información que esté disponible públicamente, por lo que en ese sentido es absolutamente legal, al menos en la mayoría de los países occidentales. Cuando los datos están protegidos con contraseña o se hacen privados de cualquier otra manera, podría haber repercusiones para los equipos de OSINT si los buscan. La extracción de datos de los sitios de redes sociales también va en contra de la mayoría de los términos de servicio de estas empresas. Los equipos de pruebas de penetración generalmente buscarían definir qué está dentro y fuera de los límites antes de comenzar su trabajo con un cliente.

Herramientas OSINT populares

Para los CISO interesados ​​en utilizar OSINT como parte de sus esfuerzos de gestión de riesgos cibernéticos, es importante comenzar con una estrategia clara. Comprenda lo que desea obtener de los proyectos: ¿es para detectar las debilidades de la red y las vulnerabilidades del program o para conocer dónde están compartiendo demasiado los empleados en las redes sociales? Luego, haga una lista corta de las herramientas y técnicas que desea utilizar para recopilar y administrar esos datos. Los volúmenes de datos involucrados requerirán un alto grado de automatización aquí.

Algunas herramientas comunes incluyen:

Shodan: Una forma muy well-liked de buscar dispositivos IoT, sistemas OT, puertos abiertos y errores.

Maltego: Diseñado para desenmascarar las relaciones ocultas entre personas, dominios, empresas, propietarios de documentos y otras entidades, y visualizarlas a través de una interfaz de usuario intuitiva.

Metagoofil: Extrae metadatos de documentos de acceso público para proporcionar a los usuarios información útil sobre los sistemas de TI (árboles de directorios, nombres de servidores, and many others.).

Google Dorking: No es una herramienta como tal, sino una técnica para usar motores de búsqueda de una manera más avanzada para localizar información específica. Al elaborar consultas específicas, las personas podrían obtener acceso a servidores, páginas web e información que los administradores podrían pensar que son privados. También se conoce como piratería de Google.

Seríamos negligentes en no señalar Marco OSINT y OSINT.Backlink, dos vastos repositorios de recursos que se pueden explorar y utilizar para recopilar información de fuentes disponibles públicamente.

Para terminar, sea cual sea la ruta que tome, OSINT es una parte cada vez más importante de la ciberseguridad. Una estrategia bien diseñada puede agregar otra dimensión a sus esfuerzos de gestión de riesgos.



Enlace a la noticia primary