OSINT software: come usarli per identificare e rilevare minacce

Se pensate di usare uno o più OSINT software dovete prendere qualche accorgimento nella scelta perché l’impresa e il risultato finale siano efficaci.

La Central Intelligence Agency (CIA) definisce come OSINT (Open Source Intelligence) l’insieme di tutte le informazioni liberamente accessibili da Blog, internet, social, forum, riviste on line, atti di convegni, foto, mappe geolocalizzate motori di ricerca, (comuni e meno famosi), addirittura satelliti ecc.. In generale, si tratta di tutte quelle informazioni considerate preziose anche se non segrete. L’OSINT svolge un ruolo essenziale nel fornire alla comunità di sicurezza nazionale una visione completa e un contesto a un costo relativamente basso.

Ma anche l’OSINT ha le sue sfide. Il volume delle informazioni può essere scoraggiante e “separare il grano dalla paglia” richiede abilità, conoscenza e dipendenza da sofisticate tecnologie informatiche. Infatti, scegliendo gli OSINT software corretti il profitto in termini di efficacia ed efficienza è elevato. Ovvero, l’OSINT è sempre stato parte integrante dell'intelligence, ma con i giusti strumenti software, il valore e il potenziale dell’OSINT stesso sarà anche maggiore in futuro.


OSINT Software: le feature necessarie per realizzare il processo di OSINT

L’OSINT non è una semplice ricerca, perché le informazioni sono gestite con lo scopo di creare una specifica conoscenza in supporto ad una particolare decisione di un individuo o gruppo. Ovvero ha lo scopo finale di creare una specifica conoscenza con un obiettivo ben preciso. Nel caso della Cybersecurity si usano OSINT software nell’ambito della identificazione e rilevazione delle minacce.

Quale che sia l’OSINT Software prescelto deve permettere di implementare uno o più degli step del processo di OSINT:Collect, Process, Analyse, Visualize e Collaborate”.
Nella prima fase si effettua il recupero delle informazioni mediante Software di OSINT capace di ricercare dati su base keyword o frasi complesse, mediante crawlers e attraverso Feed informativi. Questa fase è cruciale perché una acquisizione di informazioni poco attinenti all’oggetto di interesse, genera cali di performance e di qualità del risultato, nelle fasi successive.

Nella fase “Process”, si estrae l’informazione dalle fonti.
Nella fase di “Analyse” si effettua la correlazione per link analysis delle relazioni eventualmente integrando dati di geolocalizzazione delle informazioni trovate, tenendo conto di statistiche matematiche a corredo.

Alla fase “Visualizzazione” il prodotto deve evidenziare dati di rete, relazioni e grafici nella forma di mappe che mostrino la localizzazione delle informazioni e infine nella fase “Collaborate” le informazioni sono presentate in modo da permetterne un uso strategico o attinente all’obiettivo prefissato.


Perché si ha bisogno di OSINT SOFTWARE tools

L’uso degli OSINT Software rientra nella Cyber Threat Intelligence che tramite software di OSINT appropriati adotta e implementa il processo di OSINT per individuare le minacce, documentarle e compilare rappresentazioni di Tecniche, Tattiche e Procedure (TTps) descrittive di come la minaccia opera, per poterne fare un uso operativo orientato alla prevenzione.  Infatti, è possibile identificare trend di attacco o campagne di attacco, come le frodi o come le “campagne di phishing” dirette verso servizi bancari o infrastrutture critiche, se c’è vendita di credenziali e carte di credito nell’underground dei black market (ovvero il dark web n.d.r.) oppure se si preparano effrazioni informatiche ai danni di una specifica organizzazione.

Quindi gli OSINT software possono identificare le minacce abilitando il Threat Hunting. Con questo termine si intende l’identificazione di tutte le tecniche manuali o machine-assisted utilizzate da un analista di Security o Threat Intelligence per rilevare un incidente di sicurezza. Usando i giusti Software di OSINT facendo quindi ricerche mirate e acquisendo conoscenza degli avversari ogni analista può migliorare le sue capacità di automatizzare il rilevamento di quell’attacco attraverso la comprensione del relativo TTp. Nella ricerca di informazioni mediante OSINT software è possibile per gli analisti identificare e profilare i gruppi attaccanti, capire i vettori di attacco più comuni, i tipi di malware maggiormente utilizzati secondo lo scopo di attacco e identificare le più appropriate tecniche di mitigazione, contenimento e remediation.  Il tutto con carattere preventivo rispetto all’effettiva situazione di emergenza in cui ci si potrebbe trovare in caso di incidente informatico in corso.

Lo stesso tipo di ricerche mediante OSINT software può essere utilizzato per ricerche sulla brand reputation, e per la prevenzione di attacchi terroristici a infrastrutture di tipo critico.


New call-to-action