De aanvaller met zijn eigen wapens verslaan: dat is de strategie die bedrijven volgen met OSINT-tactieken. Als onderdeel van kwetsbaarheidsscans en penetratietests wordt openbaar beschikbare informatie gefilterd om het aanvalsoppervlak te verkleinen.
Let op de uitdrukking: gegevens zijn het goud van de 21e eeuw. Een beetje afgezaagd nu, maar de verklaring is nog steeds waar. Wanneer bedrijven gegevens verzamelen, kunnen zij die gebruiken om concurrentievoordelen te behalen. Het geeft hen nieuwe inzichten in de interesses en het koopgedrag van hun klanten en potentiële klanten. Zo kunnen ze de gegevens gebruiken om meer verkoop te genereren.
Maar cyberaanvallers verzamelen ook gegevens. En ze doen dat over bedrijven en hun werknemers om gerichte aanvallen uit te voeren. Hiervoor gebruiken ze zogenaamde OSINT-tactieken.
De term Open Source Intelligence (OSINT) dook voor het eerst op buiten de IT-beveiligingsindustrie. Het verwijst naar het verzamelen van gegevens uit vrij toegankelijke, open bronnen om bruikbare inzichten te verkrijgen door de analyse van de gegevens.
Inlichtingendiensten maken al vele jaren gebruik van bronnen als televisie, radio, gedrukte media of internet om informatie te verzamelen. Het voordeel hiervan is dat de kosten zeer laag zijn, aangezien de bronnen talrijk en openbaar toegankelijk zijn. Bovendien kunnen veel onderzoeksactiviteiten worden geautomatiseerd. Bovendien is het verkrijgen van informatie via openbare infrastructuren minder riskant dan bijvoorbeeld spionage in een vijandig land.
De Duitse federale inlichtingendienst (BND) maakt ook gebruik van OSINT en bijbehorende tools om relevante inhoud te vinden.
De meeste bedrijven beschikken over een ongestructureerde massa bedrijfsmiddelen en applicaties die zich op verschillende apparaten binnen en buiten het bedrijfsnetwerk bevinden. Zelden zijn IT-afdelingen op de hoogte van alle inhoud, het sleutelwoord schaduw-IT. Als aanvallers toegang krijgen tot de infrastructuren, waarvan sommige openbaar toegankelijk zijn, kunnen zij de informatie uit de assets gebruiken voor social engineering en phishing.
De taak van IT-managers is daarom alle informatie te vinden die een risico voor het bedrijf kan vormen. Op die manier minimaliseren zij het aanvalsoppervlak voor cyberaanvallen. Als onderdeel van het cyberrisicobeheer maken bedrijven steeds vaker gebruik van OSINT om misbruik van vrij beschikbare gegevens te voorkomen.
Thomas Uhlemann, beveiligingsspecialist bij Eset
Met behulp van penetratietests vinden beveiligingsteams informatie over interne bronnen die publiekelijk toegankelijk zijn, maar ook relevante informatie buiten de organisatie. Zoals beveiligingsleverancier Eset uitlegt, gaat het onder meer om open poorten, onveilig op het netwerk aangesloten apparaten, ongepatchte software, informatie over ingezette apparaten en software, zoals versies, apparaatnamen, netwerken en IP-adressen. Ook via sociale media en carrièreportalen kan veel over werknemers worden geleerd, wat aanvallers helpt.
Tech Data gebruikt OSINT ook voor cyberscoring. Op deze manier biedt de distributeur zijn partners een dienst waarmee ze bedrijven een overzicht kunnen bieden van de bedreigingssituatie van hun IT-systemen die vanaf internet toegankelijk zijn.
Voor de scans heeft het Tech Data-team alleen het domein van het te controleren bedrijf nodig. Op basis hiervan vinden zij de opdruk en daarmee de onderneming ingeschreven in het handelsregister. Door het domeinnaamsysteem uit te splitsen, leidt het team verdere informatie af, zoals de subdomeinen, de e-mailservers en de online shops. Tech Data analyseert en evalueert de kwetsbaarheden in de toepassingen en bereidt de resultaten voor de klanten voor in begrijpelijke rapporten.
Sinds OSINT gaat over het vinden van openbaar beschikbare informatie, is het in de meeste landen legaal. De voorschriften inzake gegevensbescherming en auteursrechten moeten echter te allen tijde worden nageleefd. Eset voegt hieraan toe dat er juridische gevolgen kunnen zijn voor OSINT-teams als zij gegevens onderzoeken die met een wachtwoord zijn beveiligd of anderszins privé zijn.
Pen-testers stellen gewoonlijk van tevoren kaders vast over welke activiteiten zijn toegestaan en verboden bij hun aanvalspogingen.