Wiz
Tous les articlesThreat Landscape

Les 9 meilleurs outils OSINT

Équipe d'experts Wiz
Modèle de réponse aux incidents dans le cloudRegarder une démo de 5 minutes
Key takeaways about OSINT tools:

  • OSINT tools help you uncover risks you might miss: They automate the process of finding exposed data, misconfigurations, and potential attack paths across public sources.

  • There's a tool for every use case: From mapping your attack surface to tracking leaked credentials or analyzing dark web chatter, the right OSINT tool can make your security team more efficient.

  • Automation saves time: Modern OSINT tools can run scheduled scans, send alerts, and integrate with your existing security stack, so you don't have to do everything manually.

  • Context matters: The best results come from combining OSINT with internal data and threat intelligence, so you can prioritize what really matters to your business.

  • Wiz brings it all together: With Wiz Threat Intelligence, you get OSINT insights plus proprietary research, all in one platform – so you can act fast and stay secure.

Qu’est-ce que l’OSINT ?

Le renseignement de source ouverte (OSINT) est un cadre qui implique la collecte, l’analyse et l’interprétation de données accessibles au public afin d’obtenir des informations sur les cybermenaces, les activités adverses et les techniques d’attaque. L’OSINT identifie les informations apparemment inoffensives qui, si elles étaient analysées avec l’état d’esprit d’un attaquant, pourraient révéler des failles critiques dans la posture de sécurité d’une entreprise. 

Figure 1: The OSINT framework (Source: OSINT)

OSINT éthique ou OSINT malveillant 

Les opérations OSINT sont souvent menées de manière éthique par des analystes de la veille sur les menaces et des experts en sécurité de l’information qui utilisent des données collectées à partir de sites Web, de publications, de médias sociaux, de bases de données publiques, de registres de domaines, du dark web et d’autres sources de données publiques pour découvrir les menaces connues et zero-day.

Outre ses cas d’utilisation légitimes, l’OSINT est également déployé par des adversaires malveillants pour découvrir des actifs accidentellement exposés, des données (sensibles) divulguées ou d’autres informations qu’ils peuvent exploiter dans des cyberattaques coordonnées. 

Lorsque l’OSINT est effectué légitimement, il suit généralement un processus en six étapes décrit par L’OWASP, y compris l’identification des cibles, la collecte des sources, l’agrégation de données, le traitement et l’analyse des données, et le respect des limites éthiques. Ce processus est généralement facilité par un large éventail d’outils OSINT tels que Intelligence X et Maltego.

Why is OSINT important?

Pourquoi l’OSINT est-il important ?

Qu’il s’agisse de la collecte de renseignements, de la découverte du Shadow IT ou de l’évaluation des risques, les entreprises peuvent bénéficier de l’OSINT à la fois directement et indirectement. 

Comment les organisations bénéficient directement de l’OSINT 

En tant qu’organisation disposant d’applications et de services connectés à Internet, la réalisation d’opérations OSINT internes vous offre un large éventail d’avantages : 

  • Les informations recueillies sur des forums de pirates et d’autres sources peuvent servir de système d’alerte précoce, en découvrant les faiblesses de sécurité ou les attaques potentielles avant qu’elles ne puissent causer des dommages. 

  • L’OSINT peut vous aider à améliorer vos stratégies de cyberdéfense et votre sécurité opérationnelle globale (OPSEC) en cartographiant les erreurs de configuration du cloud et les chemins d’accès aux ressources publiques potentiellement vulnérables.

  • Avec l’OSINT, vous pouvez détecter les vulnérabilités des tiers et les risques de la chaîne d’approvisionnement logicielle pour vous aider à prendre des décisions éclairées sur les logiciels tiers à intégrer dans votre pile.

Comment les organisations bénéficient indirectement de l’OSINT 

Lorsque les organisations s’associent à des fournisseurs de cybersécurité qui intègrent l’OSINT dans leurs services, elles peuvent profiter d’outils puissants et dynamiques conçus pour améliorer la sécurité de leur pile informatique. Les entreprises bénéficieront également considérablement de l’expertise des analystes d’informations sur les menaces des fournisseurs. Ces chercheurs sont passés maîtres dans la découverte des erreurs de configuration du cloud, telles que l’exposition du stockage Azure Blob ou des compartiments AWS S3, que les équipes internes peuvent négliger.

De plus, les fournisseurs de sécurité peuvent consacrer beaucoup plus de ressources à la surveillance des sources ouvertes à la recherche de vulnérabilités et d’attaques zero-day dans leurs phases de planification. Les informations recueillies peuvent ensuite être intégrées à leurs systèmes de cyber-threat intelligence (CTI), fournissant aux entreprises les derniers TTP des acteurs malveillants et permettant aux RSSI et aux ingénieurs en cybersécurité de prendre des décisions éclairées sur la sécurisation des infrastructures critiques. 

Académie Wiz

The 13 Must-Follow Threat Intel Feeds

En savoir plus

Meilleurs outils OSINT

Bien qu’extrêmement bénéfiques, la collecte et le traitement de l’OSINT peuvent être un processus laborieux et chronophage sans les bons outils. Vous trouverez ci-dessous les 9 meilleurs outils pour tirer le meilleur parti de votre parcours OSINT :  

1. Babel X

Babel X, propulsée par Babel Street, est une plate-forme OSINT multilingue alimentée par l’IA qui extrait et analyse des informations provenant de sources d’informations accessibles au public, notamment les médias sociaux, les blogs, les forums du dark web, etc. Formé pour comprendre + de 200 langues, Babel X utilise ses algorithmes d’apprentissage automatique avancés et ses capacités de traitement du langage naturel (NLP) pour filtrer le bruit de l’OSINT collecté et traduire le contenu dans les langues préférées des utilisateurs. Il indexe ensuite les données et met en évidence les intelligences critiques, optimisant ainsi votre prise de décision.

Figure 2: OSINT with Babel X (Source: Babel X)

Fonctionnalités et cas d’utilisation

Babel X prend en charge les balayages actifs et passifs, la visualisation des données via des graphiques, la cartographie géospatiale, etc. Vous pouvez effectuer votre OSINT sur Babel X à l’aide de recherches booléennes pour des analyses rapides ou configurer des recherches par mot-clé, période, géolocalisation ou type de fichier pour un filtrage précis. Vous pouvez également intégrer ses API pour alimenter directement les informations de Babel X dans vos plateformes afin de détecter les menaces de manière proactive. Néanmoins, pour les utilisateurs d’entreprise qui cherchent à exploiter sa gamme de fonctionnalités, le prix élevé de Babel X peut nécessiter une attention particulière. 

2. BuiltWith

ConstruitAvec est un outil de profilage de site Web permettant d’analyser les enregistrements DNS, les systèmes de gestion de contenu, les bibliothèques tierces et toute autre infrastructure informatique sur laquelle le site Web d’une cible est construit. BuiltWith identifie les modèles uniques laissés par les éléments d’infrastructure les plus obscurs. Il stocke ensuite toutes les informations recueillies dans sa base de données indexée, y compris les données historiques, par exemple quand une certaine technologie a été ajoutée ou supprimée d’un site Web. 

Figure 3: BuiltWith dashboard (Source: BuiltWith)

Fonctionnalités et cas d’utilisation

Les entreprises peuvent utiliser BuiltWith pour recueillir des informations sur les vulnérabilités existantes ou potentielles de leur site Web en fonction de ses composants d’infrastructure. Ceci est particulièrement utile pour la cartographie de la surface d’attaque et la gestion des risques de la chaîne d’approvisionnement logicielle. Bien que BuiltWith ait quelques cas d’utilisation OSINT, il ne s’agit pas d’un outil OSINT complet. Par exemple, il ne fournit pas d’informations sur les attaquants' derniers TTP ou objectifs.

3. DarkSearch.io

Recherche DarkSearch est un moteur de recherche permettant de collecter des informations sur le dark web à partir de sites de vidage de données, de forums black hat, de divers formats de documents, de salons de discussion IRC, de chats de jeux, etc. Il fonctionne en explorant Tor2web et en indexant les informations dans des données structurées pour des réponses plus rapides aux requêtes. 

Figure 4: DarkSearch homepage (Source: DarkSearch)

Fonctionnalités et cas d’utilisation

Vous pouvez interroger des informations sur DarkSearch à l’aide d’une logique booléenne ou de recherches par mots-clés. Vous pouvez également intégrer des API tierces pour exporter les résultats des requêtes en vue d’un traitement ultérieur. De plus, DarkSearch alerte les utilisateurs en temps réel par le biais d’e-mails désignés chaque fois que de nouvelles analyses révèlent des informations critiques. Pourtant, en n’analysant que le dark web, DarkSearch peut passer à côté des vulnérabilités et des menaces qui se trouvent directement sous son nez dans le web de surface accessible au public.

4. L’OFAC

Prise d’empreintes digitales des organisations avec archives collectées (FOCA) est un outil spécialisé dans la collecte de métadonnées cachées à partir de documents accessibles au public, y compris Microsoft et open Docs, SVG, PDF, feuilles de calcul Excel, fichiers PowerPoint et fichiers Adobe InDesign. Ces documents sont généralement des fichiers indexés téléchargés à partir de domaines d’entreprise, de sites Web publics et de moteurs de recherche.

 

Features and use cases

Fonctionnalités et cas d’utilisation

Vous pouvez exécuter des requêtes FOCA via Google, Bing et DuckDuckGo pour découvrir des informations telles que des noms d’utilisateur compromis, des e-mails, des adresses IP et des chemins d’accès internes, ainsi que les TTP des attaquants. Bien que FOCA soit un excellent point de départ pour la collecte d’OSINT, son incapacité à analyser les fichiers non indexés, les pages Web, le Web profond/sombre et d’autres sources OSINT critiques est une limitation majeure.

5. Intelligence X

Intelligence X est un moteur de recherche permettant de surveiller les activités du dark web et de découvrir des informations d’identification divulguées ou des données sensibles exposées. Il rassemble l’OSINT sur plusieurs plateformes, y compris les forums du deep web/dark web hébergés sur Tor, les sites I2P, les pages Web désactivées et les sources grand public comme Facebook, Pastebin et GitHub. Intelligence X parcourt continuellement Internet en se concentrant sur des sources plus obscures qui ne sont généralement pas indexées par les moteurs de recherche traditionnels.

Features and use cases

Fonctionnalités et cas d’utilisation

Intelligence X vous permet d’interroger des informations à partir de huit catégories différentes. Vous pouvez utiliser Intelligence X pour découvrir des activités contradictoires ou des mentions dirigées contre votre organisation, identifier des documents contenant des données sensibles de votre organisation récupérées sur des sites de vidage, etc. Malgré ces avantages, les utilisateurs d’Intelligence X doivent soigneusement peser le pour et le contre, car l’outil peut être assez coûteux et complexe à utiliser pour les entreprises.

6. Maltego

Maltego est un outil d’analyse de liens graphiques permettant de recueillir des informations OSINT sur les acteurs de la menace, les organisations, les domaines, etc. Il dispose d’une architecture basée sur la transformation pour effectuer des requêtes automatisées et personnalisables. Maltego prend en charge la visualisation des données via des graphiques interactifs pour permettre aux utilisateurs de cartographier les relations entre les données (par exemple, la relation entre une organisation et un groupe de pirates). 

Features and use cases

Fonctionnalités et cas d’utilisation

Maltego récupère les métadonnées des médias sociaux, des bases de données d’identité, du dark web et d’autres sources OSINT, offrant ainsi des capacités de surveillance en temps réel alimentées par l’IA. Avec sa prise en charge de 120+ plateformes, vous pouvez utiliser Maltego pour mener des enquêtes OSINT complexes sur des cibles spécifiques ou découvrir des cybermenaces et des attaques dans la nature. 

7. Mitaka

Mitaka est une extension de navigateur Web open source permettant d’analyser les logiciels malveillants, d’évaluer la crédibilité d’une URL ou d’une adresse e-mail et, de manière générale, de trouver des indicateurs de compromission (IOC) entre les adresses IP, les domaines, etc. Mitaka recueille des informations à partir d’un large éventail de sources, notamment des bases de données de réputation IP, des kits de vérification de certificats SSL/TLS et des flux de renseignements sur les menaces comme MalwareBazaar.

Fonctionnalités et cas d’utilisation

Une fois configuré, Mitaka s’exécute automatiquement en même temps que votre navigateur, récupérant les données de menace telles que les CVE, les virus et les logiciels malveillants sur les sites Web cibles via des extensions de navigateur. Bien qu’il soit utile pour enquêter sur les logiciels malveillants et les attaques de phishing, la capacité de Mitaka à interférer avec l’activité du navigateur peut entraîner l’exposition du mot de passe via une porte dérobée tierce. 

8. Reconnaissance

Reconnaissance est un outil de test OSINT et d’stylet open source en ligne de commande. Recon-ng collecte l’OSINT à partir de bases de données et d’adresses IP, de recherches DNS, de moteurs de recherche, etc.

Features and use cases

Fonctionnalités et cas d’utilisation

Pour collecter des informations OSINT sur les organisations, les individus, etc., recherchez les modules de Recon-ng tels que 'bing_domain_web » pour la collecte d’informations sur le domaine, 'ip_geolocation' pour la collecte de données sur l’emplacement de la cible, et 'ssl_search » pour découvrir les certificats SSL compromis de la cible. 

9. Pied d’araignée

SpiderFooIl s’agit d’un outil OSINT open-source avec 200+ modules permettant de collecter des informations sur les organisations cibles, les domaines et les adresses IP, les réseaux, les e-mails et les noms d’utilisateur. Il offre des capacités d’automatisation pour les tâches OSINT de routine telles que les requêtes DNS, les vérifications de renseignements sur les menaces, la détection des violations, les recherches WHOIS, etc.

Features and use cases

Fonctionnalités et cas d’utilisation

SpiderFoot extrait des données de 100+ sources publiques, y compris les médias sociaux, les sites Web, les flux de renseignements sur les menaces et les enregistrements DNS. Il prend en charge la corrélation croisée des données pour cartographier les relations entre différentes entités et fournit des outils de visualisation de données pour cartographier graphiquement les connexions entre diverses informations. Les entreprises peuvent utiliser les informations recueillies par SpiderFoot pour identifier les modèles de menaces courants et gérer leur surface d’attaque. 

Enhancing your cybersecurity with solutions powered by Wiz Threat Intelligence (Wiz TI)

Améliorez votre cybersécurité grâce aux solutions optimisées par Wiz Threat Intelligence (Wiz TI)

Wiz Threat Intelligence (Wiz TI) vous permet de bénéficier de l’OSINT sans avoir à effectuer vos propres analyses approfondies. Et en plus de l’OSINT, Avis Wiz sont générés à l’aide de données privées légitimement accessibles qui enrichissent les résultats au-delà de ce que l’OSINT seul peut fournir. 

Wiz TI continuously identifies indicators of compromise (IoCs); explores tactics, techniques, and procedures (TTPs) used by threat actors; and discerns threat behaviors in real time. With these insights, organizations are better informed on how to mitigate risks and improve their ability to detect and respond to actual threats. Key features of Wiz TI include:

Wiz TI identifie en permanence les indicateurs de compromission (IoC) ; explore les tactiques, les techniques et les procédures (TTP) utilisées par les auteurs de menace ; et discerne les comportements des menaces en temps réel. Grâce à ces informations, les organisations sont mieux informées sur la façon d’atténuer les risques et d’améliorer leur capacité à détecter et à répondre aux menaces réelles. Les principales caractéristiques de Wiz TI sont les suivantes :

  • Centre de menaces Wiz: C’est ici que l’équipe de Wiz Threat Research partage les menaces émergentes, les technologies ciblées, les défenses et les informations détaillant la façon dont votre environnement peut être affecté.

  • Enquête approfondie: L’équipe de recherche de Wiz mène des recherches approfondies pour découvrir et enquêter sur les nouvelles menaces liées au cloud, à l’aide d’outils tels que le Capteur d’autonomie Wiz. En vous tenant au courant des dernières menaces au fur et à mesure qu’elles apparaissent, vous pouvez développer des stratégies de cyberdéfense pour devancer les attaquants.

  • Autorité de Numérotation CVE (CNA): En reconnaissance de ses efforts dans la recherche sur les menaces et les vulnérabilités vers un cloud plus sûr et plus transparent, Wiz a été autorisé en tant que CNA par le programme CVE (Common Vulnerability and Exposures).

  • Analyse des TTP : Wiz enquête sur divers TTP utilisés par des acteurs malveillants (par exemple, TTP utilisés dans les attaques EKS) pour vous fournir des informations sur les composants les plus vulnérables de votre pile et sur les raisons pour lesquelles ils sont vulnérables.

Ces capacités améliorent collectivement Wiz'à détecter, analyser et répondre aux menaces de sécurité du cloud. Étant donné que les informations de Wiz TI sont basées sur des recherches à partir de données open source et privées, le Plateforme Wiz dispose toujours des dernières informations pour protéger votre pile et garantir sa résilience continue, même lorsque de nouvelles menaces, TTP et CVE apparaissent.  

Nous avons également des fonctionnalités intéressantes à venir. Restez à l’affût pour :

  • Un portail directement sur votre plateforme Wiz qui intègre les rapports de la Paysage des menaces dans le cloud pour vous tenir au courant des acteurs de la menace et de ce qu’ils font

  • Une fonctionnalité qui vous aide à corréler les découvertes dans votre environnement et à les attribuer à des acteurs malveillants spécifiques.