Wiz
Todos os artigosThreat Landscape

As 9 principais ferramentas OSINT

Equipe de especialistas do Wiz
Modelo de resposta a incidentes na nuvemAssista à demonstração de 5 minutos
Key takeaways about OSINT tools:

  • OSINT tools help you uncover risks you might miss: They automate the process of finding exposed data, misconfigurations, and potential attack paths across public sources.

  • There's a tool for every use case: From mapping your attack surface to tracking leaked credentials or analyzing dark web chatter, the right OSINT tool can make your security team more efficient.

  • Automation saves time: Modern OSINT tools can run scheduled scans, send alerts, and integrate with your existing security stack, so you don't have to do everything manually.

  • Context matters: The best results come from combining OSINT with internal data and threat intelligence, so you can prioritize what really matters to your business.

  • Wiz brings it all together: With Wiz Threat Intelligence, you get OSINT insights plus proprietary research, all in one platform – so you can act fast and stay secure.

O que é OSINT?

A inteligência de código aberto (OSINT) é uma estrutura que envolve coletar, analisar e interpretar dados disponíveis publicamente para obter insights sobre ameaças cibernéticas, atividades adversárias e técnicas de ataque. O OSINT identifica informações aparentemente inócuas que, se analisadas com a mentalidade de um invasor, podem revelar brechas críticas na postura de segurança de uma empresa. 

Figure 1: The OSINT framework (Source: OSINT)

OSINT ético vs. malicioso 

As operações OSINT geralmente são realizadas de forma ética por analistas de inteligência de ameaças e especialistas em segurança da informação que usam dados coletados de sites, publicações, mídias sociais, bancos de dados públicos, registros de domínio, dark web e outras fontes de dados públicos para descobrir ameaças conhecidas e de dia zero.

Além de seus casos de uso legítimos, o OSINT também é implantado por adversários mal-intencionados para descobrir ativos expostos acidentalmente, dados vazados (confidenciais) ou outras informações que eles podem aproveitar em ataques cibernéticos coordenados. 

Quando o OSINT é feito legitimamente, ele normalmente segue um processo de seis etapas descrito por OWASP, incluindo identificação de alvos, coleta de fontes, agregação de dados, processamento de dados, análise e respeito aos limites éticos. Esse processo geralmente é facilitado por uma ampla gama de ferramentas OSINT, como Intelligence X e Maltego.

Why is OSINT important?

Por que o OSINT é importante?

Desde a coleta de inteligência e descoberta de TI sombra até a avaliação de riscos, as empresas podem se beneficiar do OSINT direta e indiretamente. 

Como as organizações se beneficiam diretamente do OSINT 

Como uma organização com aplicativos e serviços voltados para a Internet, a realização de operações OSINT internas oferece uma ampla gama de benefícios: 

  • As informações coletadas em fóruns de hackers e outras fontes podem servir como um sistema de alerta antecipado, descobrindo pontos fracos de segurança ou possíveis ataques antes que possam causar danos. 

  • O OSINT pode ajudar a aprimorar suas estratégias de defesa cibernética e segurança operacional geral (OPSEC), mapeando configurações incorretas da nuvem e caminhos para ativos potencialmente vulneráveis voltados para o público.

  • Com o OSINT, você pode detectar vulnerabilidades de terceiros e riscos da cadeia de suprimentos de software para ajudá-lo a tomar decisões informadas sobre qual software de terceiros incorporar à sua pilha.

Como as organizações se beneficiam indiretamente do OSINT 

Quando as organizações fazem parceria com provedores de segurança cibernética que integram o OSINT em seus serviços, elas podem desfrutar de ferramentas poderosas e dinâmicas projetadas para aumentar a segurança de sua pilha de TI. As empresas também podem se beneficiar consideravelmente da experiência dos analistas de inteligência de ameaças dos provedores. Esses pesquisadores são adeptos de descobrir configurações incorretas da nuvem, como armazenamento de Blobs do Azure exposto ou buckets do AWS S3, que as equipes internas podem ignorar.

Além disso, os provedores de segurança podem dedicar muito mais recursos ao monitoramento de fontes abertas para vulnerabilidades e ataques de dia zero em seus estágios de planejamento. As informações coletadas podem ser inseridas em seus sistemas de inteligência de ameaças cibernéticas (CTI), fornecendo às empresas os TTPs mais recentes dos agentes de ameaças e capacitando CISOs e engenheiros de segurança cibernética a tomar decisões informadas sobre a proteção de infraestrutura crítica. 

Academia Wiz

The 13 Must-Follow Threat Intel Feeds

Leia mais

Principais ferramentas OSINT

Embora extremamente benéfico, coletar e processar OSINT pode ser um processo meticuloso e demorado sem as ferramentas certas. Abaixo estão as 9 principais ferramentas para aproveitar ao máximo sua jornada OSINT:  

1. Babel X

Babel X, desenvolvido pela Babel Street, é uma plataforma OSINT multilíngue com inteligência artificial que coleta e analisa informações de fontes de informações publicamente disponíveis (PAI), incluindo mídias sociais, blogs, fóruns da dark web e muito mais. Treinado para entender 200+ idiomas, o Babel X usa seus algoritmos avançados de aprendizado de máquina e recursos de processamento de linguagem natural (NLP) para filtrar o ruído do OSINT coletado e traduzir o conteúdo para os idiomas preferidos dos usuários. Em seguida, indexa os dados e destaca a inteligência crítica, otimizando sua tomada de decisão.

Figure 2: OSINT with Babel X (Source: Babel X)

Recursos e casos de uso

O Babel X suporta varreduras ativas e passivas, visualização de dados por meio de gráficos, mapeamento geoespacial e muito mais. Você pode realizar seu OSINT no Babel X usando pesquisas booleanas para varreduras rápidas ou configurar pesquisas por palavra-chave, período de tempo, geolocalização ou tipo de arquivo para filtragem refinada. Você também pode integrar suas APIs para alimentar diretamente as informações do Babel X em suas plataformas para detecção proativa de ameaças. Ainda assim, para usuários corporativos que buscam explorar sua variedade de recursos, o preço exorbitante do Babel X pode exigir uma consideração cuidadosa. 

2. BuiltWith

Construído com é uma ferramenta de criação de perfil de site para analisar os registros DNS, sistemas de gerenciamento de conteúdo, bibliotecas de terceiros e outras infraestruturas de TI nas quais o site de um alvo é construído. O BuiltWith identifica os padrões exclusivos deixados até mesmo pelos elementos de infraestrutura mais obscuros. Em seguida, ele armazena todas as informações coletadas em seu banco de dados indexado, incluindo dados históricos, como quando uma determinada tecnologia foi adicionada ou removida de um site. 

Figure 3: BuiltWith dashboard (Source: BuiltWith)

Recursos e casos de uso

As empresas podem usar o BuiltWith para coletar informações sobre as vulnerabilidades existentes ou potenciais de seu site com base em seus componentes de infraestrutura. Isso é particularmente útil para mapeamento de superfície de ataque e gerenciamento de risco da cadeia de suprimentos de software. Embora o BuiltWith tenha alguns casos de uso de OSINT, não é uma ferramenta OSINT completa. Por exemplo, ele não fornece informações sobre invasores' TTPs ou alvos mais recentes.

3. DarkSearch.io

Pesquisa Escura é um mecanismo de pesquisa para coletar inteligência da dark web de sites de despejo de dados, fóruns de chapéu preto, vários formatos de documentos, salas de bate-papo IRC, bate-papos de jogos e muito mais. Ele funciona rastreando o Tor2web e indexando informações em dados estruturados para respostas de consulta mais rápidas. 

Figure 4: DarkSearch homepage (Source: DarkSearch)

Recursos e casos de uso

Você pode consultar informações no DarkSearch usando lógica booleana ou pesquisas de palavra-chave. Você também pode integrar APIs de terceiros para exportar resultados de consulta para processamento posterior. Além disso, o DarkSearch alerta os usuários em tempo real por meio de e-mails designados sempre que novas varreduras revelam informações críticas. Ainda assim, ao escanear apenas a dark web, o DarkSearch pode perder vulnerabilidades e ameaças que estão diretamente sob seu nariz na superfície da web disponível publicamente.

4. FOCA

Organizações de impressão digital com arquivos coletados (FOCA) é uma ferramenta especializada para coletar metadados ocultos de documentos disponíveis publicamente, incluindo documentos abertos e da Microsoft, SVGs, PDFs, planilhas do Excel, arquivos do PowerPoint e arquivos do Adobe InDesign. Esses documentos geralmente são arquivos indexados baixados de domínios corporativos, sites públicos e mecanismos de pesquisa.

 

Features and use cases

Recursos e casos de uso

Você pode executar consultas FOCA por meio do Google, Bing e DuckDuckGo para descobrir informações como nomes de usuário comprometidos, e-mails, endereços IP internos e caminhos e TTPs de invasores. Embora o FOCA seja um ótimo ponto de partida para a coleta de OSINT, sua incapacidade de verificar arquivos não indexados, páginas da web, deep / dark web e outras fontes críticas de OSINT é uma grande limitação.

5. Inteligência X

Inteligência X é um mecanismo de pesquisa para monitorar atividades da dark web e para descobrir credenciais vazadas ou dados confidenciais expostos. Ele reúne OSINT em várias plataformas, incluindo fóruns da deep web/dark web hospedados no Tor, sites I2P, páginas da web desativadas e fontes convencionais como Facebook, Pastebin e GitHub. O Intelligence X rastreia continuamente a Internet com foco em fontes mais obscuras que normalmente não são indexadas pelos mecanismos de pesquisa tradicionais.

Features and use cases

Recursos e casos de uso

O Intelligence X permite consultar informações de oito categorias diferentes. Você pode usar o Intelligence X para descobrir atividades ou menções adversárias direcionadas à sua organização, identificar documentos que contenham dados confidenciais da sua organização recuperados de sites de despejo e muito mais. Apesar desses benefícios, os usuários do Intelligence X devem pesar cuidadosamente seus prós e seus contras, pois a ferramenta pode ser bastante cara e complexa de usar para usuários corporativos.

6. Maltego

Maltego é uma ferramenta de análise gráfica de links para coletar OSINT em agentes de ameaças, organizações, domínios e muito mais. Ele tem uma arquitetura baseada em transformação para realizar consultas automatizadas e personalizáveis. O Maltego oferece suporte à visualização de dados por meio de gráficos interativos para permitir que os usuários mapeiem relacionamentos de dados (por exemplo, o relacionamento entre uma organização e um grupo de hackers). 

Features and use cases

Recursos e casos de uso

A Maltego coleta metadados de mídias sociais, bancos de dados de identidade, dark web e outras fontes OSINT, fornecendo recursos de monitoramento em tempo real com inteligência artificial. Com seu suporte para 120+ plataformas, você pode usar o Maltego para conduzir investigações OSINT complexas em alvos específicos ou descobrir ameaças e ataques cibernéticos em estado selvagem. 

7. Mitaka

Mitaka é uma extensão de navegador da Web de código aberto para analisar malware, avaliar a credibilidade de um URL ou endereço de e-mail e, geralmente, encontrar indicadores de comprometimento (IOCs) em IPs, domínios e muito mais. O Mitaka reúne informações de uma ampla variedade de fontes, incluindo bancos de dados de reputação de IP, kits de verificação de certificados SSL/TLS e feeds de inteligência de ameaças como o MalwareBazaar.

Recursos e casos de uso

Uma vez configurado, o Mitaka é executado automaticamente junto com seu navegador, coletando dados de ameaças, como CVEs, vírus e malware em sites de destino por meio de extensões de navegador. Embora seja útil para investigar ataques de malware e phishing, a capacidade do Mitaka de interferir na atividade do navegador pode levar à exposição de senha por meio de um backdoor de terceiros. 

8. Reconhecimento

Reconhecimento é uma ferramenta de teste OSINT e caneta de código aberto de linha de comando. O Recon-ng reúne OSINT de bancos de dados e endereços IP, pesquisas de DNS, mecanismos de pesquisa e muito mais.

Features and use cases

Recursos e casos de uso

Para coletar OSINT em organizações, indivíduos e muito mais, pesquise os módulos do Recon-ng, como 'bing_domain_web' para coleta de informações de domínio, 'ip_geolocation' para coletar dados sobre a localização do alvo, e 'ssl_search' para descobrir os certificados SSL comprometidos do alvo. 

9. Pé de aranha

Aranhat é uma ferramenta OSINT de código aberto com 200+ módulos para coletar informações sobre organizações-alvo, domínios e endereços IP, redes, e-mails e nomes de usuário. Ele oferece recursos de automação para tarefas rotineiras de OSINT, como consultas de DNS, verificações de inteligência de ameaças, detecção de violações, pesquisas WHOIS e muito mais.

Features and use cases

Recursos e casos de uso

O SpiderFoot extrai dados de 100+ fontes públicas, incluindo mídias sociais, sites, feeds de inteligência de ameaças e registros DNS. Ele suporta correlação cruzada de dados para mapear as relações entre diferentes entidades e fornece ferramentas de visualização de dados para mapear graficamente as conexões entre várias informações. As empresas podem usar as informações coletadas pelo SpiderFoot para identificar padrões comuns de ameaças e gerenciar sua superfície de ataque. 

Enhancing your cybersecurity with solutions powered by Wiz Threat Intelligence (Wiz TI)

Aprimorando sua segurança cibernética com soluções desenvolvidas pelo Wiz Threat Intelligence (Wiz TI)

Wiz Threat Intelligence (Wiz TI) permite que você se beneficie do OSINT sem o incômodo de realizar suas próprias varreduras extensas. E além do OSINT, Avisos Wiz são gerados usando dados privados acessados legitimamente que enriquecem as descobertas além do que o OSINT sozinho pode fornecer. 

Wiz TI continuously identifies indicators of compromise (IoCs); explores tactics, techniques, and procedures (TTPs) used by threat actors; and discerns threat behaviors in real time. With these insights, organizations are better informed on how to mitigate risks and improve their ability to detect and respond to actual threats. Key features of Wiz TI include:

A Wiz TI identifica continuamente indicadores de comprometimento (IoCs); explora táticas, técnicas e procedimentos (TTPs) usados por agentes de ameaças; e discerne comportamentos de ameaças em tempo real. Com esses insights, as organizações estão mais bem informadas sobre como mitigar riscos e melhorar sua capacidade de detectar e responder a ameaças reais. Os principais recursos do Wiz TI incluem:

  • Centro de Ameaças Wiz: É aqui que a equipe de pesquisa de ameaças da Wiz compartilha ameaças emergentes, tecnologias direcionadas, defesas e insights detalhando como seu ambiente pode ser afetado.

  • Investigação aprofundada: A equipe da Wiz Research realiza uma extensa pesquisa para descobrir e investigar novas ameaças à nuvem, usando ferramentas como o Sensor de tempo de execução Wiz. Ao manter-se atualizado sobre as ameaças mais recentes à medida que surgem, você pode desenvolver estratégias de defesa cibernética para se antecipar aos invasores.

  • Autoridade de Numeração CVE (CNA): Em reconhecimento aos seus esforços na pesquisa de ameaças e vulnerabilidades em direção a uma nuvem mais segura e transparente, a Wiz foi autorizada como CNA pelo Programa Common Vulnerability and Exposures (CVE).

  • Análise de TTPs: O Wiz investiga vários TTPs usados por agentes de ameaças (por exemplo, TTPs usados em ataques EKS) para fornecer insights sobre os componentes mais vulneráveis da sua pilha e por que eles são vulneráveis.

Esses recursos aprimoram coletivamente o Wiz'de detectar, analisar e responder a ameaças à segurança na nuvem. Como as informações da Wiz TI são baseadas em pesquisas de dados de código aberto e privados, o Plataforma Wiz sempre tem a inteligência mais recente para proteger sua pilha e garantir sua resiliência contínua, mesmo quando surgem novas ameaças, TTPs e CVEs.  

Também temos alguns recursos interessantes em breve. Fique ligado para:

  • Um portal direto na sua plataforma Wiz que incorpora relatórios do Cenário de ameaças na nuvem para mantê-lo informado sobre os agentes de ameaças e o que eles estão fazendo

  • Um recurso que ajuda você a correlacionar descobertas no seu ambiente e atribuí-las a agentes ameaçadores específicos.