OSINT란 무엇입니까?
오픈 소스 인텔리전스(OSINT)는 사이버 위협, 적대적 활동 및 공격 기술에 대한 통찰력을 얻기 위해 공개적으로 사용 가능한 데이터를 수집, 분석 및 해석하는 프레임워크입니다. OSINT는 공격자의 사고방식으로 분석할 경우 기업의 보안 태세에서 치명적인 허점을 드러낼 수 있는 무해해 보이는 정보를 식별합니다.
윤리적 OSINT vs. 악성 OSINT
OSINT 운영은 웹 사이트, 출판물, 소셜 미디어, 공용 데이터베이스, 도메인 레지스트리, 다크 웹 및 기타 공개 데이터 소스에서 수집한 데이터를 사용하여 알려진 위협과 제로 데이 위협을 모두 발견하는 위협 인텔리전스 분석가 및 정보 보안 전문가에 의해 윤리적으로 수행되는 경우가 많습니다.
합법적인 사용 사례 외에도 OSINT는 악의적인 공격자에 의해 배포되어 실수로 노출된 자산, 유출된(민감한) 데이터 또는 조정된 사이버 공격에 활용할 수 있는 기타 정보를 발견합니다.
OSINT가 합법적으로 수행되는 경우 일반적으로 다음과 같이 설명된 6단계 프로세스를 따릅니다. 오와스프여기에는 대상 식별, 소스 수집, 데이터 집계, 데이터 처리, 분석 및 윤리적 경계 존중이 포함됩니다. 이 프로세스는 일반적으로 Intelligence X 및 Maltego와 같은 광범위한 OSINT 도구에 의해 촉진됩니다.
Why is OSINT important?
OSINT가 중요한 이유는 무엇입니까?
인텔리전스 수집 및 섀도우 IT 검색에서 위험 평가에 이르기까지 기업은 OSINT의 이점을 직간접적으로 활용할 수 있습니다.
조직이 OSINT를 직접 활용하는 방법
인터넷 연결 앱 및 서비스를 제공하는 조직으로서 사내 OSINT 운영을 수행하면 다음과 같은 다양한 이점을 얻을 수 있습니다.
해커 포럼 및 기타 출처에서 수집한 정보는 조기 경보 시스템 역할을 하여 보안 취약점이나 잠재적인 공격이 피해를 입히기 전에 발견할 수 있습니다.
OSINT는 클라우드 구성 오류 및 잠재적으로 취약한 공용 자산에 대한 경로를 매핑하여 사이버 방어 전략과 전반적인 운영 보안(OPSEC)을 강화하는 데 도움이 될 수 있습니다.
OSINT를 사용하면 타사 취약성 및 소프트웨어 공급망 위험을 감지하여 스택에 통합할 타사 소프트웨어에 대해 정보에 입각한 결정을 내릴 수 있습니다.
조직이 OSINT를 간접적으로 활용하는 방법
조직이 OSINT를 서비스에 통합하는 사이버 보안 제공업체와 파트너 관계를 맺으면 IT 스택의 보안을 강화하도록 설계된 강력하고 동적인 도구를 활용할 수 있습니다. 또한 기업은 공급자의 위협 인텔리전스 분석가의 전문 지식으로부터 상당한 이점을 얻을 수 있습니다. 이러한 연구원들은 내부 팀이 간과할 수 있는 노출된 Azure Blob Storage 또는 AWS S3 버킷과 같은 클라우드 구성 오류를 발견하는 데 능숙합니다.
또한 보안 제공업체는 계획 단계에서 제로데이 취약성 및 공격에 대해 오픈 소스를 모니터링하는 데 훨씬 더 많은 리소스를 할애할 수 있습니다. 수집된 정보는 사이버 위협 인텔리전스(CTI) 시스템에 공급되어 기업에 최신 위협 행위자 TTP를 제공하고 CISO와 사이버 보안 엔지니어가 중요 인프라 보안에 대해 정보에 입각한 결정을 내릴 수 있도록 지원합니다.
주요 OSINT 도구
OSINT를 수집하고 처리하는 것은 매우 유용하지만 올바른 도구 없이는 힘들고 시간이 많이 걸리는 과정일 수 있습니다. 다음은 OSINT 여정을 최대한 활용할 수 있는 상위 9가지 도구입니다.
1. 바벨 X
바벨 XBabel Street에서 제공하는 다국어 AI 기반 OSINT 플랫폼은 소셜 미디어, 블로그, 다크 웹 포럼 등을 포함한 PAI(공개적으로 사용 가능한 정보) 소스에서 정보를 스크랩하고 분석합니다. 200+개 이상의 언어를 이해할 수 있도록 훈련된 Babel X는 고급 머신 러닝 알고리즘과 자연어 처리(NLP) 기능을 사용하여 수집된 OSINT에서 노이즈를 필터링하고 콘텐츠를 사용자가 선호하는 언어로 번역합니다. 그런 다음 데이터를 색인화하고 중요한 인텔리전스를 강조 표시하여 의사 결정을 최적화합니다.
특징 및 사용 사례
Babel X는 능동 및 수동 스캔, 차트를 통한 데이터 시각화, 지리 공간 매핑 등을 지원합니다. 빠른 스캔을 위해 부울 검색을 사용하여 Babel X에서 OSINT를 수행하거나 세분화된 필터링을 위해 키워드, 시간 프레임, 지리적 위치 또는 파일 유형별로 검색을 구성할 수 있습니다. 또한 API를 통합하여 사전 예방적 위협 탐지를 위해 Babel X 정보를 플랫폼에 직접 공급할 수 있습니다. 그러나 다양한 기능을 활용하려는 기업 사용자의 경우 Babel X의 가파른 가격대를 신중하게 고려해야 할 수 있습니다.
2. 빌트와이드
빌트위드 는 DNS 레코드, 콘텐츠 관리 시스템, 타사 라이브러리 및 대상의 웹 사이트가 구축된 기타 IT 인프라를 분석하기 위한 웹 사이트 프로파일링 도구입니다. BuiltWith는 가장 모호한 인프라 요소조차도 남긴 고유한 패턴을 식별합니다. 그런 다음 특정 기술이 웹 사이트에 추가되거나 제거된 경우와 같은 기록 데이터를 포함하여 수집된 모든 정보를 인덱싱된 데이터베이스에 저장합니다.
특징 및 사용 사례
기업은 BuiltWith를 사용하여 인프라 구성 요소를 기반으로 웹 사이트의 기존 또는 잠재적 취약성에 대한 정보를 수집할 수 있습니다. 이는 공격 표면 매핑 및 소프트웨어 공급망 위험 관리에 특히 유용합니다. BuiltWith에는 몇 가지 OSINT 사용 사례가 있지만 완전한 OSINT 도구는 아닙니다. 예를 들어 공격자에 대한 인사이트를 제공하지 않습니다' 최신 TTP 또는 대상.
3. DarkSearch.io
다크서치 는 데이터 덤프 사이트, 블랙햇 포럼, 다양한 문서 형식, IRC 채팅방, 게임 채팅 등에서 다크 웹 인텔리전스를 수집하기 위한 검색 엔진입니다. 더 빠른 쿼리 응답을 위해 Tor2web을 크롤링하고 인텔리전스를 구조화된 데이터로 인덱싱하는 방식으로 작동합니다.
특징 및 사용 사례
부울 논리 또는 키워드 검색을 사용하여 DarkSearch에서 정보를 쿼리할 수 있습니다. 또한 타사 API를 통합하여 추가 처리를 위해 쿼리 결과를 내보낼 수 있습니다. 또한 DarkSearch는 새로운 스캔을 통해 중요한 정보가 드러날 때마다 지정된 이메일을 통해 사용자에게 실시간으로 경고합니다. 그러나 다크 웹만 스캔함으로써 DarkSearch는 공개적으로 사용 가능한 표면 웹에서 바로 코 아래에 있는 취약점과 위협을 놓칠 수 있습니다.
4. 포카
FOCA(Collected Archives)를 통한 지문 인식 조직 는 Microsoft 및 개방형 문서, SVG, PDF, Excel 스프레드시트, PowerPoint 파일 및 Adobe InDesign 파일을 포함하여 공개적으로 사용 가능한 문서에서 숨겨진 메타데이터를 수집하기 위한 특수 도구입니다. 이러한 문서는 일반적으로 회사 도메인, 공용 웹 사이트 및 검색 엔진에서 다운로드한 인덱싱된 파일입니다.
Features and use cases
특징 및 사용 사례
Google, Bing 및 DuckDuckGo를 통해 FOCA 쿼리를 실행하여 손상된 사용자 이름, 이메일, 내부 IP 주소 및 경로, 공격자의 TTP와 같은 정보를 발견할 수 있습니다. FOCA는 OSINT 수집을 위한 훌륭한 시작점이지만 색인화되지 않은 파일, 웹 페이지, 딥/다크 웹 및 기타 중요한 OSINT 소스를 스캔할 수 없다는 것이 주요 제한 사항입니다.
5. 지능 X
지능 X 는 다크 웹 활동을 모니터링하고 유출된 자격 증명 또는 노출된 민감한 데이터를 발견하기 위한 검색 엔진입니다. Tor에서 호스팅되는 딥 웹/다크 웹 포럼, I2P 사이트, 비활성화된 웹 페이지 및 Facebook, Pastebin 및 GitHub와 같은 주류 소스를 포함한 여러 플랫폼에서 OSINT를 수집합니다. Intelligence X는 일반적으로 기존 검색 엔진에서 색인화되지 않는 더 모호한 소스에 중점을 두고 인터넷을 지속적으로 크롤링합니다.
Features and use cases
특징 및 사용 사례
Intelligence X를 사용하면 8가지 범주의 정보를 쿼리할 수 있습니다. Intelligence X를 사용하여 조직을 대상으로 하는 적대적 활동이나 멘션을 발견하고, 덤프 사이트에서 복구된 조직의 민감한 데이터가 포함된 문서를 식별하는 등의 작업을 수행할 수 있습니다. 이러한 이점에도 불구하고 Intelligence X 사용자는 엔터프라이즈 사용자가 도구를 사용하는 데 상당히 비용이 많이 들고 복잡할 수 있으므로 장단점을 신중하게 비교해야 합니다.
6. 말테고
말테고 는 위협 행위자, 조직, 도메인 등에 대한 OSINT를 수집하기 위한 그래픽 링크 분석 도구입니다. 자동화되고 사용자 지정 가능한 쿼리를 수행하기 위한 변환 기반 아키텍처가 있습니다. Maltego는 대화형 그래프를 통한 데이터 시각화를 지원하여 사용자가 데이터 관계(예: 조직과 해커 그룹 간의 관계)를 매핑할 수 있도록 합니다.
Features and use cases
특징 및 사용 사례
Maltego는 소셜 미디어, ID 데이터베이스, 다크 웹 및 기타 OSINT 소스에서 메타데이터를 스크랩하여 실시간 AI 기반 모니터링 기능을 제공합니다. 120+ 플랫폼에 대한 지원을 통해 Maltego를 사용하여 특정 대상에 대한 복잡한 OSINT 조사를 수행하거나 사이버 위협 및 공격을 야생에서 발견할 수 있습니다.
7. 미타카
미타카 는 멀웨어를 분석하고, URL 또는 이메일 주소의 신뢰성을 평가하고, 일반적으로 IP, 도메인 등에서 침해 지표(IOC)를 찾기 위한 오픈 소스 웹 브라우저 확장 프로그램입니다. Mitaka는 IP 평판 데이터베이스, SSL/TLS 인증서 검사기 키트, MalwareBazaar와 같은 위협 인텔리전스 피드 등 다양한 소스에서 정보를 수집합니다.
특징 및 사용 사례
구성이 완료되면 Mitaka는 브라우저와 함께 자동으로 실행되어 브라우저 확장 프로그램을 통해 대상 웹 사이트의 CVE, 바이러스 및 맬웨어와 같은 위협 데이터를 스크랩합니다. 맬웨어 및 피싱 공격을 조사하는 데 유용하지만 Mitaka의 브라우저 활동을 방해하는 기능으로 인해 타사 백도어를 통해 비밀번호가 노출될 수 있습니다.
8. 정찰
정찰 는 명령줄 오픈 소스 OSINT 및 펜 테스트 도구입니다. Recon-ng는 데이터베이스 및 IP 주소, DNS 조회, 검색 엔진 등에서 OSINT를 수집합니다.
Features and use cases
특징 및 사용 사례
조직, 개인 등에 대한 OSINT를 수집하려면 다음과 같은 Recon-ng의 모듈을 검색하십시오.bing_domain_web' 도메인 정보 수집을 위해, 'ip_geolocation' 대상의 위치에 대한 데이터를 수집하기 위해 'ssl_search' 대상의 손상된 SSL 인증서를 발견하기 위해.
9. 스파이더풋
스파이더푸t는 대상 조직, 도메인 및 IP 주소, 네트워크, 이메일 및 사용자 이름에 대한 정보를 수집하기 위한 200+ 모듈이 있는 오픈 소스 OSINT 도구입니다. DNS 쿼리, 위협 인텔리전스 검사, 침해 탐지, WHOIS 조회 등과 같은 일상적인 OSINT 작업을 위한 자동화 기능을 제공합니다.
Features and use cases
특징 및 사용 사례
SpiderFoot은 소셜 미디어, 웹 사이트, 위협 인텔리전스 피드 및 DNS 레코드를 포함한 100+ 공개 소스에서 데이터를 가져옵니다. 서로 다른 엔터티 간의 관계를 매핑하기 위한 데이터 상호 상관을 지원하고 다양한 정보 간의 연결을 그래픽으로 매핑하는 데이터 시각화 도구를 제공합니다. 기업은 SpiderFoot에서 수집한 정보를 사용하여 일반적인 위협 패턴을 식별하고 공격 표면을 관리할 수 있습니다.
Enhancing your cybersecurity with solutions powered by Wiz Threat Intelligence (Wiz TI)
Wiz Threat Intelligence(Wiz TI) 기반 솔루션으로 사이버 보안 강화
위즈 위협 인텔리전스(Wiz TI) 광범위한 스캔을 수행하는 번거로움 없이 OSINT의 이점을 누릴 수 있습니다. 그리고 OSINT 외에도 Wiz 권고 사항 합법적으로 액세스된 개인 데이터를 사용하여 생성되며, OSINT만으로는 제공할 수 있는 것 이상으로 결과를 풍부하게 합니다.
Wiz TI continuously identifies indicators of compromise (IoCs); explores tactics, techniques, and procedures (TTPs) used by threat actors; and discerns threat behaviors in real time. With these insights, organizations are better informed on how to mitigate risks and improve their ability to detect and respond to actual threats. Key features of Wiz TI include:
Wiz TI는 지속적으로 침해 지표(IoC)를 식별합니다. 위협 행위자가 사용하는 전술, 기술 및 절차(TTP)를 탐색합니다. 위협 행동을 실시간으로 식별합니다. 이러한 통찰력을 통해 조직은 위험을 완화하고 실제 위협을 탐지하고 대응하는 능력을 향상시키는 방법에 대해 더 잘 알 수 있습니다. Wiz TI의 주요 기능은 다음과 같습니다.
위즈 위협 센터: 여기에서 Wiz Threat Research 팀은 새로운 위협, 대상 기술, 방어 및 환경에 미치는 영향을 자세히 설명하는 통찰력을 공유합니다.
심층적인 조사: Wiz Research 팀은 다음과 같은 도구를 사용하여 새로운 클라우드 위협을 발견하고 조사하기 위해 광범위한 연구를 수행합니다. Wiz 런타임 센서. 최신 위협이 발생할 때마다 최신 상태를 유지함으로써 사이버 방어 전략을 개발하여 공격자보다 앞서 나갈 수 있습니다.
CVE 번호 지정 기관(CNA): Wiz는 보다 안전하고 투명한 클라우드를 위한 위협 및 취약성 연구에 대한 노력을 인정받아 CVE(Common Vulnerability and Exposures) 프로그램으로부터 CNA로 승인받았습니다.
TTP 분석: Wiz는 위협 행위자가 사용하는 다양한 TTP를 조사합니다(예: EKS 공격에 사용되는 TTP)을 사용하여 스택의 가장 취약한 구성 요소와 이러한 구성 요소가 취약한 이유에 대한 통찰력을 제공합니다.
이러한 기능은 Wiz를 총체적으로 향상시킵니다'클라우드 보안 위협을 탐지, 분석 및 대응할 수 있는 능력. Wiz TI의 정보는 오픈 소스 및 개인 데이터의 연구를 기반으로 하기 때문에 Wiz 플랫폼 항상 최신 인텔리전스를 보유하여 스택을 보호하고 새로운 위협, TTP 및 CVE가 등장하더라도 지속적인 복원력을 보장합니다.
또한 몇 가지 흥미로운 기능도 곧 제공될 예정입니다. 다음 사항을 계속 지켜봐 주십시오.
의 보고서를 통합하는 Wiz 플랫폼의 포털입니다. 클라우드 위협 환경 위협 행위자와 그들이 하는 일에 대한 정보를 계속 제공하기 위해
환경 내 발견을 연관시키고 특정 위협 행위자에게 귀속시키는 기능을 제공합니다.