Wiz
Tutti gli articoliThreat Intel

I 9 migliori strumenti OSINT

Team di esperti Wiz
Modello di risposta agli incidenti nel cloudGuarda la demo di 5 minuti
Key takeaways about OSINT tools:

  • OSINT tools help you uncover risks you might miss: They automate the process of finding exposed data, misconfigurations, and potential attack paths across public sources.

  • There's a tool for every use case: From mapping your attack surface to tracking leaked credentials or analyzing dark web chatter, the right OSINT tool can make your security team more efficient.

  • Automation saves time: Modern OSINT tools can run scheduled scans, send alerts, and integrate with your existing security stack, so you don't have to do everything manually.

  • Context matters: The best results come from combining OSINT with internal data and threat intelligence, so you can prioritize what really matters to your business.

  • Wiz brings it all together: With Wiz Threat Intelligence, you get OSINT insights plus proprietary research, all in one platform – so you can act fast and stay secure.

Che cos'è l'OSINT?

L'intelligence open source (OSINT) è un framework che prevede la raccolta, l'analisi e l'interpretazione dei dati disponibili pubblicamente per ottenere informazioni dettagliate sulle minacce informatiche, sulle attività avversarie e sulle tecniche di attacco. L'OSINT identifica informazioni apparentemente innocue che, se analizzate con la mentalità di un utente malintenzionato, potrebbero rivelare lacune critiche nella posizione di sicurezza di un'azienda. 

Figure 1: The OSINT framework (Source: OSINT)

OSINT etico e dannoso 

Le operazioni OSINT sono spesso eseguite in modo etico da analisti di threat intelligence ed esperti di sicurezza delle informazioni che utilizzano i dati raccolti da siti Web, pubblicazioni, social media, database pubblici, registri di domini, dark web e altre fonti di dati pubblici per scoprire minacce note e zero-day.

Oltre ai suoi casi d'uso legittimi, OSINT viene utilizzato anche da avversari malintenzionati per scoprire risorse esposte accidentalmente, dati trapelati (sensibili) o altre informazioni che possono sfruttare in attacchi informatici coordinati. 

Quando l'OSINT viene eseguito in modo legittimo, in genere segue un processo in sei fasi delineato da OWASP, tra cui l'identificazione del bersaglio, la raccolta delle fonti, l'aggregazione dei dati, l'elaborazione dei dati, l'analisi e il rispetto dei confini etici. Questo processo è solitamente facilitato da un'ampia gamma di strumenti OSINT come Intelligence X e Maltego.

Why is OSINT important?

Perché l'OSINT è importante?

Dalla raccolta di informazioni e dalla scoperta dello shadow IT alla valutazione dei rischi, le aziende possono trarre vantaggio dall'OSINT sia direttamente che indirettamente. 

In che modo le organizzazioni traggono vantaggio diretto da OSINT 

In qualità di organizzazione con app e servizi connessi a Internet, lo svolgimento di operazioni OSINT interne offre un'ampia gamma di vantaggi: 

  • Le informazioni raccolte dai forum degli hacker e da altre fonti possono fungere da sistema di allerta precoce, scoprendo punti deboli della sicurezza o potenziali attacchi prima che possano causare danni. 

  • OSINT può aiutare a migliorare le strategie di difesa informatica e la sicurezza operativa complessiva (OPSEC) mappando le configurazioni errate del cloud e i percorsi verso le risorse rivolte al pubblico potenzialmente vulnerabili.

  • Con OSINT, puoi rilevare le vulnerabilità di terze parti e i rischi della catena di fornitura del software per aiutarti a prendere decisioni informate su quale software di terze parti incorporare nel tuo stack.

In che modo le organizzazioni traggono vantaggio indiretto da OSINT 

Quando le organizzazioni collaborano con i fornitori di sicurezza informatica che integrano OSINT nei loro servizi, possono usufruire di strumenti potenti e dinamici progettati per migliorare la sicurezza del loro stack IT. Le aziende possono anche trarre notevoli vantaggi dall'esperienza degli analisti di intelligence sulle minacce dei fornitori. Questi ricercatori sono abili nello scoprire configurazioni errate del cloud, come l'archiviazione BLOB di Azure esposta o i bucket AWS S3, che i team interni potrebbero trascurare.

Inoltre, i fornitori di sicurezza possono dedicare molte più risorse al monitoraggio delle fonti aperte per individuare vulnerabilità e attacchi zero-day nelle fasi di pianificazione. Le informazioni raccolte possono quindi essere inserite nei loro sistemi di intelligence sulle minacce informatiche (CTI), fornendo alle aziende le TTP più recenti degli attori delle minacce e consentendo ai CISO e agli ingegneri della sicurezza informatica di prendere decisioni informate sulla sicurezza delle infrastrutture critiche. 

Accademia Wiz

The 13 Must-Follow Threat Intel Feeds

Leggi di più

Strumenti OSINT migliori

Sebbene estremamente vantaggiosa, la raccolta e l'elaborazione di OSINT possono essere un processo scrupoloso e dispendioso in termini di tempo senza gli strumenti giusti. Di seguito sono riportati i 9 migliori strumenti per sfruttare al meglio il tuo viaggio OSINT:  

1. Babel X

Babele X, alimentato da Babel Street, è una piattaforma OSINT multilingue basata sull'intelligenza artificiale che estrae e analizza le informazioni da fonti di informazioni pubblicamente disponibili (PAI), inclusi social media, blog, forum del dark web e altro ancora. Addestrato a comprendere 200+ lingue, Babel X utilizza i suoi avanzati algoritmi di apprendimento automatico e le capacità di elaborazione del linguaggio naturale (NLP) per filtrare il rumore proveniente dall'OSINT raccolto e tradurre i contenuti nelle lingue preferite dagli utenti. Quindi indicizza i dati ed evidenzia l'intelligenza critica, ottimizzando il processo decisionale.

Figure 2: OSINT with Babel X (Source: Babel X)

Caratteristiche e casi d'uso

Babel X supporta scansioni attive e passive, visualizzazione dei dati tramite grafici, mappatura geospaziale e altro ancora. Puoi condurre il tuo OSINT su Babel X utilizzando ricerche booleane per scansioni veloci o configurare ricerche per parola chiave, intervallo di tempo, geolocalizzazione o tipo di file per un filtraggio a grana fine. Puoi anche integrare le sue API per alimentare direttamente le informazioni di Babel X nelle tue piattaforme per il rilevamento proattivo delle minacce. Tuttavia, per gli utenti aziendali che cercano di attingere alla sua gamma di funzionalità, il prezzo elevato di Babel X potrebbe richiedere un'attenta considerazione. 

2. BuiltWith

Costruito con è uno strumento di profilazione del sito Web per l'analisi dei record DNS, dei sistemi di gestione dei contenuti, delle librerie di terze parti e di altre infrastrutture IT su cui è costruito il sito Web di un target. BuiltWith identifica i modelli univoci lasciati anche dagli elementi dell'infrastruttura più oscuri. Memorizza quindi tutte le informazioni raccolte nel suo database indicizzato, inclusi i dati storici, ad esempio quando una determinata tecnologia è stata aggiunta o rimossa da un sito Web. 

Figure 3: BuiltWith dashboard (Source: BuiltWith)

Caratteristiche e casi d'uso

Le aziende possono utilizzare BuiltWith per raccogliere informazioni sulle vulnerabilità esistenti o potenziali del proprio sito Web in base ai componenti dell'infrastruttura. Ciò è particolarmente utile per la mappatura della superficie di attacco e la gestione del rischio della supply chain del software. Sebbene BuiltWith abbia alcuni casi d'uso OSINT, non è uno strumento OSINT completo. Ad esempio, non fornisce informazioni dettagliate sugli aggressori' TTP o obiettivi più recenti.

3. DarkSearch.io

Ricerca oscura è un motore di ricerca per la raccolta di informazioni sul dark web da siti di dump di dati, forum black hat, vari formati di documenti, chat room IRC, chat di gioco e altro ancora. Funziona eseguendo la scansione di Tor2web e l'indicizzazione di Intel in dati strutturati per risposte alle query più rapide. 

Figure 4: DarkSearch homepage (Source: DarkSearch)

Caratteristiche e casi d'uso

È possibile interrogare le informazioni su DarkSearch utilizzando la logica booleana o le ricerche per parole chiave. È inoltre possibile integrare API di terze parti per esportare i risultati delle query per un'ulteriore elaborazione. Inoltre, DarkSearch avvisa gli utenti in tempo reale tramite e-mail designate ogni volta che nuove scansioni rivelano informazioni critiche. Tuttavia, scansionando solo il dark web, DarkSearch potrebbe perdere le vulnerabilità e le minacce che sono direttamente sotto il suo naso nel web di superficie disponibile pubblicamente.

4. UFAC

Rilevamento delle impronte digitali delle organizzazioni con raccolta d'archivio (UFAC) è uno strumento specializzato per la raccolta di metadati nascosti da documenti disponibili pubblicamente, tra cui Microsoft e documenti aperti, SVG, PDF, fogli di calcolo Excel, file PowerPoint e file Adobe InDesign. Questi documenti sono in genere file indicizzati scaricati da domini aziendali, siti Web pubblici e motori di ricerca.

 

Features and use cases

Caratteristiche e casi d'uso

È possibile eseguire query FOCA tramite Google, Bing e DuckDuckGo per scoprire informazioni come nomi utente, e-mail, indirizzi IP interni e percorsi compromessi e TTP degli aggressori. Sebbene l'UFAC sia un ottimo punto di partenza per la raccolta OSINT, la sua incapacità di scansionare file non indicizzati, pagine web, deep / dark web e altre fonti OSINT critiche è una delle principali limitazioni.

5. Intelligenza X

Intelligenza X è un motore di ricerca per il monitoraggio delle attività del dark web e per la scoperta di credenziali trapelate o dati sensibili esposti. Raccoglie OSINT su più piattaforme, inclusi forum deep web/dark web ospitati su Tor, siti I2P, pagine Web disattivate e fonti mainstream come Facebook, Pastebin e GitHub. Intelligence X esegue continuamente la scansione di Internet concentrandosi su fonti più oscure che in genere non sono indicizzate dai motori di ricerca tradizionali.

Features and use cases

Caratteristiche e casi d'uso

Intelligence X consente di interrogare informazioni da otto diverse categorie. È possibile utilizzare Intelligence X per scoprire attività o menzioni avversarie rivolte all'organizzazione, identificare i documenti contenenti i dati sensibili dell'organizzazione recuperati dalle discariche e altro ancora. Nonostante questi vantaggi, gli utenti di Intelligence X devono valutare attentamente i suoi pro e i suoi contro, poiché lo strumento può essere piuttosto costoso e complesso da utilizzare per gli utenti aziendali.

6. Maltego

Maltego è uno strumento grafico di analisi dei collegamenti per la raccolta di OSINT su attori delle minacce, organizzazioni, domini e altro ancora. Dispone di un'architettura basata sulla trasformazione per l'esecuzione di query automatizzate e personalizzabili. Maltego supporta la visualizzazione dei dati tramite grafici interattivi per consentire agli utenti di mappare le relazioni tra i dati (ad esempio, la relazione tra un'organizzazione e un gruppo di hacker). 

Features and use cases

Caratteristiche e casi d'uso

Maltego estrae i metadati dai social media, dai database di identità, dal dark web e da altre fonti OSINT, fornendo funzionalità di monitoraggio in tempo reale basate sull'intelligenza artificiale. Con il suo supporto per 120+ piattaforme, puoi utilizzare Maltego per condurre complesse indagini OSINT su obiettivi specifici o scoprire minacce informatiche e attacchi in natura. 

7. Mitaka

Mitaka è un'estensione del browser Web open source per l'analisi del malware, la valutazione della credibilità di un URL o di un indirizzo e-mail e, in generale, la ricerca di indicatori di compromissione (IOC) tra IP, domini e altro ancora. Mitaka raccoglie informazioni da un'ampia gamma di fonti, tra cui database di reputazione IP, kit di controllo dei certificati SSL/TLS e feed di intelligence sulle minacce come MalwareBazaar.

Caratteristiche e casi d'uso

Una volta configurato, Mitaka viene eseguito automaticamente insieme al browser, raccogliendo i dati sulle minacce come CVE, virus e malware nei siti Web di destinazione tramite estensioni del browser. Sebbene sia utile per indagare su malware e attacchi di phishing, la capacità di Mitaka di interferire con l'attività del browser può portare all'esposizione della password tramite una backdoor di terze parti. 

8. Ricognizione

Ricognizione è uno strumento di test OSINT e penna open source a riga di comando. Recon-ng raccoglie l'OSINT da database e indirizzi IP, ricerche DNS, motori di ricerca e altro ancora.

Features and use cases

Caratteristiche e casi d'uso

Per raccogliere OSINT su organizzazioni, individui e altro, cerca nei moduli di Recon-ng come "bing_domain_web' per la raccolta di informazioni sul dominio, 'ip_geolocation' per la raccolta di dati sulla posizione del bersaglio, e "ssl_search' per scoprire i certificati SSL compromessi di target. 

9. Piede di ragno

SpiderFooè uno strumento OSINT open source con 200+ moduli per la raccolta di informazioni su organizzazioni target, domini e indirizzi IP, reti, e-mail e nomi utente. Offre funzionalità di automazione per le attività OSINT di routine come query DNS, controlli di intelligence sulle minacce, rilevamento delle violazioni, ricerche WHOIS e altro ancora.

Features and use cases

Caratteristiche e casi d'uso

SpiderFoot estrae dati da 100+ fonti pubbliche, tra cui social media, siti Web, feed di intelligence sulle minacce e record DNS. Supporta la correlazione incrociata dei dati per mappare le relazioni tra diverse entità e fornisce strumenti di visualizzazione dei dati per mappare graficamente le connessioni tra varie informazioni. Le aziende possono utilizzare le informazioni raccolte da SpiderFoot per identificare i modelli di minaccia comuni e gestire la superficie di attacco. 

Enhancing your cybersecurity with solutions powered by Wiz Threat Intelligence (Wiz TI)

Migliora la tua sicurezza informatica con le soluzioni basate su Wiz Threat Intelligence (Wiz TI)

Wiz Threat Intelligence (Wiz TI) ti consente di beneficiare di OSINT senza il fastidio di eseguire le tue scansioni approfondite. E oltre all'OSINT, Avvisi Wiz sono generati utilizzando dati privati ad accesso legittimo che arricchiscono i risultati al di là di ciò che l'OSINT da sola può fornire. 

Wiz TI continuously identifies indicators of compromise (IoCs); explores tactics, techniques, and procedures (TTPs) used by threat actors; and discerns threat behaviors in real time. With these insights, organizations are better informed on how to mitigate risks and improve their ability to detect and respond to actual threats. Key features of Wiz TI include:

Wiz TI identifica continuamente gli indicatori di compromissione (IoC); esplora le tattiche, le tecniche e le procedure (TTP) utilizzate dagli attori delle minacce; e discerne i comportamenti delle minacce in tempo reale. Grazie a queste informazioni, le organizzazioni sono meglio informate su come mitigare i rischi e migliorare la loro capacità di rilevare e rispondere alle minacce reali. Le caratteristiche principali di Wiz TI includono:

  • Centro minacce Wiz: È qui che il team di ricerca sulle minacce di Wiz condivide le minacce emergenti, le tecnologie mirate, le difese e le informazioni dettagliate sull'impatto che potrebbe avere sull'ambiente circostante.

  • Indagine approfondita: Il team di Wiz Research conduce ricerche approfondite per scoprire e indagare sulle nuove minacce cloud, utilizzando strumenti come il Sensore di runtime Wiz. Rimanendo aggiornati sulle minacce più recenti man mano che emergono, è possibile sviluppare strategie di difesa informatica per anticipare gli aggressori.

  • Autorità di numerazione CVE (CNA): In riconoscimento dei suoi sforzi nella ricerca sulle minacce e sulle vulnerabilità verso un cloud più sicuro e trasparente, Wiz è stata autorizzata come CNA dal Common Vulnerability and Exposures (CVE) Program.

  • Analisi TTP: Wiz esamina vari TTP utilizzati dagli attori delle minacce (ad esempio, TTP utilizzati negli attacchi EKS) per fornirti informazioni dettagliate sui componenti più vulnerabili del tuo stack e sul motivo per cui sono vulnerabili.

Queste funzionalità migliorano collettivamente Wiz'di rilevare, analizzare e rispondere alle minacce alla sicurezza del cloud. Poiché le informazioni di Wiz TI si basano su ricerche provenienti sia da dati open source che privati, il Piattaforma Wiz Dispone sempre delle informazioni più recenti per proteggere il tuo stack e garantirne la resilienza continua, anche quando emergono nuove minacce, TTP e CVE.  

Abbiamo anche alcune funzionalità interessanti in arrivo. Restate sintonizzati per:

  • Un portale direttamente nella tua piattaforma Wiz che incorpora i report del Panorama delle minacce cloud per tenerti informato sugli attori delle minacce e sulle loro attività

  • Una funzione che ti aiuta a correlare i risultati nel tuo ambiente e ad attribuirli a specifici attori minacci.