5 Quellen für Open-Source-Informationen in der Cybersicherheit
Ob es sich um Informationen über neue Bedrohungen oder die Überwachung des digitalen Footprints Ihres Unternehmens handelt, Sie müssen nicht immer viel Geld ausgeben, um die besten Ergebnisse zu erhalten. In diesem Artikel werden Open-Source-Informationen beschrieben und fünf hervorragende Quellen für frei verfügbare Informationen vorgestellt, die Ihre Cybersicherheitsabwehr stärken können.
Was ist Open Source Intelligence (OSINT)?
Open Source Intelligence (OSINT) bezeichnet das Sammeln und Analysieren öffentlich zugänglicher Informationen aus verschiedenen Quellen, um daraus Erkenntnisse oder Informationen für die Cybersicherheit abzuleiten. Diese Art von Informationen steht im Gegensatz zu proprietären Informationen, für die Sie in der Regel bezahlen, weil spezialisierte Anbieter spezielle Bedrohungsforschung und -analyse durchführen, um diese Informationen aufzudecken.
Für rote Teams im Bereich der Cybersicherheit ist OSINT ein unschätzbares Werkzeug. Das Hauptziel eines Red Teams besteht darin, gegnerische Bedrohungen zu simulieren und die Verteidigungsfähigkeiten einer Organisation zu bewerten. Durch den Einsatz von OSINT haben Red-Teams folgende Vorteile:
Verstehen Sie Ihr Unternehmen: Viele Unternehmen beauftragen Red Teams als externe Dienstleister, da dies in der Regel kostengünstiger ist. OSINT bietet einen umfassenden Überblick über den digitalen Fußabdruck Ihres Unternehmens, einschließlich Details über Mitarbeiter, eingesetzte Technologien, Geschäftsabläufe und mehr.
Angriffe planen: Mit dem gesammelten Wissen können rote Teams realistischere und effektivere Angriffsszenarien entwerfen, die die Techniken realer Angreifer nachahmen.
Maßgeschneiderte Social-Engineering-Angriffe: OSINT kann persönliche Informationen über Mitarbeiter liefern (z. B. Geburtstage, Hobbys, Zugehörigkeiten aus Social-Media-Profilen), die Red Teams nutzen können, um ihre simulierten Phishing-Kampagnen oder andere Social-Engineering-Angriffe anzupassen.
Ausnutzung von Informationen, um Zugang zu erhalten: Andere Arten von Informationen, wie z. B. durchgesickerte Anmeldedaten, können auf Pastebin-Seiten identifiziert und von Red Teams genutzt werden, um sich Zugang zu verschaffen.
Das Bewusstsein schärfen: Indem sie die potenziellen Risiken von öffentlich zugänglichen Daten aufzeigen, helfen Red Teams Unternehmen, ihre Sicherheitsmaßnahmen zu verstehen und zu priorisieren.
OSINT ermöglicht es Ihrem Unternehmen, sich proaktiv an die dynamische Bedrohungslandschaft anzupassen und auf sie zu reagieren, und geht über reine Red-Team-Übungen hinaus. Jede Information, die es Ihnen ermöglicht, die nächsten Schritte der Hacker vorherzusagen und zu stoppen, ist es wert, gesammelt zu werden, insbesondere wenn sie frei verfügbar ist. Aber wo gibt es gute Quellen für OSINT? Darauf wird in diesem Beitrag näher eingegangen.
5 nützliche Quellen für OSINT
Hier finden Sie eine Übersicht über fünf nützliche Quellen von Open-Source-Bedrohungsdaten für Red Teaming und andere Zwecke der Cybersicherheit.
1. Dark Web
Normale Suchmaschinen wie Google und Bing haben keinen Index und keinen Zugriff auf das Dark Web. Stattdessen müssen Sie das Tor-Netzwerk oder andere ähnliche Dienste nutzen, um in dieses wahrhaft unterirdische Verlies der Online-Welt zu gelangen.
Das Dark Web beherbergt eine Fülle von Websites und Diensten, von denen einige illegalen Aktivitäten nachgehen. Trotz seines berüchtigten Rufs kann das Dark Web aus Sicht der Open-Source-Intelligence (OSINT) eine wahre Goldgrube an Informationen sein. Entgegen einiger Annahmen ist nicht alles im Dark Web illegal. Politische Aktivisten, Journalisten und andere, die aufgrund der Art ihrer Arbeit oder des politischen Klimas in ihren Ländern Anonymität benötigen, können vom Dark Web profitieren.
Hier sind einige Arten von OSINT, nach denen Sie im Dark Web suchen können:
Datenschutzverletzungen—Eine der wichtigsten OSINT-Nutzungen des Dark Web besteht darin, Datenschutzverletzungen zu identifizieren. Hacker verkaufen oder verschenken oft gestohlene Daten auf Dark-Web-Marktplätzen.Durch die Überwachung dieser Plattformen können Sie feststellen, ob die Zugangsdaten eines Mitarbeiters zum Verkauf stehen oder hochgeladen wurden.
Aufkommende Bedrohungen—Foren im Dark Web sind Brutstätten für Diskussionen über neue Hacking-Tools, Methoden oder geplante Cyberangriffe unter Hackern, die wissen, dass die Anonymität des Dark Web ihre Identität schützt.Wenn Sie sich an diesen Diskussionen beteiligen, erhalten Sie möglicherweise einen Hinweis auf potenzielle Bedrohungen für Ihre IT-Umgebung.
Malware-Analyse—Neu entwickelte Malware oder Ransomware taucht oft zuerst im Dark Web auf. Ein frühzeitiger Zugriff auf diese kann es Cybersecurity-Experten ermöglichen, proaktiv Gegenmaßnahmen zu entwickeln.
Insider-Bedrohungen—Gelegentlich versuchen verärgerte Mitarbeiter, aktuelle oder ehemalige Arbeitgeber zu schädigen, indem sie Insider-Informationen oder -Zugang verkaufen. Die Überwachung von Diskussionsforen im Dark Web kann Ihnen helfen, diese Bedrohungen zu erkennen.
2. Telegram-Chats
Die beliebte Instant-Messaging-App Telegram entwickelt sich zu einem Ökosystem der Cyberkriminalität, das von einigen Quellen als das neue Dark Web bezeichnet wird. Ein Popularitätsschub im Jahr 2021 führte zu einem 100-prozentigen Anstieg der Cyberkriminalität auf Telegram, wobei viele Bedrohungsakteure durch die zunehmende Kontrolle der Strafverfolgungsbehörden im Dark Web aufgeschreckt wurden. Auf Telegram gibt es öffentliche Kanäle, die eine One-to-Many-Kommunikation beinhalten, bei der Admins Nachrichten an eine unbegrenzte Anzahl von Abonnenten senden. Jeder Telegram-Nutzer kann nach diesen Kanälen suchen und ihnen beitreten.
Was das OSINT-Potenzial anbelangt, so gibt es einige Informationen, die Sie beim Durchforsten von Telegram-Kanälen für Cyberkriminalität finden könnten:
● Viele Kanäle oder Gruppen richten sich an die Hacker-Community und diskutieren über Exploits, den Austausch von Tools oder sogar Werbedienste. Die Überwachung solcher Plattformen bietet einen Einblick in die aktuellen Taktiken, Techniken und Vorgehensweisen (TTPs) potenzieller Angreifer.
● Gelegentlich teilen Admins von Telegram-Kanälen kompromittierte Daten, Anmeldeinformationen oder Datenbank-Dumps ausschließlich auf diesen Kanälen.
3. Suchmaschinen
Beliebte Suchmaschinen wie Google und Bing indizieren Milliarden von Webseiten, d. h. riesige Datenbanken mit öffentlich zugänglichen Informationen aus der ganzen Welt. Die riesigen Datenbanken, die Suchmaschinen erstellen, werden laufend aktualisiert und bieten so nahezu in Echtzeit Zugang zu einer sich ständig verändernden digitalen Landschaft.
Einige der möglichen Verwendungszwecke von Suchmaschinen zur Sammlung von Open-Source-Informationen sind:
● Allgemeine Recherche: Für grundlegendes Wissen über eine Person, ein Unternehmen oder ein Ereignis können Suchmaschinen Hintergrundinformationen, Biografien, historische Daten und mehr liefern.
● Erweiterte Suchoperatoren (Dorking): Mit Hilfe spezieller Abfragen, so genannter „Dorks“, können Forscher bestimmte Informationen finden. So kann ein Dork beispielsweise ungeschützte Webcams, Verzeichnisse mit bestimmten Dateien oder Websites ausfindig machen, auf denen eine bestimmte Software läuft, die für bekannte Sicherheitslücken anfällig ist.
● Archivierte Daten: Selbst wenn eine Information entfernt oder eine Webseite aktualisiert wurde, halten Suchmaschinen oft zwischengespeicherte Versionen älterer Webseiten vor. Außerdem gibt es Internet Archive: Digital Library of Free & Borrowable Books, Movies, Music & Wayback Machine. Diese archivierten Daten sind nützlich, um Änderungen zu verfolgen oder auf Informationen zuzugreifen, die kürzlich gelöscht wurden.
● Ermittlung von Domänen und Subdomänen: Mithilfe spezifischer Abfragen können Sie zugehörige Subdomains oder verwandte Domains Ihrer Website ermitteln, um sich ein umfassenderes Bild von der Online-Präsenz Ihrer Organisation zu machen. Sie können sogar ähnlich aussehende Domains finden, die Bedrohungsakteure verwenden, um sich in Social-Engineering-Betrügereien als Ihr Unternehmen auszugeben.
4. Code Repositories
Plattformen wie GitHub, GitLab und Bitbucket, auf denen Entwickler ihren Code speichern und verwalten. Diese Repositories enthalten Softwareprojekte, Bibliotheken, Konfigurationen und weitere entwicklungsbezogene Daten, an denen Ihre Entwicklerteams arbeiten.
Gelegentlich geben Entwickler versehentlich sensible Informationen wie API-Schlüssel, Kennwörter oder Konfigurationsdetails an ihre öffentlichen Repositories weiter.
Diese Lecks zu erkennen, bevor Hacker sie entdecken, ist eine wichtige Aufgabe, die Sie vor einem Angriff auf Ihre Umgebung schützen kann. Außerdem können Red Teams die Mitwirkenden an einem Repository untersuchen, um Einblicke in deren Fachwissen, Zugehörigkeit und sogar potenzielle Schwachstellen in der Cybersicherheitskette des Unternehmens zu erhalten.
5. Soziale Medien
Auf Social-Media-Plattformen sind insgesamt Milliarden von Profilen, Beiträgen, Nachrichten und Medien zu finden. Jeden Tag werden riesige Datenmengen generiert, geteilt, geliked und kommentiert, was Plattformen wie Facebook, LinkedIn und X (ehemals Twitter) zu ergiebigen Quellen für öffentlich verfügbare Informationen macht.
Einige potenzielle Verwendungszwecke für OSINT, die von Social-Media-Plattformen gesammelt werden, sind:
Aufdeckung von Phishing-Kampagnen: Bedrohungsakteure diskutieren oft über erfolgreiche Phishing-Kampagnen auf sozialen Plattformen oder prahlen damit. Die Überwachung dieses Geplauders kann Aufschluss über laufende oder neu auftretende Phishing-Bedrohungen geben, die auf Ihre Branche oder Ihr Unternehmen abzielen.
Warnungen vor Datenlecks: Kompromittierte Daten werden möglicherweise in sozialen Medien diskutiert, weitergegeben oder sogar verkauft. Ein wachsames Auge kann frühzeitige Warnungen liefern, die eine rasche Reaktion und Schadensbegrenzung ermöglichen.
Informationen über neue Bedrohungen: Infosec-Experten, White-Hat-Hacker und Cybersicherheitsfirmen teilen häufig Erkenntnisse, Schwachstellen, Patches und Bedrohungen auf Plattformen wie Twitter. Wenn Sie diese Informationen verfolgen, erhalten Sie Einblicke in Echtzeit und können proaktiv handeln.
Mitarbeiteraktivitäten:Mitarbeiter können unwissentlich sensible Unternehmensinformationen weitergeben, z. B. ein Foto eines Arbeitsplatzes, auf dem Haftnotizen mit Passwörtern zu sehen sind, oder Details zu internen Projekten in LinkedIn-Posts. Wenn diese Mitarbeiter identifiziert und geschult werden, können potenzielle Datenlecks geschlossen werden.
Schlusswort
Wenn Sie diese frei zugänglichen Informationsquellen anzapfen, können Sie mit ein wenig Nachforschung einige Juwelen der Cybersicherheit zutage fördern, die Datenverletzungen verhindern oder die Abwehrkräfte Ihres Unternehmens stärken. Unser Team von Sicherheitsexperten bei DIESEC ist sehr versiert darin, nützliche Erkenntnisse aus offenen Informationsquellen zu gewinnen.
Ganz gleich, ob Sie realistischere Red-Team-Übungen wünschen, die wirklich simulieren, wie echte Angreifer Informationen finden, oder ob Sie realistischere simulierte Social-Engineering-Tests wünschen – wir nutzen OSINT, um bessere Ergebnisse zu erzielen.