Was ist OSINT?
Open-Source-Intelligence (OSINT) ist ein Framework, das das Sammeln, Analysieren und Interpretieren öffentlich zugänglicher Daten umfasst, um Einblicke in Cyber-Bedrohungen, gegnerische Aktivitäten und Angriffstechniken zu erhalten. OSINT identifiziert harmlos erscheinende Informationen, die, wenn sie mit der Denkweise eines Angreifers analysiert werden, kritische Lücken in der Sicherheitslage eines Unternehmens aufdecken könnten.
Ethisches vs. bösartiges OSINT
OSINT-Operationen werden häufig ethisch von Threat-Intelligence-Analysten und Informationssicherheitsexperten durchgeführt, die Daten verwenden, die von Websites, Publikationen, sozialen Medien, öffentlichen Datenbanken, Domain-Registries, dem Dark Web und anderen öffentlichen Datenquellen gesammelt wurden, um sowohl bekannte als auch Zero-Day-Bedrohungen aufzudecken.
Abgesehen von seinen legitimen Anwendungsfällen wird OSINT auch von böswilligen Angreifern eingesetzt, um versehentlich offengelegte Vermögenswerte, durchgesickerte (sensible) Daten oder andere Informationen aufzudecken, die sie bei koordinierten Cyberangriffen nutzen können.
Wenn OSINT rechtmäßig durchgeführt wird, folgt es in der Regel einem sechsstufigen Prozess, der von OWASP, einschließlich der Identifizierung von Zielen, der Sammlung von Quellen, der Datenaggregation, der Datenverarbeitung, der Analyse und der Achtung ethischer Grenzen. Dieser Prozess wird in der Regel durch eine breite Palette von OSINT-Tools wie Intelligence X und Maltego erleichtert.
Why is OSINT important?
Warum ist OSINT wichtig?
Von der Sammlung von Informationen über die Erkennung von Schatten-IT bis hin zur Risikobewertung können Unternehmen sowohl direkt als auch indirekt von OSINT profitieren.
Wie Unternehmen direkt von OSINT profitieren
Als Unternehmen mit internetgestützten Anwendungen und Diensten bietet Ihnen die Durchführung interner OSINT-Operationen eine Vielzahl von Vorteilen:
Informationen, die in Hackerforen und anderen Quellen gesammelt werden, können als Frühwarnsystem dienen, um Sicherheitslücken oder potenzielle Angriffe aufzudecken, bevor sie Schaden anrichten können.
OSINT kann Ihnen dabei helfen, Ihre Cyberdefense-Strategien und die allgemeine Betriebssicherheit (OPSEC) zu verbessern, indem es Cloud-Fehlkonfigurationen und Pfade zu potenziell anfälligen öffentlich zugänglichen Assets aufzeigt.
Mit OSINT können Sie Schwachstellen von Drittanbietern und Risiken in der Software-Lieferkette erkennen, um fundierte Entscheidungen darüber zu treffen, welche Software von Drittanbietern in Ihren Stack integriert werden soll.
Wie Organisationen indirekt von OSINT profitieren
Wenn Unternehmen mit Cybersicherheitsanbietern zusammenarbeiten, die OSINT in ihre Dienste integrieren, können sie leistungsstarke und dynamische Tools nutzen, die die Sicherheit ihres IT-Stacks verbessern. Unternehmen können auch erheblich von der Expertise der Threat-Intel-Analysten der Anbieter profitieren. Diese Forscher sind versiert darin, Cloud-Fehlkonfigurationen aufzudecken, wie z. B. exponierte Azure Blob Storage oder AWS S3-Buckets, die interne Teams möglicherweise übersehen.
Darüber hinaus können Sicherheitsanbieter in ihrer Planungsphase viel mehr Ressourcen für die Überwachung offener Quellen auf Zero-Day-Schwachstellen und -Angriffe aufwenden. Die gesammelten Informationen können dann in ihre Cyber Threat Intelligence (CTI)-Systeme eingespeist werden, um Unternehmen mit den neuesten TTPs für Bedrohungsakteure zu versorgen und CISOs und Cybersicherheitsingenieure in die Lage zu versetzen, fundierte Entscheidungen über die Sicherung kritischer Infrastrukturen zu treffen.
Top-OSINT-Tools
Obwohl das Sammeln und Verarbeiten von OSINT äußerst vorteilhaft ist, kann es ohne die richtigen Werkzeuge ein mühsamer, zeitaufwändiger Prozess sein. Im Folgenden finden Sie die 9 besten Tools, mit denen Sie das Beste aus Ihrer OSINT-Reise machen können:
1. Babel X
Babel X, powered by Babel Street, ist eine mehrsprachige, KI-gestützte OSINT-Plattform, die Informationen aus öffentlich zugänglichen Informationsquellen (PAI), einschließlich sozialer Medien, Blogs, Dark-Web-Foren und mehr, sammelt und analysiert. Babel X ist darauf trainiert, 200+ Sprachen zu verstehen, und nutzt seine fortschrittlichen Algorithmen für maschinelles Lernen und NLP-Funktionen (Natural Language Processing), um Rauschen aus OSINT zu filtern und Inhalte in die bevorzugten Sprachen der Benutzer zu übersetzen. Anschließend werden die Daten indiziert und kritische Informationen hervorgehoben, um Ihre Entscheidungsfindung zu optimieren.
Funktionen und Anwendungsfälle
Babel X unterstützt aktive und passive Scans, Datenvisualisierung über Diagramme, Geospatial Mapping und mehr. Sie können Ihre OSINT auf Babel X mit booleschen Suchen für schnelle Scans durchführen oder Suchen nach Schlüsselwörtern, Zeitrahmen, Geolokalisierung oder Dateityp für eine feinkörnige Filterung konfigurieren. Sie können auch die APIs integrieren, um Babel X-Informationen direkt in Ihre Plattformen einzuspeisen und so eine proaktive Bedrohungserkennung zu ermöglichen. Dennoch kann der hohe Preis von Babel X für Unternehmensanwender, die die Palette der Funktionen nutzen möchten, eine sorgfältige Abwägung erfordern.
2. BuiltWith
Gebaut mit ist ein Website-Profiling-Tool zur Analyse von DNS-Einträgen, Content-Management-Systemen, Bibliotheken von Drittanbietern und anderen IT-Infrastrukturen, auf denen die Website eines Ziels aufgebaut ist. BuiltWith identifiziert die einzigartigen Muster, die selbst die obskursten Infrastrukturelemente hinterlassen. Anschließend werden alle in der indizierten Datenbank gesammelten Informationen gespeichert, einschließlich historischer Daten, z. B. wann eine bestimmte Technologie zu einer Website hinzugefügt oder von ihr entfernt wurde.
Funktionen und Anwendungsfälle
Unternehmen können BuiltWith verwenden, um Informationen über die bestehenden oder potenziellen Schwachstellen ihrer Website auf der Grundlage ihrer Infrastrukturkomponenten zu sammeln. Dies ist besonders nützlich für das Mapping von Angriffsflächen und das Risikomanagement in der Software-Lieferkette. Obwohl BuiltWith einige OSINT-Anwendungsfälle bietet, handelt es sich nicht um ein vollständiges OSINT-Tool. Zum Beispiel bietet es keine Einblicke in Angreifer' TTPs oder Ziele.
3. DarkSearch.io
Dunkle Suche ist eine Suchmaschine zum Sammeln von Dark-Web-Informationen von Datendump-Sites, Black-Hat-Foren, verschiedenen Dokumentenformaten, IRC-Chatrooms, Spiel-Chats und mehr. Es funktioniert, indem es Tor2web durchsucht und Informationen in strukturierte Daten indiziert, um schnellere Abfrageantworten zu erhalten.
Funktionen und Anwendungsfälle
Sie können Informationen in DarkSearch mithilfe von boolescher Logik oder Schlüsselwortsuchen abfragen. Sie können auch APIs von Drittanbietern integrieren, um Abfrageergebnisse für die weitere Verarbeitung zu exportieren. Darüber hinaus benachrichtigt DarkSearch Benutzer in Echtzeit über bestimmte E-Mails, wenn neue Scans wichtige Informationen offenbaren. Da DarkSearch jedoch nur das Dark Web scannt, kann es sein, dass Schwachstellen und Bedrohungen übersehen werden, die sich direkt vor seiner Nase im öffentlich zugänglichen Surface Web befinden.
4. BAZL
Fingerprinting Organisationen mit gesammelten Archiven (BAZL) ist ein spezialisiertes Tool zum Sammeln versteckter Metadaten aus öffentlich zugänglichen Dokumenten, einschließlich Microsoft- und Open Docs, SVGs, PDFs, Excel-Tabellen, PowerPoint-Dateien und Adobe InDesign-Dateien. Bei diesen Dokumenten handelt es sich in der Regel um indizierte Dateien, die von Unternehmensdomänen, öffentlichen Websites und Suchmaschinen heruntergeladen wurden.
Features and use cases
Funktionen und Anwendungsfälle
Sie können FOCA-Abfragen über Google, Bing und DuckDuckGo ausführen, um Informationen wie kompromittierte Benutzernamen, E-Mails, interne IP-Adressen und -Pfade sowie TTPs von Angreifern aufzudecken. Während das FOCA ein guter Ausgangspunkt für das Sammeln von OSINT ist, ist die Unfähigkeit, nicht indizierte Dateien, Webseiten, das Deep/Dark Web und andere kritische OSINT-Quellen zu scannen, eine große Einschränkung.
5. Intelligenz X
Intelligenz X ist eine Suchmaschine zur Überwachung von Dark-Web-Aktivitäten und zur Entdeckung von kompromittierten Anmeldeinformationen oder offengelegten sensiblen Daten. Es sammelt OSINT auf mehreren Plattformen, darunter Deep-Web-/Dark-Web-Foren, die auf Tor gehostet werden, I2P-Websites, deaktivierte Webseiten und Mainstream-Quellen wie Facebook, Pastebin und GitHub. Intelligence X durchsucht kontinuierlich das Internet mit Fokus auf obskurere Quellen, die normalerweise nicht von herkömmlichen Suchmaschinen indiziert werden.
Features and use cases
Funktionen und Anwendungsfälle
Mit Intelligence X können Sie Informationen aus acht verschiedenen Kategorien abfragen. Sie können Intelligence X verwenden, um schädliche Aktivitäten oder Erwähnungen aufzudecken, die sich gegen Ihre Organisation richten, Dokumente zu identifizieren, die vertrauliche Daten Ihrer Organisation enthalten, die von Dump-Sites wiederhergestellt wurden, und vieles mehr. Trotz dieser Vorteile müssen Intelligence X-Benutzer die Vor- und Nachteile sorgfältig abwägen, da das Tool für Unternehmensanwender recht kostspielig und komplex zu bedienen sein kann.
6. Maltego
Maltego ist ein grafisches Link-Analyse-Tool zum Sammeln von OSINT über Bedrohungsakteure, Organisationen, Domänen und mehr. Es verfügt über eine transformationsbasierte Architektur für die Durchführung automatisierter, anpassbarer Abfragen. Maltego unterstützt die Datenvisualisierung über interaktive Diagramme, um es den Nutzern zu ermöglichen, Datenbeziehungen (z. B. die Beziehung zwischen einer Organisation und einer Hackergruppe) abzubilden.
Features and use cases
Funktionen und Anwendungsfälle
Maltego kratzt Metadaten aus sozialen Medien, Identitätsdatenbanken, dem Dark Web und anderen OSINT-Quellen und bietet KI-gestützte Überwachungsfunktionen in Echtzeit. Mit der Unterstützung von 120+ Plattformen können Sie Maltego verwenden, um komplexe OSINT-Untersuchungen an bestimmten Zielen durchzuführen oder Cyberbedrohungen und -angriffe in freier Wildbahn zu entdecken.
7. Mitaka
Mitaka ist eine Open-Source-Webbrowser-Erweiterung zur Analyse von Malware, zur Bewertung der Glaubwürdigkeit einer URL oder E-Mail-Adresse und zur allgemeinen Suche nach Indicators of Compromise (IOCs) über IPs, Domains und mehr hinweg. Mitaka sammelt Informationen aus einer Vielzahl von Quellen, darunter IP-Reputationsdatenbanken, SSL/TLS-Zertifikatsprüfkits und Threat-Intelligence-Feeds wie MalwareBazaar.
Funktionen und Anwendungsfälle
Nach der Konfiguration wird Mitaka automatisch zusammen mit Ihrem Browser ausgeführt und sammelt Bedrohungsdaten wie CVEs, Viren und Malware auf Zielwebsites über Browsererweiterungen. Während es nützlich ist, um Malware- und Phishing-Angriffe zu untersuchen, kann die Fähigkeit von Mitaka, die Browseraktivität zu stören, dazu führen, dass Passwörter über eine Hintertür eines Drittanbieters offengelegt werden.
8. Aufklärung
Aufklärung ist ein Open-Source-OSINT- und Pen-Testing-Tool für die Befehlszeile. Recon-ng sammelt OSINT aus Datenbanken und IP-Adressen, DNS-Lookups, Suchmaschinen und mehr.
Features and use cases
Funktionen und Anwendungsfälle
Um OSINT über Organisationen, Einzelpersonen und mehr zu sammeln, suchen Sie in den Modulen von Recon-ng wie "bing_domain_web" für die Sammlung von Domain-Informationen, »ip_geolocation« zum Sammeln von Daten über den Standort des Ziels und "ssl_search" zur Aufdeckung der kompromittierten SSL-Zertifikate des Ziels.
9. Spinnenfuß
SpiderFoot ist ein Open-Source-OSINT-Tool mit 200+ Modulen zum Sammeln von Informationen über Zielorganisationen, Domains und IP-Adressen, Netzwerke, E-Mails und Benutzernamen. Es bietet Automatisierungsfunktionen für routinemäßige OSINT-Aufgaben wie DNS-Abfragen, Bedrohungsdatenprüfungen, Erkennung von Sicherheitsverletzungen, WHOIS-Abfragen und mehr.
Features and use cases
Funktionen und Anwendungsfälle
SpiderFoot zieht Daten aus 100+ öffentlichen Quellen, darunter soziale Medien, Websites, Threat Intelligence-Feeds und DNS-Einträge. Es unterstützt die Datenkreuzkorrelation zur Abbildung der Beziehungen zwischen verschiedenen Entitäten und bietet Datenvisualisierungstools, um Verbindungen zwischen verschiedenen Informationen grafisch abzubilden. Unternehmen können die von SpiderFoot gesammelten Informationen nutzen, um gängige Bedrohungsmuster zu identifizieren und ihre Angriffsfläche zu verwalten.
Enhancing your cybersecurity with solutions powered by Wiz Threat Intelligence (Wiz TI)
Verbessern Sie Ihre Cybersicherheit mit Lösungen, die auf Wiz Threat Intelligence (Wiz TI) basieren
Wiz Threat Intelligence (Wiz TI) können Sie von OSINT profitieren, ohne umfangreiche eigene Scans durchführen zu müssen. Und zusätzlich zu OSINT Wiz-Ratschläge werden mit legitim abgerufenen privaten Daten generiert, die die Erkenntnisse über das hinausgehen, was OSINT allein liefern kann.
Wiz TI continuously identifies indicators of compromise (IoCs); explores tactics, techniques, and procedures (TTPs) used by threat actors; and discerns threat behaviors in real time. With these insights, organizations are better informed on how to mitigate risks and improve their ability to detect and respond to actual threats. Key features of Wiz TI include:
Wiz TI identifiziert kontinuierlich Indicators of Compromise (IoCs); untersucht Taktiken, Techniken und Verfahren (TTPs), die von Bedrohungsakteuren verwendet werden; und erkennt Bedrohungsverhalten in Echtzeit. Mit diesen Erkenntnissen sind Unternehmen besser darüber informiert, wie sie Risiken mindern und ihre Fähigkeit verbessern können, tatsächliche Bedrohungen zu erkennen und darauf zu reagieren. Zu den wichtigsten Funktionen von Wiz TI gehören:
Wiz Bedrohungszentrum: Hier teilt das Wiz Threat Research-Team neue Bedrohungen, gezielte Technologien, Abwehrmaßnahmen und Einblicke, die detailliert beschreiben, wie sich dies auf Ihre Umgebung auswirken könnte.
Eingehende Untersuchung: Das Wiz Research-Team führt umfangreiche Recherchen durch, um neue Cloud-Bedrohungen aufzudecken und zu untersuchen, und verwendet dabei Tools wie die Wiz Laufzeit-Sensor. Indem Sie über die neuesten Bedrohungen auf dem Laufenden bleiben, sobald sie auftauchen, können Sie Cyberabwehrstrategien entwickeln, um Angreifern einen Schritt voraus zu sein.
CVE-Nummerierungsstelle (CNA): In Anerkennung seiner Bemühungen in der Bedrohungs- und Schwachstellenforschung für eine sicherere und transparentere Cloud wurde Wiz vom Common Vulnerability and Exposures (CVE) Program als CNA zugelassen.
TTPs-Analyse: Wiz untersucht verschiedene TTPs, die von Bedrohungsakteuren verwendet werden (z. B. TTPs, die bei EKS-Angriffen verwendet werden), um Ihnen Einblicke in die anfälligsten Komponenten Ihres Stacks zu geben und zu erfahren, warum sie anfällig sind.
Diese Funktionen verbessern Wiz gemeinsam.', Cloud-Sicherheitsbedrohungen zu erkennen, zu analysieren und darauf zu reagieren. Da die Informationen von Wiz TI auf Recherchen sowohl aus Open-Source- als auch aus privaten Daten basieren, Wiz-Plattform Verfügen Sie immer über die neuesten Informationen, um Ihren Stack zu schützen und seine anhaltende Ausfallsicherheit zu gewährleisten, selbst wenn neue Bedrohungen, TTPs und CVEs auftauchen.
Wir haben auch einige interessante Funktionen, die bald verfügbar sind. Bleiben Sie dran für:
Ein Portal direkt in Ihrer Wiz-Plattform, das Berichte aus dem Cloud-Bedrohungslandschaft um Sie über Bedrohungsakteure und ihre Aktivitäten auf dem Laufenden zu halten
Eine Funktion, die Ihnen hilft, Ergebnisse in Ihrer Umgebung zu korrelieren und sie bestimmten Bedrohungsakteuren zuzuordnen.