Che cos'è l'OSINT (Open Source Intelligence)?

Le organizzazioni odierne generano e condividono grandi volumi di informazioni che vanno dai post sui social media ai documenti aziendali. D'altra parte, anche i cybercriminali utilizzano queste fonti aperte per pianificare e lanciare attacchi efficaci che hanno effetti significativi, come gli attacchi ransomware. Come affermato da IT Governance, nell'aprile dello scorso anno si sono verificati oltre cinque miliardi di violazioni dei dati in tutto il mondo, il che dimostra che i dati pubblici rimangono privi di protezione. Queste statistiche rendono chiara l'importanza dell'OSINT al giorno d'oggi. Di conseguenza, le aziende dovrebbero sapere cos'è l'OSINT e come questa forma di intelligence utilizza le informazioni open source per la difesa, l'analisi e le indagini.

Per cominciare, questo articolo spiegherà cos'è l'Open-Source Intelligence (OSINT) e come sta diventando sempre più importante nel campo dell'intelligence dei rischi. Successivamente, illustreremo la storia dell'OSINT, le sue applicazioni tipiche e forniremo una breve panoramica delle sue specificità.Imparerete a conoscere gli strumenti e le tecniche OSINT che le organizzazioni utilizzano per difendersi o per indagare sulle minacce, spesso necessarie per prevenire attacchi ransomware. Infine, discuteremo dei framework e delle sfide OSINT, delle best practice e di come SentinelOne integri le moderne strategie OSINT.

Che cos'è l'OSINT (Open Source Intelligence)?

OSINT è l'acronimo di Open Source Intelligence e viene definito come l'accumulo, l'elaborazione e l'integrazione di informazioni provenienti da piattaforme pubbliche. Tali fonti possono includere social network, forum, comunicati stampa e documenti di riferimento dell'azienda, dati geografici o documenti di ricerca. Con la crescita dei dati nello spazio online, la definizione di OSINT si è evoluta fino a includere informazioni provenienti da log cloud, registrazione di domini e persino analisi degli utenti.

Nel contesto dei team di sicurezza, OSINT definisce un framework che prende i dati pubblici grezzi e li trasforma in intelligence utilizzabile. Attraverso la scansione costante delle fonti aperte alla ricerca di eventuali segni di minacce o indicatori di minaccia, OSINT consente alle organizzazioni di identificare infiltrazioni, raccolta di credenziali e altre minacce avanzate, incluso il ransomware.

In conclusione, l'OSINT sfrutta la potenza delle informazioni open source disponibili per migliorare la protezione, alimentare le indagini e fornire una visione futura.

Storia dell'Open Source Intelligence

La storia dell'Open Source Intelligence può essere fatta risalire alle tecniche di intelligence che si basano su pubblicazioni, trasmissioni e registrazioni open source. Nel corso degli anni, si è evoluta con la crescita di Internet e alla fine si è affermata come strumento e tecnica OSINT specializzata.

Oggi, l'OSINT consente di fare qualsiasi cosa, dall'intelligence sulla sicurezza informatica aziendale alla verifica dei fatti in tempo reale. Di seguito sono riportati quattro punti di riferimento che possono essere considerati momenti significativi nello sviluppo dell'OSINT come disciplina dell'investigazione contemporanea:

1. Monitoraggio delle trasmissioni governative (anni '40-'50): Storicamente, i primi tentativi di utilizzare l'OSINT furono fatti durante la seconda guerra mondiale, quando le agenzie di intelligence ascoltavano le trasmissioni radiofoniche nemichee leggevano i volantini di propaganda. Questo approccio consentiva di ottenere informazioni sul morale o sui piani delle truppe senza la necessità di attraversare il territorio nemico. La collaborazione ha stabilito un paradigma secondo cui la scansione di dati grandi e ampi può fornire un vantaggio tattico. Sebbene queste analisi fossero limitate ai mezzi analogici, hanno aperto la strada a tecniche OSINT migliori e più sofisticate.
2. Espansione delle fonti diplomatiche e accademiche (anni '60-'70): Durante la Guerra Fredda, le agenzie di intelligence erano in grado di raccogliere informazioni da giornali, riviste e bollettini statali di altri paesi. Da un'analisi sistematica della documentazione, formulavano ipotesi sul progresso tecnologico o sui cambiamenti politici. Questa sinergia ha dimostrato come i dati aperti accuratamente selezionati abbiano migliorato il livello di consapevolezza della sicurezza nazionale. Ha anche ispirato i ricercatori accademici a esplorare l'uso dei dati aperti nei modelli geopolitici.
3. L'avvento di Internet alimenta la crescita dell'OSINT (anni '90): La rapida crescita dell'utilizzo di Internet negli anni '90 ha aumentato la quantità e la diversificazione delle informazioni disponibili al pubblico. Le persone hanno compreso che esiste un grande potenziale nel crawling di siti web, newsgroup e altri database disponibili al pubblico. Allo stesso tempo, sono apparsi strumenti OSINT specifici in grado di gestire l'acquisizione e l'indicizzazione di grandi quantità di dati. Questa sinergia ha elevato l'OSINT da un'attività di intelligence specializzata a un settore maturo che ha collegato il mondo degli affari, le forze dell'ordine e la politica estera.
   1. Analisi in tempo reale, integrazione dell'IA (2010-2025): Nel periodo moderno, il settore OSINT ha raggiunto il suo apice con sofisticati strumenti di data mining in grado di analizzare i social network, i feed delle minacce e persino il dark web

A cosa serve l'Open Source Intelligence?

Sebbene l'OSINT fosse utilizzato principalmente dall'esercito o dal governo per raccogliere informazioni, l'applicazione moderna di questa tecnica è molto più ampia. Infatti, il 43% dell'utilizzo dell'OSINT è associato alla sicurezza informatica, il 27% all'intelligence governativa, il 20% alla sicurezza aziendale e il restante 10% all'individuazione delle frodi. Di seguito sono riportati quattro settori chiave in cui le organizzazioni utilizzano l'Open Source Intelligence, a dimostrazione dell'ampia e versatile applicazione di questo concetto:

1. Monitoraggio della sicurezza informatica: Nel contesto dell'OSINT nella sicurezza informatica, si monitorano i forum degli hacker, le credenziali trapelate o scaricate, o le divulgazioni di vulnerabilità. Si prevengono le infiltrazioni, come quelle dei ransomware, segnalando i riferimenti ai domini aziendali o ai dati dei dipendenti. Gli strumenti OSINT possono elaborare migliaia di post al giorno e presentare indizi su cui agire. Questa sinergia aiuta i team SOC a identificare potenziali vettori di attacco, che vanno dalle credenziali amministrative rubate al rilascio di un nuovo exploit.
2. Intelligence governativa e delle forze dell'ordine: L'OSINT viene utilizzato dalle agenzie per individuare gli estremisti, prepararsi alle catastrofi o ottenere informazioni in tempo reale sul campo. Dai social media, dalle immagini satellitari o dalle fonti di informazione locali, ottengono una prospettiva più ampia rispetto a quella offerta dalle sole reti classificate. Ciò aiuta a identificare il contrabbando transfrontaliero o a rivelare la natura delle narrazioni di propaganda straniera. A lungo termine, l'analisi dei dati aperti può talvolta funzionare in sinergia con l'HUMINT (Human Intelligence) o l'intelligence dei segnali in approcci integrati.
3. Sicurezza aziendale e protezione dei beni: Le organizzazioni utilizzano le informazioni fornite dal settore OSINT per monitorare le minacce di furto d'identità del marchio, lo spionaggio della concorrenza o le minacce di attacchi interni. Possono monitorare i marchi registrati o individuare domini registrati con lo scopo di effettuare phishing. Durante crisi come i richiami di prodotti, l'OSINT può determinare il sentiment o le informazioni errate che circolano. Quando l'intelligence open source viene combinata con i registri interni, la sicurezza aziendale riduce il numero di approcci e accelera la risposta.
4. Rilevamento delle frodi e indagini: Le banche e altre organizzazioni finanziarie utilizzano metodi OSINT per cercare modelli di riciclaggio di denaro, frodi con carte di credito o gruppi di frodi. Le forze dell'ordine osservano beni illeciti o credenziali rubate sui profili dei social media o su un mercato per tracciare la fuga di informazioni. Utilizzano indirizzi, numeri di telefono o registrazioni di spedizioni su altri siti per effettuare controlli incrociati. Questa sinergia aiuta a rivelare truffe coordinate tra diverse giurisdizioni, il che, a sua volta, incoraggia l'adozione di misure rapide contro di esse.

Come funziona l'OSINT?

Le persone interessate all'OSINT o all'intelligence open source spesso chiedono come si svolge il processo di raccolta e analisi dei dati nella realtà. In poche parole, l'OSINT combina la raccolta mirata di dati con l'analisi sistematica, portando a conclusioni tangibili. Nelle sezioni seguenti, suddividiamo il processo in quattro funzioni principali che ogni analisi di intelligence open source deve utilizzare.

1. Raccolta e aggregazione dei dati: Il primo passo consiste nella ricerca di vari forum di siti web, siti di social network o DNS che contengono i post, gli utenti o le informazioni sul dominio. Lo scraping su larga scala viene effettuato utilizzando strumenti che consentono di evitare il processo monotono. Uno strumento OSINT standard può analizzare contemporaneamente log, codici sorgente o database di credenziali rubate. Questa complementarità garantisce una copertura che può mostrare angoli di infiltrazione o spoofing di domini di nuova creazione.
2. Filtraggio e normalizzazione dei dati: Le informazioni raccolte sono spesso non strutturate e possono essere ricevute in vari formati, come HTML, feed JSON o elenchi di CSV. Queste variazioni vengono normalizzate da analisti o script che eliminano le voci ripetute, analizzano le parole chiave o definiscono i metadati. Questa sinergia favorisce query coerenti e correlazioni tra enormi set di dati. Una volta normalizzati, i dati diventano più facili da elaborare o analizzare ulteriormente, ad esempio per cercare modelli di registrazione di nomi di dominio che sembrano sospetti.
3. Correlazione e analisi: Grazie ai dati curati, gli specialisti dell'intelligence OSINT individuano connessioni, come lo stesso indirizzo IP utilizzato nei post dei forum o lo stesso nome utente su più piattaforme. Possono tracciare i social network, associare gli accessi trapelati agli indirizzi e-mail del personale preso di mira o collegare la registrazione dei domini a precedenti tentativi di hacking. La combinazione della correlazione con la conoscenza dei domini è più preziosa della semplice disponibilità dei dati di log. In molti casi, ciò viene fatto con l'aiuto dell'apprendimento automatico che aiuta a rilevare valori anomali o potenziali cluster sospetti.
4. Segnalazioni e raccomandazioni attuabili: Infine, ma non meno importante, i team applicano raccomandazioni per la sicurezza o la gestione dei rischi, come la correzione di una vulnerabilità rilevata nel software o il blocco dei domini nell'elenco delle minacce. Questa sinergia garantisce che l'OSINT non rimanga una disciplina accademica, ma venga implementata nei processi decisionali. Gli stessi dati possono anche essere inseriti nella risposta agli incidenti se l'infiltrazione ha già avuto luogo. Rapporti chiari con raccomandazioni per ulteriori azioni aiutano i dirigenti o i team SOC ad allocare il loro tempo e i loro sforzi in modo efficiente.

Tipi di strumenti di intelligence open source

Quando si parla di intelligence open source, esiste un ampio elenco di soluzioni specializzate che le organizzazioni possono implementare. Ogni categoria di strumenti OSINT è incentrata su un tipo di dati specifico, come i social media o l'infiltrazione di domini, consentendo così agli analisti di affrontare punti di infiltrazione specifici. Qui definiamo i principali tipi di strumenti OSINT e spieghiamo come ciascuno di essi può essere utilizzato per la ricerca quotidiana delle minacce o la protezione del marchio.

1. Strumenti di analisi dei social media: Questi strumenti eseguono la scansione e l'indicizzazione di siti come X (precedentemente noto come Twitter), LinkedIn o forum di interesse specifico alla ricerca di post che contengono i dati di un'azienda o l'utilizzo dei suoi dati. Monitorano hashtag, coinvolgimento degli utenti o qualsiasi forma di attività anomala su larga scala. In scenari di infiltrazione, i criminali a volte si vantano dei dati rubati in gruppi chiusi: queste soluzioni identificano tali possibilità. Attraverso un filtraggio avanzato delle conversazioni e l'analisi del sentiment, i team possono facilmente identificare l'infiltrazione e l'usurpazione dell'identità del marchio.
2. Strumenti di intelligence per domini e IP: Esiste anche una categoria che copre le registrazioni di domini, le informazioni DNS, la posizione degli indirizzi IP e la reputazione degli host. Consente agli analisti di identificare domini simili ai siti ufficiali, il che è fondamentale per prevenire attacchi di phishing o ransomware. L'intelligenza IP aiuta a determinare se indirizzi specifici sono presenti in blacklist dannose o se hanno precedenti storie di infiltrazione. In questo modo, le organizzazioni prevengono attivamente le intrusioni a livello di dominio analizzando tali impronte.
3. Strumenti di analisi dei metadati e dei file: I documenti o le immagini dannosi possono contenere metadati, informazioni sulla versione o file di log degli utenti. In questa categoria, gli strumenti analizzano le intestazioni dei file per determinare chi li ha creati o se sono collegati a kit di infiltrazione consolidati. Se i criminali commettono errori e includono macro che si collegano a un server di comandoe controllo, queste soluzioni forniscono assistenza. Questa sinergia garantisce che gli investigatori siano in grado di ottenere angoli di infiltrazione da ogni angolo, come le proprietà del documento o i frammenti di codice che sono stati incorporati.
4. Strumenti di monitoraggio del deep/dark web: Oltre al web di superficie, i motori di ricerca avanzati puntano al deep web per individuare mercati, forum sulla rete Tor e siti di fuga di dati. Cercano credenziali di accesso rubate, informazioni commerciali e altre informazioni riservate o dettagli sul personale che i criminali potrebbero vendere. Questa sinergia aiuta i team di sicurezza ad agire rapidamente se la precedente infiltrazione ha provocato una fuga di dati. La scansione continua identifica i segni di infiltrazione il più rapidamente possibile, come i criminali che utilizzano credenziali rubate o pubblicizzano la vendita del database di un'azienda.
5. Geospaziale & Strumenti OSINT per immagini geospaziali: Queste soluzioni sfruttano i dati cartografici, le immagini satellitari e i metadati delle foto per estrarre informazioni sulla posizione dai dati open source. Sono in grado di verificare presunte infiltrazioni in luoghi fisici o di monitorare gli aggiornamenti di stato contenenti le coordinate geografiche di una scena del crimine. Attraverso l'eliminazione degli sfondi delle immagini o dei modelli meteorologici, le tecniche forensi più avanzate normalmente convalidano il punto di ingresso degli infiltrati. Questa sinergia si rivela particolarmente vantaggiosa per le forze dell'ordine o le squadre di risposta alle crisi che si occupano di minacce basate sulla posizione.

Tecniche OSINT (Open Source Intelligence)

L'intelligence open source va oltre i semplici strumenti, poiché gli analisti applicano le tecniche di intelligence open source nell'analisi dei dati pubblici. Tutti i metodi garantiscono che l'interpretazione dei dati sia precisa e priva di rumori o falsi allarmi. Nella sezione seguente, ci concentriamo su alcuni dei metodi più comunemente utilizzati che costituiscono la base dell'analisi OSINT.

1. Ricerche avanzate per parole chiave e booleane: Operatori speciali migliorano parole chiave specifiche sui motori di ricerca o sui social media eliminando elementi non necessari o concentrandosi su determinate parole chiave. A volte, gli analisti possono utilizzare sinonimi, escludere alcune aree o effettuare ricerche entro un determinato periodo di tempo. Questa sinergia riduce significativamente la quantità di dati alle tracce di infiltrazione rilevanti. Il personale perfeziona quindi queste query e individua la discussione sull'infiltrazione o la menzione di un'azienda in tali forum.
2. Estrazione di metadati ed EXIF: Foto, documenti o PDF possono contenere metadati quali timestamp, geolocalizzazione, informazioni sul dispositivo o informazioni sul proprietario. Gli specialisti dell'intelligence OSINT esaminano i dati EXIF per verificare se la posizione menzionata nei metadati corrisponde al luogo in cui l'immagine è stata effettivamente inserita. Negli scenari di infiltrazione, i criminali potrebbero anche rivelare inconsapevolmente la loro posizione. Si integra con l'analisi geospaziale per convalidare le dichiarazioni sospette o per tracciare le tracce dell'infiltrazione.
3. Riferimenti incrociati tra più fonti di dati: Va notato che gli analisti non lavorano affatto su un'unica piattaforma. Essi mettono in relazione l'attività sui social media, la registrazione dei domini o le credenziali trapelate per convalidare i vettori di infiltrazione. Nel caso in cui un nome utente venga trovato sia in un forum di hacker che in un annuncio di lavoro con lo stesso pseudonimo, questi potrebbero collegare incidenti di infiltrazione. Ciò garantisce che il team non registri o lavori su falsi positivi o voci che non sono state confermate da altre fonti.
4. Ricognizione passiva vs. attiva: La ricognizione passiva si riferisce all'ottenimento di dati da query o registrazioni già disponibili pubblicamente, come le informazioni di registrazione dei domini o gli archivi web. La ricognizione attiva include contatti diretti come, ad esempio, la scansione dei server e la ricerca di porte aperte, che comporta il rischio di essere notati dagli osservatori delle intrusioni. Molte delle attività nell'OSINT sono ancora svolte in modo passivo, evitando così evitando problemi legali o etici. Entrambe le posizioni contribuiscono a fornire un'intelligence equilibrata e rispettosa della legge, ottenuta da diverse organizzazioni di intelligence.

Struttura OSINT (Open Source Intelligence)

Il volume delle attività sulle piattaforme dei social media, i controlli dei domini e la scansione del dark web possono essere travolgenti, anche per analisti esperti. Un framework OSINT allinea le attività, gli strumenti e i processi di correlazione per consentire il consolidamento di queste diverse prospettive. Di seguito vengono discussi cinque aspetti per garantire che le attività OSINT rimangano chiare e orientate agli obiettivi.

1. Livello di raccolta dati: Questo livello esegue la scansione di pagine web, API o condivisioni di file alla ricerca di informazioni relative alla query di ricerca. Gli strumenti possono elaborare i record di dominio o estrarre dati dai feed social e memorizzarli in un database normalizzato o in un data lake. Grazie all'integrazione dei feed di input, i team sono in grado di prevenire la perdita di segnali di infiltrazione o il rumore dei gruppi di utenti. La raccolta continua o programmata favorisce aggiornamenti OSINT quasi in tempo reale.
2. Elaborazione e normalizzazione: Una volta ricevuti i dati grezzi, il sistema li elabora, assegna tag e li unisce. Ciò può comportare l'eliminazione di voci duplicate, la formattazione delle stringhe di date in formati standard o la categorizzazione delle fonti. Questa sinergia garantisce che le query o le analisi funzionino senza intoppi su strutture o linguaggi diversi. Senza questo passaggio, la correlazione avanzata potrebbe dare falsi positivi o falsi negativi nei casi in cui convenzioni di denominazione diverse nascondono le infiltrazioni.
3. Motore di correlazione e analisi: Questo livello utilizza query elaborate, intelligenza artificiale o ragionamenti basati su regole per rilevare angoli di infiltrazione o modelli di ripetizione. Ad esempio, può richiamare l'attenzione sul dominio che è stato frequentemente associato ai forum di hacking. Deduca il rischio di infiltrazione incrociando i record di proprietà del dominio con le credenziali trapelate. La sinergia migliora il modo in cui l'intelligence OSINT si presenta in termini di identificazione o presentazione di attività anomale o tracce dannose.
4. Visualizzazione e reporting: Trasformare l'analisi grezza in dashboard, grafici o report scritti rende le informazioni più facilmente interpretabili dall'organizzazione. Questa integrazione aiuta a identificare le tendenze delle infiltrazioni, le origini geografiche degli IP dannosi o i social network dei criminali. Una visualizzazione chiara può anche influenzare le scelte tattiche, come dove concentrare gli sforzi di infiltrazione o quali dati potrebbero essere compromessi. A lungo termine, il personale perfeziona queste visualizzazioni per riflettere le preoccupazioni quotidiane o legate a eventi specifici.
5. Feedback e ciclo di apprendimento: In ogni caso di rilevamento di infiltrazioni o di caso chiuso, il framework registra ciò che ha portato all'attivazione dell'allarme o al mancato funzionamento dello stesso. Queste informazioni aiutano a perfezionare le query future, modificando i valori o aggiungendo nuove parole chiave da monitorare. Più a lungo il sistema è attivo, più acquisisce familiarità con i modelli di infiltrazione, rendendo il processo di rilevamento più efficace. Questa sinergia garantisce che l'OSINT sia un processo dinamico che si adatta alle minacce in evoluzione e alla crescita dell'organizzazione.

OSINT per la sicurezza aziendale

In un contesto aziendale, i dati provengono da diversi reparti, regioni e terze parti, e qualsiasi falla può essere sfruttata dal ransomware. Quando si utilizza la gestione della sicurezza informatica OSINT, le minacce esterne (come l'intelligence di dominio o le discussioni sui social media) vengono combinate con la registrazione interna. Ad esempio, un'analisi OSINT avanzata può identificare domini registrati di recente che imitano il marchio o identificare credenziali del personale condivise sul dark web. L'integrazione in tempo reale dei dati di intelligence open source e dei registri delle minacce interne consente di adottare misure proattive contro le infiltrazioni. In definitiva, l'OSINT non è solo un "miglioramento", ma un moltiplicatore di forza che collega le informazioni di dominio pubblico con le misure di sicurezza dell'azienda per garantire che il numero di approcci sia limitato.

Casi d'uso dell'Open Source Intelligence

Oggi, il significato di OSINT è ampiamente compreso da numerosi settori, che vanno dalla finanza alla produzione, ai fini della gestione del rischio. Che si tratti di rilevare comportamenti fraudolenti degli utenti o di tracciare l'imitazione del marchio, l'OSINT offre una prospettiva al di fuori dei registri. Ecco quattro situazioni principali in cui le fonti OSINT sono di grande aiuto per contenere o prevenire le infiltrazioni prima che si verifichino:

1. Protezione del marchio e monitoraggio dei social media: Le aziende monitorano la presenza del proprio marchio su Twitter, Instagram o forum specifici per identificare prodotti fraudolenti, cloni di domini o campagne negative. Questa sinergia le aiuta a reagire rapidamente, ad esempio presentando richieste di rimozione o correggendo informazioni errate. In caso di infiltrazione, i criminali imitano gli account ufficiali per ingaggiare il phishing di dipendenti o clienti. Attraverso il monitoraggio dei canali aperti, OSINT protegge la reputazione dei marchi e garantisce la fiducia degli utenti.
2. Rilevamento di frodi e truffe: Le banche e altre organizzazioni finanziarie cercano informazioni rubate relative a carte di credito o identità sul mercato nero. Gli strumenti OSINT sono progettati per eseguire la scansione dei mercati neri o grigi o per controllare intervalli bin noti o credenziali utente. Questa sinergia mostra i possibili angoli di infiltrazione se i criminali cercassero di perpetrare frodi o furti di identità su larga scala. Ciò garantisce che la riemissione della carta o il congelamento del conto avvengano con sufficiente anticipo per ridurre al minimo le perdite.
3. Threat Intelligence per le operazioni di sicurezza: Le tecniche di intelligence open source sono utilizzate dai team SOC per cercare nuovi kit di infiltrazione o divulgazioni di vulnerabilità nei forum di hacking. Potrebbero anche monitorare i segni di intrusione di ransomware che menzionano la loro organizzazione. Gli avvisi in tempo realegarantiscono che le patch o gli avvisi agli utenti vengano messi in atto prima che i criminali trovino il punto debole. L'integrazione della correlazione dei feed OSINT con i log SIEM migliora la flessibilità nel rilevamento dei tentativi di infiltrazione.
4. Applicazione della legge e indagini: Alcuni dei modi in cui le agenzie utilizzano l'OSINT includono l'identificazione e la conferma dell'identità di un sospetto, il monitoraggio dei suoi social media o l'individuazione di eventuali reti di infiltrazione. Dai file di log trapelati, abbinano gli indirizzi IP e scoprono gli altri cospiratori o gli indirizzi IP dei punti di esfiltrazione. In combinazione con le piste interne, i dati aperti consentono loro di smantellare l'intera rete di infiltrazioni. D'altra parte, una formazione mirata sull'OSINT garantisce che gli agenti rispettino la legge sul trattamento dei dati personali.

Vantaggi principali dell'Open Source Intelligence (OSINT)

L'OSINT è conveniente dal punto di vista economico, poiché si basa su informazioni disponibili pubblicamente, ed è efficace nel fornire informazioni dettagliate in vari campi. Dagli avvisi di infiltrazione in tempo reale alla facilità dei controlli di conformità, i vantaggi sono numerosi. Qui di seguito illustreremo e analizzeremo quattro vantaggi chiave che dimostrano la rilevanza dell'OSINT per le operazioni odierne:

1. Informazioni convenienti e di ampio respiro: A differenza delle soluzioni di intelligence proprietarie, l'open source intelligence si basa principalmente su informazioni accessibili al pubblico. Altre forme di informazione, come strumenti o query di ricerca specifiche, ad esempio controlli avanzati dei domini, costano meno dei feed chiusi. Questa sinergia consente alle piccole imprese di raccogliere molte informazioni e colmare il divario con avversari che dispongono di maggiori risorse finanziarie. Tuttavia, l'ampia portata mostra angoli di infiltrazione o menzioni pubbliche che potrebbero non essere mai visibili nei feed specializzati.
2. Rilevamento più rapido delle minacce e risposta agli incidenti: L'OSINT può anche aiutare i team a rilevare più rapidamente i tentativi di infiltrazione monitorando l'ambiente esterno alla ricerca di menzioni del marchio o del personale. Ad esempio, se i criminali si vantano delle credenziali rubate sui forum di hacking, gli analisti possono immediatamente modificare gli account interessati. Questa sinergia riduce il tempo necessario per infiltrarsi da settimane a poche ore, riducendo così il tempo in cui i dati possono essere sottratti. Nel tempo, un approccio in tempo reale favorisce una posizione di sicurezza più adattabile.
3. Maggiore consapevolezza della situazione: È qui che la combinazione di dati aperti e registri interni può aiutare a spiegare in modo più dettagliato come potrebbero verificarsi infiltrazioni o furti d'identità del marchio. Ad esempio, collegare le previsioni meteorologiche ai post sui social media potrebbe confermare o smentire le accuse di infiltrazione basate sulla posizione geografica. Ciò fornisce una valutazione equilibrata del rischio che aiuta a determinare dove allocare il personale o dove rafforzare il sistema. È attraverso diversi cicli che le organizzazioni acquisiscono informazioni raffinate sulle infiltrazioni sia virtuali che fisiche.
4. Pianificazione strategica informata e conformità: Attraverso le tecniche OSINT, è possibile rilevare nuove tendenze nelle infiltrazioni o nuove TTP (tattiche, tecniche e procedure). Tali informazioni influenzano le decisioni relative al budget per l'applicazione di patch, l'assunzione di nuovo personale o l'implementazione di soluzioni EDR più avanzate soluzioni EDR. Tuttavia, i dati ottenuti tramite OSINT possono dimostrare che un'organizzazione è pronta per la conformità a framework quali GDPR o NIST, il che dimostrerà che le minacce vengono monitorate attivamente. Questa sinergia garantisce che i team di sicurezza siano benper adattarsi ai cambiamenti nelle sfide di infiltrazione.

Sfide e problematiche dell'OSINT

Sebbene l'OSINT sia uno strumento utile per il rilevamento delle infiltrazioni e la protezione del marchio, esistono alcuni problemi ad esso correlati. Di seguito sono riportati quattro potenziali rischi dell'OSINT che potrebbero ostacolarne il corretto utilizzo se non adeguatamente affrontati:

1. Sovraccarico di dati e falsi positivi: La raccolta di dati da numerose fonti causa un sovraccarico di informazioni, o rumore, e nasconde informazioni importanti in fluttuazioni minori. La correlazione avanzata o i filtri automatizzati sono utili, ma possono creare un flusso di avvisi impossibile da gestire se configurati in modo errato. Un numero elevato di falsi positivi può oscurare gli angoli di infiltrazione effettivi. Pertanto, sono necessarie un'attenta selezione, una corretta messa a punto e successive regolazioni per mantenere alto il rapporto segnale/rumore.
2. Limiti etici e legali: La raccolta di informazioni di dominio pubblico non è esente da violazioni del diritto alla privacy o da pratiche di doxxing. L'infiltrazione o lo scraping eccessivo di comunità "semi-private" può violare i termini di servizio o le leggi locali sulla protezione dei dati. Questa sinergia richiede che i team di intelligence OSINT aderiscano a un determinato codice di condotta quando conducono le loro operazioni, assicurandosi di non violare le leggi sulla privacy. Una tale estensione eccessiva può portare a conseguenze legali o danneggiare la reputazione dell'azienda.
3. Piattaforme e tattiche in rapida evoluzione: I criminali informatici cambiano costantemente le loro modalità operative, passando dai forum aperti alle app crittografate e utilizzando i social media per brevi periodi. Le applicazioni che un tempo estraevano informazioni da grandi reti potrebbero rallentare se i criminali passassero a piccoli forum specializzati. Questa sinergia implica che gli strumenti OSINT devono essere dinamici e adattarsi ai cambiamenti nei nuovi siti o utilizzare metodi di scraping invisibili. Se non vengono aggiornati, gli analisti potrebbero essere in grado di osservare solo un numero limitato di conversazioni di infiltrazione.
4. Verifica e Affidabilità delle fonti: Non tutti i dati aperti sono affidabili: alcuni potrebbero essere voci, screenshot falsi o informazioni false. Un'eccessiva fiducia in tali dati porta a conclusioni errate sulle infiltrazioni o allo spreco di risorse. Per garantire l'autenticità dei risultati, gli analisti dovrebbero corroborare ogni affermazione con dati secondari o comunicati aziendali. Questa sinergia garantisce che l'analisi OSINT sia basata su fatti e non su supposizioni o che non sia vittima di infiltrazioni o storie manipolate.

Gli strumenti OSINT aiutano le organizzazioni a identificare minacce e vulnerabilità dalle informazioni disponibili pubblicamente. Per un approccio più completo, Singularity XDR integra informazioni avanzate sulle minacce per un rilevamento e una risposta più rapidi e accurati.

Migliori pratiche OSINT (Open Source Intelligence)

Un'efficace intelligence open source non richiede solo un uso efficiente degli strumenti di scraping. Il rispetto delle best practice in materia di pianificazione, regolamentazione della condotta etica, integrazione tra discipline e documentazione è fondamentale per ottenere risultati ottimali. Di seguito illustriamo quattro best practice OSINT per garantire che le analisi siano condotte in modo uniforme ed efficace e che le infiltrazioni possano essere individuate in modo efficace:

1. Definire obiettivi e ambito chiari: In primo luogo, determinare quali tipi di infiltrazioni o fughe di dati si desidera identificare, ad esempio l'usurpazione del marchio, il furto delle credenziali del personale o lo spionaggio della concorrenza. La creazione di confini aiuta a evitare di perdere tempo su dati non rilevanti. L'integrazione garantisce che ciascuna delle fasi OSINT corrisponda agli obiettivi generali aziendali o di sicurezza per migliorare il ritorno sull'investimento. Nelle espansioni successive, riesaminare l'ambito per includere nuovi ampliamenti del personale o linee di prodotti.
2. Selezionare gli strumenti e le metodologie appropriati: In alcuni casi sono necessari tipi specifici di scansione, come gli osservatori di repository di codice, la scansione delle minacce sul dark web o le scansioni geospaziali. È fondamentale valutare un'ampia gamma di strumenti di intelligence open source per identificare quelli adatti ai tipi di dati mirati. La sinergia facilita una migliore comprensione della profondità di infiltrazione, oltre ad abbinare la conoscenza del dominio con lo scraping sociale. A lungo termine, l'analisi dell'efficacia dello strumento8217;s effectiveness and the feedback from the users help to shape the OSINT tech stack.
3. Mantenere la conformità etica e legale: Spiegare come procedere affinché i membri del personale non si dedichino a spionaggio illegale su gruppi chiusi o violino i diritti alla privacy. Sviluppare una politica solida per la raccolta, l'archiviazione e l'utilizzo dei dati, basando la politica sulle giurisdizioni. La sinergia contribuisce a stabilire la credibilità con le parti interessate e protegge il marchio da potenziali azioni legali. In caso di dubbio, chiedere consiglio a un avvocato, soprattutto quando si effettuano ricerche tra informazioni personali o siti vietati.
4. Convalidare e incrociare i risultati: Non affidarsi a un singolo post o a una singola affermazione, ma esaminare diversi dati che dovrebbero essere simili. Cercate di verificare l'autenticità delle voci di infiltrazione o delle credenziali trapelate utilizzando altre fonti o registri. Combina gli elementi dell'OSINT e della scienza forense interna per garantire che le piste di infiltrazione siano credibili. Questo approccio crea una conoscenza equilibrata e affidabile che può poi informare risposte appropriate.

Esempi reali di OSINT

Oltre alle considerazioni teoriche, gli esempi reali di OSINT dimostrano come l'intelligence open source aiuti a risolvere crimini o casi di spionaggio. Ecco cinque esempi che dimostrano l'applicazione pratica dei dati pubblici curati, dall'identificazione dei criminali alla verifica delle minacce interne. Tutti questi esempi dimostrano come l'OSINT sistematico influenzi le indagini.

1. L'Open-Source Intelligence rivela i collegamenti con il Cremlino nel caso di spionaggio Korolev (2024): In questo caso, l'OSINT ha identificato dei collegamenti tra un sospettato locale e una possibile attività di spionaggio russa. La polizia e altri investigatori hanno utilizzato i giornali locali e i social media insieme a riferimenti provenienti da un'università straniera per stabilire i collegamenti con l'infiltrazione. Anche quando i documenti ufficiali non erano completi, il controllo incrociato dei dati ha contribuito a svelare una rete di spionaggio. Questa sinergia ha dimostrato come le competenze OSINT possano integrare le informazioni che i canali ufficiali potrebbero non coprire.
2. Caso di studio di sextortion da parte della polizia (2024): In una truffa di sextortion perpetrata lo scorso anno, le forze dell'ordine hanno utilizzato la formazione e gli strumenti OSINT per rintracciare i criminali che costringevano le vittime a pagare denaro. L'oggetto dell'indagine riguardava il monitoraggio di un singolo truffatore nigeriano e l'uso di sofisticate tecniche di scraping dei social media e analisi dei metadati per mappare l'attività del sospettato. Sebbene i tabulati telefonici non fossero inclusi nell'indagine e non vi fosse alcuna operazione sotto copertura ufficiale, queste pratiche si sono rivelate utili per comprendere la struttura della truffa. Alla fine, la polizia non ha arrestato alcun sospettato, cosa piuttosto tipica nelle indagini di informatica forense.
3. Iniziativa contro la tratta di esseri umani (2024): Nell'ambito del progetto Traverse, l'investigatore Aidan ha utilizzato strumenti OSINT per identificare i trafficanti di esseri umani e trovare i loro profili online. Grazie alla comprensione concettuale e contestuale del dominio e alla successiva analisi delle immagini, è stato possibile identificare diversi collegamenti digitali che legavano diversi aspetti della rete di traffico. Sebbene ciò non abbia comportato l'abbinamento di annunci o l'identificazione di migrazioni interstatali, ha ampliato notevolmente l'indagine. Questo caso dimostra anche l'applicabilità dell'OSINT nel lavoro umanitario al di là dell'ambito aziendale.
4. Implicazioni di Facebook per le frodi e le persone scomparse (2024):  In un'altra operazione, gli investigatori hanno utilizzato l'OSINT in relazione ai profili Facebook per risolvere casi di frode assicurativa e cercare persone scomparse. Utilizzando i dati di Facebook Marketplace e l'attività degli utenti, sono stati in grado di identificare le ultime posizioni e costruire i profili digitali. L'indagine non ha utilizzato piattaforme basate sulla comunità per raccogliere i dati, ma si è basata esclusivamente sul tracciamento dei profili, dimostrando che l'OSINT è un approccio potente rispetto ai metodi tradizionali. È stato possibile constatare che la scansione e l'analisi continue hanno fornito una solida base per i precedenti metodi di indagine e hanno contribuito a far luce sia sui casi di frode che sulle situazioni delle persone scomparse.
5. Smascherare il lato oscuro delle truffe crypto (2024): I ricercatori hanno utilizzato framework OSINT integrati con l'analisi blockchain per identificare l'autore di una truffa crypto di tipo Pig Butchering che contattava direttamente le vittime tramite applicazioni di messaggistica come WhatsApp, e-mail o Telegram. L'indagine sulla truffa ha permesso di stabilire il modus operandi analizzando le tracce lasciate nel mondo digitale e le transazioni blockchain senza dover fare affidamento sui post dei forum e sulle somiglianze condivise. Questo tipo di approccio ha dimostrato come, combinando l'intelligence digitale con l'analisi blockchain, sia possibile svelare anche le truffe crypto più complesse attraverso accurati metodi OSINT.

Come può aiutare SentinelOne?

SentinelOne monitora e scansiona costantemente grandi quantità di dati open source, rilevando le minacce prima che si trasformino in problemi critici. Purple AI e i flussi di lavoro di iperautomazione forniscono informazioni dettagliate sulle vulnerabilità, come credenziali compromesse, furti di identità di domini e campagne di minacce informatiche in corso.

La piattaforma incrocia continuamente le informazioni OSINT con gli avvisi di sicurezza integrati per la gestione in tempo reale degli endpoint esposti. Le funzionalità di risposta autonoma di SentinelOne reagiscono a ransomware, attacchi di phishing e minacce zero-day più rapidamente rispetto alle soluzioni di sicurezza tradizionali.

SentinelOne assiste i team di sicurezza nella raccolta di fonti OSINT dai mercati darknet, dalle bacheche degli hacker e dai social media. SentinelOne fornisce supporto per la conformità agli standard di settore quali NIST, CIS Benchmark, ISO 27001, PCI-DSS, SOC 2 e GDPR, garantendo così una sicurezza olistica.

Singularity™ Threat Intelligence è in grado di fornire una comprensione approfondita del panorama delle minacce. Monitora in modo proattivo le minacce emergenti, riduce i rischi e identifica gli avversari negli ambienti. SentinelOne è in grado di migliorare il rilevamento delle minacce grazie ai suoi motori AI autonomi e di contestualizzare gli incidenti correlando tra loro. Può aiutarti a stare diversi passi avanti agli aggressori grazie alle sue funzionalità Offensive Security Engine™ e Verified Exploit Paths™.

Gli utenti possono rilevare rapidamente, dare priorità e rispondere alle minacce note in tempo reale, consentendo loro di concentrarsi sugli incidenti ad alta priorità per ridurre al minimo il potenziale impatto. È possibile classificare gli avvisi di sicurezza in base al contesto degli avversari. SentinelOne è in grado di identificare gli autori delle minacce grazie ai suoi rilevamenti ad alta fedeltà. Può utilizzare politiche di risposta automatica quando Indicatori di compromissione (IOC) , garantendo un intervento rapido per neutralizzare i potenziali rischi.

Singularity™ Threat Intelligence è fornito da Mandiant (ora parte di Google Cloud), ampiamente riconosciuto come leader nel settore della threat intelligence.

Le informazioni di Mandiant sono curate da:

• 500 esperti di intelligence sulle minacce in 30 paesi che parlano oltre 30 lingue.
• Approfondimenti da oltre 1.800 risposte a violazioni all'anno.
• 200.000 ore di risposta agli incidenti all'anno.
• Informazioni di prima linea dai servizi IR e MDR di Mandiant.
• Sia intelligence sulle minacce open source (OSINT) che intelligence proprietaria.

Singularity™ Threat Intelligence evidenzia gli IOC rilevati all'interno della rete, fornendo indicazioni preziose per avviare attività mirate di ricerca delle minacce. Basato su Singularity™ Data Lake, consente di cercare in modo proattivo le minacce attraverso strumenti di sicurezza e di neutralizzarle preventivamente prima che causino danni.

Prenotate una demo live gratuita per scoprirlo.

Conclusione

In definitiva, è fondamentale comprendere cosa sia l'OSINT, soprattutto in un mondo pieno di informazioni e in cui i criminali sono abbastanza intelligenti da sfruttare i dati a loro disposizione. Attraverso l'OSINT, le organizzazioni possono raccogliere, analizzare, correlare e ottenere un vantaggio che va oltre i normali registri o i feed a pagamento sulle minacce. Dal controllo dei falsi domini che si spacciano per altri alla scansione dei social media alla ricerca di segnalazioni di infiltrazioni,

l'OSINT promuove l'identificazione precoce degli angoli o dei modelli di infiltrazione. In combinazione con solidi framework, una formazione regolare del personale e migliori pratiche migliorate, l'open source intelligence fornisce un approccio flessibile che può affrontare le moderne minacce di infiltrazione, compresa l'infiltrazione di ransomware.

In altre parole, l'OSINT dipende dal ciclo di raccolta dei dati, riduzione del rumore, correlazione e reimmissione dei risultati negli strumenti di sicurezza che prevengono le intrusioni. Strumenti come SentinelOne facilitano questa sinergia, fornendo la possibilità di mettere in quarantena gli endpoint compromessi in tempo reale, mentre l'OSINT migliora la comprensione più ampia delle minacce.

Perché aspettare? Scoprite come SentinelOne Singularity™ può aiutarvi a consolidare il rilevamento delle minacce in tempo reale con una piattaforma di protezione degli endpoint basata sull'intelligenza artificiale e OSINT.

---

Ti è piaciuto questo articolo? Seguici su LinkedIn, Twitter, YouTube o Facebook per vedere i contenuti che pubblichiamo.

Maggiori informazioni sulla sicurezza informatica

• 11 cattive abitudini che compromettono la tua sicurezza informatica
• 7 consigli per proteggere la tua forza lavoro remota in crescita
• Attacchi Bluetooth | Non trascurare i tuoi endpoint
• Che cos'è la sicurezza di rete al giorno d'oggi?
• 7 piccoli cambiamenti che faranno una grande differenza nella protezione dei tuoi endpoint
• Valutazione dei prodotti per la sicurezza degli endpoint: 15 errori stupidi da evitare

"