Tutti i segreti della Cybersecurity: il blog di Cyberoo

OSINT Open source Intelligence software: come usarli al meglio

Scritto da cyberoo-admin | 8 luglio 2020

Se pensate di usare uno o più OSINT software dovete prendere qualche accorgimento nella scelta perché l’impresa e il risultato finale siano efficaci.

 

Cosa si intende per OSINT o Open Source Intelligence

La Central Intelligence Agency (CIA) definisce come OSINT o Open Source Intelligence l’insieme di tutte le informazioni liberamente accessibili da Blog, internet, social, forum, riviste on line, atti di convegni, foto, mappe geolocalizzate motori di ricerca, (comuni e meno famosi), e satelliti. In generale, si tratta di tutte quelle informazioni considerate preziose anche se non segrete. L’OSINT svolge un ruolo essenziale nel fornire alla comunità di sicurezza nazionale una visione completa e un contesto a un costo relativamente basso.

Ma anche l’Open Source Intelligence ha le sue sfide. Il volume delle informazioni può essere scoraggiante e “separare il grano dalla paglia” richiede abilità, conoscenza e dipendenza da sofisticate tecnologie informatiche. Infatti, scegliendo gli OSINT software corretti il profitto in termini di efficacia ed efficienza è elevato. Ovvero, l’OSINT è sempre stato parte integrante dell'intelligence, ma con i giusti strumenti software, il valore e il potenziale dell’OSINT stesso sarà anche maggiore in futuro.

 

Cosa sono le tecniche di indagine OSINT 

Le tecniche di indagine OSINT per la cyber security sono le strategie e i metodi usati per raccogliere e analizzare informazioni provenienti da fonti aperte al pubblico. Trattandosi di materiale pubblico, la tecnica più comune è la ricerca su motori di ricerca, ma occorre aggiungervi quella sui social media e i forum di discussione, l'analisi di siti web, la consultazione di database pubblici e la verifica delle informazioni attraverso fonti multiple per garantire l'accuratezza e la validità delle informazioni.

Le tecniche di indagine OSINT coinvolgono spesso l'utilizzo di strumenti e software specializzati per automatizzare e semplificare il processo di raccolta e analisi delle informazioni (OSINT tools). 

 

OSINT Software: le feature necessarie per realizzare il processo di OSINT

L’OSINT non è una semplice ricerca su Google o Facebook, perché le informazioni sono gestite con lo scopo di creare una specifica conoscenza in supporto ad una particolare decisione di un individuo o gruppo. Ovvero ha lo scopo finale di creare una specifica conoscenza con un obiettivo ben preciso. Nel caso della Cybersecurity si usano OSINT software nell’ambito della identificazione e rilevazione delle minacce.

Quale che sia l’OSINT Software prescelto deve permettere di implementare uno o più degli step del processo di OSINT:Collect, Process, Analyse, Visualize e Collaborate”.
Nella prima fase si effettua il recupero delle informazioni mediante Software di OSINT capace di ricercare dati su base keyword o frasi complesse, mediante crawlers e attraverso Feed informativi. Questa fase è cruciale perché una acquisizione di informazioni poco attinenti all’oggetto di interesse, genera cali di performance e di qualità del risultato, nelle fasi successive.

Nella fase “Process”, si estrae l’informazione dalle fonti.
Nella fase di “Analyse” si effettua la correlazione per link analysis delle relazioni eventualmente integrando dati di geolocalizzazione delle informazioni trovate, tenendo conto di statistiche matematiche a corredo.

Alla fase “Visualizzazione” il prodotto deve evidenziare dati di rete, relazioni e grafici nella forma di mappe che mostrino la localizzazione delle informazioni e infine nella fase “Collaborate” le informazioni sono presentate in modo da permetterne un uso strategico o attinente all’obiettivo prefissato.

 

 

 

Perché si ha bisogno degli OSINT tools 

L’uso degli OSINT tools rientra nella Cyber Threat Intelligence che tramite software appropriati adotta e implementa il processo di OSINT per individuare le minacce, documentarle e compilare rappresentazioni di Tecniche, Tattiche e Procedure (TTps) descrittive di come la minaccia opera, per poterne fare un uso operativo orientato alla prevenzione.  

Infatti, è possibile identificare trend di attacco o campagne di attacco, come le frodi o come le “campagne di phishing” dirette verso servizi bancari o infrastrutture critiche, se c’è vendita di credenziali e carte di credito nell’underground dei black market (ovvero il dark web n.d.r.) oppure se si preparano effrazioni informatiche ai danni di una specifica organizzazione. 

Quindi gli strumenti OSINT possono identificare le minacce abilitando il Threat Hunting. Con questo termine si intende l’identificazione di tutte le tecniche manuali o machine-assisted utilizzate da un analista di Security o Threat Intelligence per rilevare un incidente di sicurezza. Usando i giusti OSINT tools - facendo quindi ricerche mirate e acquisendo conoscenza degli avversari - ogni analista può migliorare le sue capacità di automatizzare il rilevamento di quell’attacco attraverso la comprensione del relativo TTp.  

Nella ricerca di informazioni mediante OSINT software è possibile per gli analisti identificare e profilare i gruppi attaccanti, capire i vettori di attacco più comuni, i tipi di malware maggiormente utilizzati secondo lo scopo di attacco e identificare le più appropriate tecniche di mitigazione, contenimento e remediation. Il tutto con carattere preventivo rispetto all’effettiva situazione di emergenza in cui ci si potrebbe trovare in caso di incidente informatico in corso. 

Lo stesso tipo di ricerche mediante strumenti OSINT può essere utilizzato per ricerche sulla brand reputation, e per la prevenzione di attacchi terroristici a infrastrutture di tipo critico. 

 

I vantaggi dell'utilizzo di un software OSINT 

Riassumendo, l’utilizzo di strumenti OSINT genera notevoli benefici nell’ottica del contrasto al cyber crime, e in particolare a chi si occupa di intelligence e cyber security.  

  1. Un software OSINT automatizza il processo di raccolta e analisi delle informazioni provenienti da fonti aperte, consentendo di risparmiare tempo e budget. 
  2. Il software ha la capacità di aggregare e organizzare le informazioni in modo strutturato e facilmente consultabile. 
  3. I tool OSINT per la cyber security offrono solitamente capacità di analisi dei dati, come la visualizzazione grafica delle informazioni, la reportistica e l’approccio predittivo (AI)
  4. I software OSINT si integrano con altre soluzioni e strumenti di sicurezza informatica, così da arricchire ulteriormente le informazioni raccolte e migliorare l'efficacia delle analisi.