OSINT - Usando Threat Intelligence para proteger sua organização
Em meu primeiro artigo sobre Cyber Security Threat Intelligence Analysts (analistas de CTI), abordamos o que é um analista de CTI e discutimos como eles podem preencher as lacunas entre TI, segurança e negócios. Discutimos como isso é benéfico para a maturidade do negócio, mas o que exatamente queremos dizer com isso? No segundo artigo de nossa série de analistas de CTI, cobriremos os benefícios exclusivos que um analista de CTI traz para uma organização, aprimorando: Estratégia e planejamento de TI e segurança, tendo uma visão holística Inteligência no cenário de segurança cibernética e tendências do setor Colaboração com o órgãos e regulamentos reconhecidos que aprimoram a estratégia e o planejamento do negócio Você já se preparou para uma reunião com um novo contato visitando o LinkedIn e verificando seu perfil? Caso contrário, pode ser benéfico dedicar alguns minutos para fazer isso. Você pode encontrar algumas conexões comuns. Usar sites públicos de mídia social para identificar alguém é um exemplo do que comumente chamamos de inteligência de código aberto (OSINT). O que é OSINT? A OSINT está essencialmente olhando para os dados disponíveis publicamente, sejam registros do governo, como Companies House no Reino Unido, ou postagens de mídia social no Facebook ou Twitter. Pode consistir em verificar mecanismos de pesquisa populares para procurar artigos e fotos relacionados ao seu alvo ou até mesmo pesquisar registros históricos como o WayBackMachine ou sites de ancestrais em busca de conexões familiares. OSINT é uma ferramenta poderosa. Não apenas identifica a imagem que um alvo deseja apresentar ao mundo, mas também pode revelar muito sobre os interesses cuidadosamente selecionados do alvo, 'curtidas' e atualizações publicadas publicamente. OSINT também pode revelar informações e hábitos sobre nós que não esperamos, pois é revisado por uma pessoa experiente. Em muitas situações, esses especialistas podem identificar agentes maliciosos e descobrir relacionamentos, informações que podem ser usadas para aprimorar o plano de privacidade e segurança de uma família. Como as empresas usam OSINT? Curiosamente, o uso de OSINT por muitas organizações não foi formalizado nem amplamente adotado. Freqüentemente, parece que várias postagens públicas que podem ser prejudiciais ou prejudiciais para a organização devem atingir um público amplo antes de serem notadas e antes que qualquer ação seja tomada. Um excelente exemplo disso foi a história de um condutor ferroviário canadense da CP que foi demitido pela segunda vez depois que a empresa expressou preocupação com postagens em mídias sociais, incluindo fotos “picantes” de boudoir supostamente tiradas em propriedade da empresa ferroviária. Dado o comportamento anterior do condutor ferroviário canadense da CP, a organização deveria ter monitorado sua atividade online pública antes de se tornar uma história muito pública? Pode ter sido possível lidar com a situação de forma silenciosa e profissional, uma oportunidade que a OSINT pode ter sido capaz de identificar antes de se tornar notícia nacional. Um programa OSINT é a medida proativa final - identificar essas situações potenciais e sugerir ações mitigativas antes que o tribunal de opiniões públicas faça a chamada por você. Para estabelecer ou obter suporte para um programa OSINT, uma organização geralmente precisa de um exemplo ilustrativo de quão eficaz um programa OSINT pode ser. O que descobri ser benéfico é examinar a pegada digital do Conselho ou de um executivo sênior e quais informações podem ser expostas no processo. Infelizmente, com muita frequência, o vazamento de informações ou situação escandalosa só vem à tona após o incidente. O que o programa OSINT procuraria? Um exemplo é quando um membro da equipe divulga publicamente um evento empresarial ou de férias que pode ser usado para phishing direcionado. Aplicando OSINT como contra - espionagem “Contra-espionagem significa atividades preocupadas com a identificação e neutralização de ameaças à segurança de sua organização e equipe.” A primeira etapa do manual de um ator mal-intencionado é a coleta ou reconhecimento de informações - ou seja, a identificação de seu (s) alvo (s) e de qualquer informação valiosa que possa ser usada. Essas informações coletadas são, em última análise, transformadas em inteligência: Inteligência de informações Dados coletados relacionados a um alvo, fato ou evento específico. Revendo informações e sendo capaz de responder ao 'e daí'? Ou 'o que significa a informação'? Se o seu programa OSINT reuniu as informações disponíveis sobre sua organização e equipe, podem ser tomadas medidas para dificultar a exploração dessas informações. Limpar os dados públicos de informações de geolocalização de instalações confidenciais e excluir fotos da equipe com informações confidenciais (presença de CFTV e alarmes e locais de detectores de movimento) são exemplos de como dificultar a ação para agentes mal-intencionados. Se você não puder removê-lo, identifique e treine a equipe para estar ciente disso. Que informações públicas devem ser suprimidas? A resposta a essa pergunta é encontrada nos modelos de ameaças que visam sua organização, equipe e membros executivos. Isso pode variar desde a ameaça física de arrombamento ou roubo até os planos de viagem dos executivos para regiões potencialmente hostis, onde há uma chance de sequestro e resgate. Nota: os planos de viagem dos executivos nunca devem ser divulgados nas redes sociais sem muita cautela, planejamento e redações específicas feitas. Aplicando OSINT como Contra-Inteligência Cibernética Considere quantos dados compartilhamos diariamente. Em nossas vidas pessoais, a maioria dos números de celular está conectada ao seu nome completo e seu endereço IP está conectado aos sites que você acessa sem controles. Você também precisa se lembrar de como suas atividades podem expor os endereços de e-mail que você fornece gratuitamente para contato, seus hábitos de compra por meio do uso de cartão de crédito e / ou sua localização por meio de aplicativos de fitness. Essas pequenas peças aqui e ali se somam e podem eventualmente ser usadas para identificar quem você é, incluindo quem são suas conexões. Agora, considere uma organização e todos os seus funcionários individualmente. Esses funcionários geralmente têm uma conta no LinkedIn que nos informa suas funções e responsabilidades, tecnologias nas quais eles obtiveram certificações ou habilidades que desenvolveram. Essas informações, quando usadas de maneira adequada, podem se tornar informações valiosas sobre como a organização funciona, quem é responsável por quê e até mesmo quem pode ser o alvo de um agente malicioso que procura explorar o poder de uma figura de autoridade por meio da engenharia social. Um equilíbrio razoável entre a apresentação de informações públicas sobre a organização e sua estrutura precisa ser encontrado, e o programa OSINT pode fornecer uma compreensão e contexto dessas informações e do risco de exploração. Em situações em que uma organização contém informações altamente confidenciais, uma entrada DNS para “rated-portal.3letteragency.gov” provavelmente é uma má ideia. Imagine os benefícios de uma equipe dedicada que busca informações que poderiam salvar a organização de danos à reputação, procurando por: Bens falsificados ou roubados listados online Conduta de funcionários, ameaças e assédio nas mídias sociais Correspondência de clientes frustrada, irritada ou ameaçadora Avaliações prejudiciais do produto , serviços ou ambiente de trabalho Vazamento de fusões, aquisições e discussões de parcerias organizacionais Informações confidenciais divulgadas publicamente - acidentalmente ou intencionalmente Informações imprecisas, prejudiciais ou desatualizadas Presença de sites falsos, faturas falsas ou golpes visando clientes, funcionários ou a organização Disputas de funcionários, associações ou comentários controversos em público fórum Credenciais de violação de dados e contas comprometidas pertencentes à organização Pesquisa e validação do histórico de funcionários em potencial ou membros do conselho Relações desagradáveis, associação ou ação judicial pendente relacionada à organização Resultados da inteligência do programa OSINT Por experiência, é muito fácil deixar implícitas funções e responsabilidades e presumir que todas as partes conhecem suas funções. (Dica: raramente se alinha com a suposição de cada parte.) Portanto, para ser explicitamente claro, o programa OSINT é especialmente treinado para reunir inteligência e criar orientação personalizada e não agirá com base nessa inteligência a menos que seja aprovado. Às vezes, as áreas do programa OSINT e as formas de monitoramento e identificação podem entrar em conflito com os direitos dos funcionários e clientes de falar e se associar livremente. Portanto, ainda há a necessidade de um conselho de ética - todas as ações tomadas devem ser decididas por líderes seniores que estão trabalhando sob uma investigação sancionada por RH e, possivelmente, um advogado. Talvez o princípio orientador do programa OSINT deva ser o aforismo conhecido como “navalha de Hanlon”: “Nunca atribua à malícia o que é explicado adequadamente pela estupidez”. O programa OSINT criará inteligência e fornecerá recomendações, prevenção de resiliência, detecção e respostas. Em seguida, a equipe sênior age diretamente ou aconselha sobre as ações a serem tomadas, tanto em resposta quanto em prevenção futura, tendo em mente considerações como a implementação de políticas de uso aceitável mais robustas, treinamento, monitoramento ativo e controles. | |
Mais informações: | https://www.tripwire.com/state-of-security/risk-based-security-for-executives/connecting-security-to-the-business/osint-using-threat-intelligence-secure-organisation/ |
---|
Comentários
Postar um comentário