OSINTとは何ですか?
オープンソースインテリジェンス(OSINT)は、公開されているデータを収集、分析、解釈して、サイバー脅威、敵対的活動、攻撃手法に関する洞察を得るフレームワークです。 OSINTは、攻撃者の考え方で分析すると、企業のセキュリティ体制に重大な抜け穴が明らかになる可能性のある、一見無害に見える情報を特定します。
倫理的なOSINTと悪意のあるOSINTの比較
OSINTの運用は、多くの場合、脅威インテリジェンスアナリストや情報セキュリティ専門家によって倫理的に行われ、Webサイト、出版物、ソーシャルメディア、公開データベース、ドメインレジストリ、ダークウェブ、その他の公開データソースから収集されたデータを使用して、既知の脅威とゼロデイ脅威の両方を明らかにします。
OSINTは、その正当なユースケース以外にも、悪意のある敵対者によって展開され、誤って公開された資産、漏洩した(機密性の高い)データ、または組織的なサイバー攻撃に利用できるその他の情報を明らかにします。
OSINTが正当に行われる場合、通常は次の6つのステップのプロセスに従います。 オワスプこれには、ターゲットの特定、ソースの収集、データ集約、データ処理、分析、倫理的境界の尊重が含まれます。 このプロセスは通常、Intelligence XやMaltegoなどの幅広いOSINTツールによって促進されます。
Why is OSINT important?
OSINTが重要なのはなぜですか?
情報収集やシャドーITの発見からリスク評価まで、企業はOSINTを直接的および間接的に活用できます。
組織がOSINTから直接利益を得る方法
インターネットに接続されたアプリやサービスを持つ組織として、社内でOSINT運用を行うことには、次のようなさまざまなメリットがあります。
ハッカーフォーラムやその他の情報源から収集されたIntelは、早期警告システムとして機能し、セキュリティの弱点や潜在的な攻撃が損害を与える前に発見することができます。
OSINTは、クラウドの設定ミスや潜在的に脆弱な公開資産への経路をマッピングすることで、サイバー防御戦略と全体的な運用セキュリティ(OPSEC)の強化を支援します。
OSINTを使用すると、サードパーティの脆弱性とソフトウェアサプライチェーンのリスクを検出して、スタックに組み込むサードパーティソフトウェアについて十分な情報に基づいた決定を下すのに役立ちます。
組織がOSINTから間接的に利益を得る方法
組織がOSINTをサービスに統合するサイバーセキュリティプロバイダーと提携すると、ITスタックのセキュリティを強化するために設計された強力で動的なツールを利用できます。 また、企業は、プロバイダーの脅威インテリジェンスアナリストの専門知識から大きな恩恵を受ける立場にあります。 これらの研究者は、Azure Blob ストレージや AWS S3 バケットの公開など、社内チームが見落としがちなクラウドの設定ミスを発見することに長けています。
さらに、セキュリティプロバイダーは、計画段階でオープンソースのゼロデイ脆弱性や攻撃を監視するために、より多くのリソースを割り当てることができます。 収集された情報は、サイバー脅威インテリジェンス(CTI)システムに供給され、企業に最新の脅威アクターTTPを提供し、CISOとサイバーセキュリティエンジニアが重要なインフラストラクチャの保護について十分な情報に基づいた意思決定を行えるようにします。
トップOSINTツール
OSINTの収集と処理は非常に有益ですが、適切なツールがなければ、骨の折れる時間のかかるプロセスになる可能性があります。 以下は、OSINTの旅を最大限に活用するためのトップ9のツールです。
1. バベルX
バベルXは、Babel Streetが提供する、ソーシャルメディア、ブログ、ダークウェブフォーラムなどの公開情報(PAI)ソースから情報をスクレイピングして分析する、多言語のAI搭載OSINTプラットフォームです。 200+の言語を理解するように訓練されたBabel Xは、高度な機械学習アルゴリズムと自然言語処理(NLP)機能を使用して、収集されたOSINTからのノイズをフィルタリングし、コンテンツをユーザーの好みの言語に翻訳します。 次に、データをインデックス化し、重要なインテリジェンスを強調表示して、意思決定を最適化します。
特徴とユースケース
Babel Xは、アクティブスキャンとパッシブスキャン、チャートによるデータの視覚化、地理空間マッピングなどをサポートしています。 Babel XでOSINTは、ブール検索を使用して高速スキャンを実行したり、キーワード、時間枠、ジオロケーション、またはファイルタイプによる検索を構成してきめ細かなフィルタリングを行うことができます。 また、そのAPIを統合して、Babel Xの情報をプラットフォームに直接フィードし、プロアクティブな脅威検出を行うこともできます。 それでも、その一連の機能を利用しようとしているエンタープライズユーザーにとって、Babel Xの高額な価格帯は慎重に検討する必要があるかもしれません。
2. ビルトWiz
ビルトウィズ は、ターゲットのウェブサイトが構築されているDNSレコード、コンテンツ管理システム、サードパーティライブラリ、およびその他のITインフラストラクチャを分析するためのウェブサイトプロファイリングツールです。 BuiltWith は、最もあいまいなインフラストラクチャ要素によっても残された一意のパターンを識別します。 次に、特定のテクノロジーがWebサイトに追加されたときやWebサイトから削除されたときなどの履歴データを含む、インデックス付きデータベースに収集されたすべての情報を保存します。
特徴とユースケース
企業は、BuiltWithを使用して、インフラストラクチャコンポーネントに基づいて、Webサイトの既存または潜在的な脆弱性に関する情報を収集できます。 これは、攻撃対象領域のマッピングやソフトウェアサプライチェーンのリスク管理に特に役立ちます。 BuiltWithにはいくつかのOSINTユースケースがありますが、完全なOSINTツールではありません。 たとえば、攻撃者に関する分析情報は提供されません' 最新の TTP またはターゲット。
3. DarkSearch.io
ダークサーチ は、データダンプサイト、ブラックハットフォーラム、さまざまなドキュメント形式、IRCチャットルーム、ゲームチャットなどからダークウェブインテリジェンスを収集するための検索エンジンです。 Tor2webをクロールし、Intelを構造化データにインデックス化して、クエリ応答を高速化することで機能します。
特徴とユースケース
DarkSearchでintelをクエリするには、ブールロジックまたはキーワード検索を使用します。 また、サードパーティの API を統合して、クエリ結果をエクスポートしてさらに処理することもできます。 さらに、DarkSearchは、新しいスキャンで重要な情報が明らかになるたびに、指定された電子メールを通じてユーザーにリアルタイムで警告します。 それでも、ダークウェブのみをスキャンすることで、DarkSearchは公開されているサーフェスウェブの真下にある脆弱性や脅威を見逃す可能性があります。
4. FOCAの
収集されたアーカイブを持つフィンガープリント組織(FOCA) は、Microsoft や開いている Docs、SVG、PDF、Excel スプレッドシート、PowerPoint ファイル、Adobe InDesign ファイルなど、公開されているドキュメントから非表示のメタデータを収集するための専用ツールです。 これらのドキュメントは通常、企業ドメイン、公開 Web サイト、検索エンジンからダウンロードされたインデックス付きファイルです。
Features and use cases
特徴とユースケース
Google、Bing、DuckDuckGoを通じてFOCAクエリを実行し、侵害されたユーザー名、電子メール、内部IPアドレスとパス、攻撃者のTTPなどの情報を明らかにすることができます。 FOCAはOSINT収集の出発点として最適ですが、インデックス化されていないファイル、Webページ、ディープ/ダークウェブ、その他の重要なOSINTソースをスキャンできないのが大きな制限です。
5. インテリジェンスX
インテリジェンスX は、ダークウェブの活動を監視し、漏洩した認証情報や公開された機密データを発見するための検索エンジンです。 Torでホストされているディープウェブ/ダークウェブフォーラム、I2Pサイト、非アクティブ化されたWebページ、Facebook、Pastebin、GitHubなどの主流ソースなど、複数のプラットフォームでOSINTを収集します。 Intelligence Xは、従来の検索エンジンでは通常インデックス化されない、よりあいまいなソースに焦点を当てて、インターネットを継続的にクロールします。
Features and use cases
特徴とユースケース
Intelligence Xでは、8つの異なるカテゴリから情報を照会することができます。 Intelligence X を使用して、組織に向けられた敵対的な活動やメンションを明らかにしたり、ダンプ サイトから回復した組織の機密データを含むドキュメントを特定したりできます。 これらの利点にもかかわらず、Intelligence Xのユーザーは、このツールがエンタープライズユーザーにとって非常に高価で複雑になる可能性があるため、その長所と短所を慎重に比較検討する必要があります。
6. マルテゴ
マルテゴ は、脅威アクター、組織、ドメインなどに関するOSINTを収集するためのグラフィカルなリンク分析ツールです。 これは、自動化されたカスタマイズ可能なクエリを実行するための変換ベースのアーキテクチャを備えています。 Maltego は、対話型グラフによるデータの視覚化をサポートしており、ユーザーはデータのリレーションシップ (組織とハッカー グループとの関係など) をマップできます。
Features and use cases
特徴とユースケース
Maltegoは、ソーシャルメディア、IDデータベース、ダークウェブ、その他のOSINTソースからメタデータをスクレイピングし、AIを活用したリアルタイムの監視機能を提供します。 120+プラットフォームをサポートしているため、Maltegoを使用して、特定のターゲットに対して複雑なOSINT調査を行ったり、サイバー脅威や実際の攻撃を発見したりできます。
7. 三鷹
三鷹 は、マルウェアの分析、URLまたはメールアドレスの信頼性の評価、およびIPやドメインなどの侵害の兆候(IOC)の一般的な検出のためのオープンソースのWebブラウザ拡張機能です。 Mitakaは、IPレピュテーションデータベース、SSL/TLS証明書チェッカーキット、MalwareBazaarなどの脅威インテリジェンスフィードなど、幅広いソースから情報を収集しています。
特徴とユースケース
設定が完了すると、Mitakaは自動的にブラウザと一緒に実行され、ブラウザの拡張機能を介してターゲットWebサイトのCVE、ウイルス、マルウェアなどの脅威データをスクレイピングします。 マルウェアやフィッシング攻撃の調査には便利ですが、Mitakaのブラウザ活動を妨害する能力は、サードパーティのバックドアを介してパスワードの漏洩につながる可能性があります。
8. 偵察
偵察 は、コマンドラインのオープンソースOSINTおよび侵入テストツールです。 Recon-ngは、データベースとIPアドレス、DNSルックアップ、検索エンジンなどからOSINTを収集します。
Features and use cases
特徴とユースケース
組織や個人などのOSINTを収集するには、Recon-ngのモジュール(「bing_domain_web' ドメイン情報収集のため 「ip_geolocation」 ターゲットの位置に関するデータを収集するため、および 'ssl_search' ターゲットの侵害されたSSL証明書を明らかにするため。
9. スパイダーフット
スパイダーフーtは、ターゲット組織、ドメインとIPアドレス、ネットワーク、電子メール、およびユーザー名に関する情報を収集するための200 +モジュールを備えたオープンソースのOSINTツールです。 DNSクエリ、脅威インテリジェンスチェック、侵害検出、WHOISルックアップなどの日常的なOSINTタスクの自動化機能を提供します。
Features and use cases
特徴とユースケース
SpiderFootは、ソーシャルメディア、Webサイト、脅威インテリジェンスフィード、DNSレコードなど、100+の公開ソースからデータを取得します。 異なるエンティティ間の関係をマッピングするためのデータ相互相関をサポートし、さまざまなインテリジェンス間の接続をグラフィカルにマッピングするためのデータ視覚化ツールを提供します。 企業は、SpiderFoot によって収集された情報を使用して、一般的な脅威パターンを特定し、攻撃対象領域を管理できます。
Enhancing your cybersecurity with solutions powered by Wiz Threat Intelligence (Wiz TI)
Wiz Threat Intelligence (Wiz TI) を活用したソリューションによるサイバーセキュリティの強化
Wiz 脅威インテリジェンス (Wiz TI) OSINTを使用すると、独自の広範なスキャンを実行する手間をかけずにOSINTの恩恵を受けることができます。 そして、OSINTに加えて、 Wizアドバイザリ は、正当にアクセスされたプライベートデータを使用して生成され、OSINTだけでは提供できない結果を充実させます。
Wiz TI continuously identifies indicators of compromise (IoCs); explores tactics, techniques, and procedures (TTPs) used by threat actors; and discerns threat behaviors in real time. With these insights, organizations are better informed on how to mitigate risks and improve their ability to detect and respond to actual threats. Key features of Wiz TI include:
Wiz TI は、侵害の兆候 (IoC) を継続的に特定します。脅威アクターが使用する戦術、技術、手順(TTP)を探ります。脅威の行動をリアルタイムで識別します。 これらのインサイトにより、組織はリスクを軽減し、実際の脅威を検出して対応する能力を向上させる方法について、より多くの情報を得ることができます。 Wiz TIの主な機能は次のとおりです。
Wiz脅威センター: ここでは、Wiz Threat Researchチームが、新たな脅威、標的型テクノロジー、防御、および環境への影響を詳述した洞察を共有します。
詳細な調査: Wiz Researchチームは、次のようなツールを使用して、新しいクラウドの脅威を発見し、調査するために広範な研究を行っています。 Wizランタイムセンサー. 最新の脅威が発生したときに常に最新の情報を入手することで、攻撃者に先んじるためのサイバー防御戦略を策定できます。
CVE 番号付け機関 (CNA): Wizは、より安全で透明性の高いクラウドに向けた脅威と脆弱性の研究への取り組みが認められ、Common Vulnerability and Exposures(CVE)プログラムからCNAとして認定されました。
TTPs分析: Wiz は、脅威アクターが使用するさまざまな TTP を調査します (例: EKS攻撃で使用されるTTP) を使用して、スタックの最も脆弱なコンポーネントと、それらが脆弱である理由についてのインサイトを提供します。
これらの機能は、Wizを総合的に強化します'クラウドセキュリティの脅威を検出、分析、および対応する能力。 Wiz TI の情報は、オープンソースとプライベートデータの両方からの研究に基づいているため、 Wizプラットフォーム 常に最新のインテリジェンスを使用して、スタックを保護し、新たな脅威、TTP、CVEが出現した場合でも、スタックの継続的な回復力を確保します。
また、いくつかの興味深い機能も近日公開予定です。 以下の点にご期待ください。
Wizプラットフォーム内のポータルで、 クラウドの脅威の状況 脅威アクターとその活動について常に情報を提供するため
環境内の発見を関連付け、特定の脅威アクターに帰属させる機能です。