Cómo utilizar OSINT para proteger su organización – CloudSavvy IT

Shutterstock / LookerStudio

Las organizaciones tienen una huella digital y todo su personal también. Estas huellas pueden contener una gran cantidad de información sensible o armable. OSINT le permite ver lo que pueden ver los piratas informáticos.

Inteligencia de código abierto

A pesar del nombre, la inteligencia de código abierto (OSINT) no está relacionada con el software de código abierto, aunque existen muchas herramientas de software de código abierto que pueden ayudarlo a recopilar inteligencia de código abierto. OSINT es inteligencia recopilada de fuentes disponibles públicamente. No se requiere ningún delito cibernético para obtener esta información, está disponible si sabe dónde buscar y cómo buscar.

OSINT se puede obtener de fuentes como Internet, medios de comunicación, redes sociales, revistas de investigación y herramientas de búsqueda del gobierno estatal o nacional, como Búsqueda de empresas de la Secretaría de Estado de California y el Reino Unido Casa de empresas Búsqueda de empresas.

OSINT está abierto a todos. Solo está viendo información disponible públicamente, no viendo material privado ilegalmente o usando las credenciales de inicio de sesión de una persona sin su permiso. Es la diferencia entre revisar sus publicaciones públicas e irrumpir en su cuenta para leer mensajes directos privados.

En su mayor parte, OSINT es gratuito. Hay algunas herramientas de búsqueda especializadas que utilizan freemium modelo, pero en general, OSINT es de bajo riesgo, gratuito y muy eficaz. No es sorprendente que los actores de amenazas utilicen OSINT en la fase de reconocimiento de la planificación de un ciberataque como suplantación de identidad ataques y Ingeniería social ataques u otras acciones dañinas como el chantaje corporativo o personal.

Para protegerse, necesita saber qué hay sobre su organización y su personal.

Por qué los actores de amenazas aman OSINT

OSINT ayuda a los equipos de seguridad a localizar y comprender la información, las pistas y otras rutas de navegación inadvertidas que sus empleados dejan en su huella digital pública que compromete su seguridad.

Por ejemplo, puede tener un desarrollador web que haya creado un perfil en LinkedIn. Los perfiles de los desarrolladores suelen incluir una descripción de las tecnologías con las que son competentes y en las que están trabajando. Esto también le dice al mundo en qué tecnologías está construido su sitio web, lo que, a su vez, brinda orientación sobre el tipo de vulnerabilidades a las que puede ser susceptible.

También es probable que esta persona tenga una cuenta administrativa en su sitio web. Otra información que publican, como los nombres de mascotas, niños o su pareja, a menudo se usa como base de las contraseñas, y esta información también será recolectada por los actores de amenazas.

La Dark Web contiene bases de datos de todas las violaciones de datos que ocurren. LinkedIn tuvo una violación de datos en mayo de 2016 que dejó 164 millones direcciones de correo electrónico y contraseñas expuestas. Si los detalles de su desarrollador quedaron atrapados en esa violación y él ha reutilizado esa contraseña en su sitio web, los actores de amenazas ahora tienen una manera fácil de eludir la seguridad en su sitio web.

Relacionado: Cómo verificar si los correos electrónicos del personal están en brechas de datos

También puedes usar OSINT

Muchas organizaciones utilizan las pruebas de penetración para detectar vulnerabilidades en los activos y servicios de la red de Internet. OSINT se puede utilizar de manera similar para detectar vulnerabilidades que se están creando por la liberación de información.

¿Tiene alguien que, sin saberlo, está dando demasiada información? De hecho, ¿cuánta información ya existe que podría ser beneficiosa para un actor de amenazas? De hecho, la mayoría de las pruebas de penetración y equipo rojo Los equipos de seguridad realizan búsquedas OSINT como la primera fase de recopilación y reconocimiento de datos.

¿Cuánto pueden averiguar los demás sobre su organización y su personal a partir de sus huellas digitales? La forma obvia de averiguarlo es realizar búsquedas de OSINT en su propia organización.

Técnicas sencillas de OSINT

Cualquiera que sea la herramienta o técnica que utilice, es mejor comenzar con una búsqueda más amplia y refinarla progresivamente hasta un enfoque más estrecho, guiado por los resultados de las búsquedas anteriores. Comenzar con un enfoque demasiado estrecho puede hacer que pierda información que solo aparece con un conjunto más relajado de términos de búsqueda.

Recuerde, no son solo sus empleados los que tienen una huella digital. Su propia organización tiene una huella digital, desde repositorios no técnicos como registros de registro de empresas, presentaciones financieras, hasta aparecer en los resultados de sitios de búsqueda de hardware como Shodan y ZoomEye. Los sitios de búsqueda de hardware como estos le permiten buscar dispositivos de cierto tipo, marca y modelo o categoría genérica como «cámaras web ip». Puede buscar protocolos, puertos abiertos o características como «contraseña predeterminada». Las búsquedas se pueden filtrar y refinar por región geográfica.

Su propio sitio web puede contener todo tipo de información útil para el actor de la amenaza. La página «Conozca al equipo» proporciona roles y nombres, y posiblemente direcciones de correo electrónico. Si puede ver cómo están formadas las direcciones de correo electrónico («nombre.nombre @» o «inicial.nombre @», «apellido inicial @» sin punto, etc.), puede averiguar cuál es la dirección de correo electrónico para cualquier persona en el empresa siempre que tenga su nombre. Puede obtener una lista de clientes en su página de testimonios.

Esa es toda la amenaza que necesita el actor para realizar una spear-phishing ataque. Pueden enviar un correo electrónico a una persona de rango medio en el departamento de finanzas que parece provenir de un miembro senior del personal. El correo electrónico tendrá un tono de urgencia. Solicitará que se realice un pago urgente a un cliente designado lo antes posible. Por supuesto, los datos bancarios son los datos bancarios del actor de la amenaza.

Las fotografías en las redes sociales y los blogs deben examinarse cuidadosamente para obtener información que se captura en el fondo o en los escritorios. Los terminales de computadora, las pizarras, los documentos en los escritorios, los pases de seguridad y las credenciales de identidad pueden revelar información útil para un actor de amenazas.

Se han descubierto en línea planos de edificios de edificios sensibles en portales de aplicaciones de planificación de acceso público. Los repositorios de Git no protegidos pueden revelar vulnerabilidades en aplicaciones web o permitir que los actores de amenazas inyecten su propia puerta trasera en el código fuente.

Perfiles de redes sociales en sitios como LinkedIn, Facebooky Gorjeo a menudo puede revelar una gran cantidad de personas. Incluso una cuenta de Twitter en el lugar de trabajo que publique un tweet alegre sobre el cumpleaños de un miembro del personal puede proporcionar información que puede ser útil y explotable. Supongamos que se hace un Tweet sobre alguien llamado Shirley que cumple 21 años y recibe un pastel en el trabajo. Cualquiera que pueda ver el tweet ahora tiene su nombre y año de nacimiento. ¿Es su contraseña posiblemente «Shirley1999» o «Shirley99»?

La información que se encuentra en las redes sociales es especialmente adecuada para Ingeniería social. La ingeniería social es la manipulación tortuosa pero hábil de los miembros del personal con el fin de obtener acceso no autorizado a la información de su edificio, red y empresa.

El uso de métodos OSINT en EE. UU. Y el Reino Unido es legal. En otras jurisdicciones, debe verificar su legislación local. Por lo general, si los datos no están protegidos con contraseña y no se requiere engaño o infiltración para adquirirlos, entonces es legal acceder a ellos. Los actores de las amenazas no se preocupan por estos puntos, por supuesto.

los Protocolo de Berkeley define un marco de orientación para llevar a cabo las investigaciones del OSINT sobre crímenes de guerra y violaciones de derechos humanos. Este o algo similar es un buen punto de referencia para utilizar como guía sobre la legalidad y la ética de las búsquedas OSINT.

Estas son algunas de las herramientas OSINT más conocidas y utilizadas. Kali Linux tiene muchos de estos incluidos en él, otros están disponibles como imágenes de contenedor descargables, o en GitHubo como instalaciones independientes. Tenga en cuenta que la mayoría de estos son solo para Linux. Los sitios web se pueden utilizar desde cualquier lugar, por supuesto.

  • Ghunt: Encuentra tanta información sobre una persona en su perfil de Google como sea posible mediante la búsqueda de cualquier cosa relacionada con su dirección de correo electrónico de Gmail.
  • ReNgine: Combina y muestra una vista agregada de los resultados de varios análisis de herramientas OSINT. ReNgine realiza los escaneos utilizando las otras herramientas y crea una vista combinada de la información devuelta.
  • Shodan: Motor de búsqueda de dispositivos, protocolos y hardware. Se usa comúnmente para detectar dispositivos inseguros, particularmente dispositivos de Internet de las cosas.
  • ZoomEye: Una alternativa a Shodan.
  • Mapeador social: Social Mapper utiliza el reconocimiento facial y los nombres para rastrear objetivos en múltiples plataformas de redes sociales. Es gratis, pero debes registrarte.
  • Spiderfoot: Una herramienta de automatización OSINT, disponible en versiones comerciales y de código abierto. La versión de código abierto tiene algunas de las funciones de gama alta desactivadas.
  • Sublist3r: Enumerador de subdominios basado en Python
  • theHarvester: Ayuda a «determinar el panorama de amenazas externas de una empresa en Internet» mediante la recopilación de «correos electrónicos, nombres, subdominios, direcciones IP y URL»
  • Maltgo: Maltego es una herramienta de búsqueda que recopila datos de muchas fuentes OSINT y muestra un conjunto gráfico de vínculos entre los datos y las personas.
  • Google Dorking: Google dorking o Google hacking utiliza técnicas de búsqueda avanzadas para encontrar elementos que han sido indexados por Google pero que no aparecen en búsquedas normales, como archivos de configuración y listas de contraseñas. Sitios como Explotar base de datos se dedican a compartir términos de búsqueda de Google dorking.

Es (principalmente) gratis, así que úselo

Si su equipo de seguridad aún no está usando OSINT, realmente está perdiendo un truco. Ser capaz de localizar, editar o eliminar información confidencial del dominio público es una excelente manera de minimizar el acceso de los actores de amenazas a las vulnerabilidades basadas en la información.

Deja un comentario

En esta web usamos cookies para personalizar tu experiencia de usuario.    Política de cookies
Privacidad