Met wortels die teruggaan tot de Tweede Wereldoorlog, kan Open Source Intelligence (OSINT) een krachtig hulpmiddel zijn in cyberverdedigingsstrategieën voor ondernemingen.
Tegen het jaar 2027 zullen bijna zes miljard mensen wereldwijd sociale media gebruiken.
Met de enorme hoeveelheid gegevens die hierdoor alleen al wordt gecreëerd, is open-source intelligence (OSINT) een steeds waardevoller hulpmiddel geworden.
Met een geschiedenis die teruggaat tot de Tweede Wereldoorlog met het verzamelen van informatie uit openbaar beschikbare bronnen zoals kranten, radio-uitzendingen en zelfs gesprekken tussen mensen om inzicht te krijgen in de activiteiten en bedoelingen van de vijand, biedt OSINT een manier om openbaar beschikbare gegevens te verzamelen en te analyseren die vervolgens kunnen worden gebruikt om weloverwogen beslissingen te nemen.
"Open Source Intelligence is waar cybersecurity-experts, maar ook cybercriminelen, proberen zoveel mogelijk informatie te verzamelen over een organisatie, bezittingen of persoonsgegevens als ze kunnen, om die verzamelde informatie in hun voordeel te gebruiken", legt Ed Williams, Regional VP, Penetration Testing, EMEA bij MDR-leider Trustwave, uit.
OSINT verbetert de beveiliging van bedrijven
Zoals Williams stelt, is het cruciaal om te begrijpen wat OSINT is en hoe het kan worden gebruikt tegen een onderneming, activa of individu. "Een goed voorbeeld hiervan, en een voorbeeld dat in het verleden resultaten heeft opgeleverd, zijn functiebeschrijvingen en de details die ze bieden", zegt hij. "Dit detail kan en heeft een belangrijke rol gespeeld bij het creëren van gerichte cyberaanvallen die gericht zijn op specifieke individuen, waardoor ze des te vatbaarder en kwetsbaarder worden voor deze aanvallen.
"Met dit in het achterhoofd kan OSINT bedrijven in staat stellen inzicht te krijgen in de bedreigingen die hun organisatie het meest waarschijnlijk zullen treffen; het kan experts helpen bij het begrijpen van het aanvalsoppervlak en de blootgestelde activa van een organisatie; en het belangrijkste is dat OSINT de kennispool van bredere cyberbeveiligingstrends verdiept, waardoor het des te gemakkelijker wordt om op de hoogte te blijven van nieuwe bedreigingen en mitigatietactieken binnen de ruimte."
Zoals Michael Skelton, Vice President, Security Operations and Researcher Success bij crowdsourced beveiligingspionier Bugcrowd opmerkt, kan OSINT de beveiliging van ondernemingen aanzienlijk verbeteren door bruikbare inzichten te bieden over potentiële bedreigingen.
"Het kan bijvoorbeeld worden gebruikt om Dark-Web en hackerforums te monitoren om te bepalen of de informatie van een bedrijf wordt besproken of verkocht", zegt Skelton. "Op dezelfde manier kan OSINT worden gebruikt om losse eindjes in de digitale voetafdruk van een bedrijf te identificeren, zoals onbeveiligde servers of werknemers die gevoelige informatie online delen. Dit kan de eigen infrastructuur van het bedrijf zijn, of over diensten die een bedrijf gebruikt. Een goed voorbeeld hiervan is het monitoren van GitHub om ervoor te zorgen dat zowel aannemers als werknemers niet per ongeluk bedrijfsgeheimen of wachtwoorden hebben onthuld."
OSINT wordt steeds meer een centraal aspect van cyberdefensiestrategieën
Skelton beschrijft het als een 'krachtvermenigvuldiger' in traditionele cyberbeveiligingspraktijken en legt uit hoe OSINT een meer proactieve aanpak mogelijk kan maken.
"Van oudsher was cybersecurity vooral gericht op het beschermen van interne systemen en het reageren op netwerkaanvallen", zegt hij. "Met de proliferatie van OSINT kunnen beveiligingsprofessionals nu proactief informatie verzamelen over potentiële bedreigingen en aanvallers, en een meer proactieve benadering van beveiliging hanteren. Hoe meer informatie we hebben over potentiële dreigingen en dreigingsactoren, hoe beter we ons ertegen kunnen verdedigen."
Zoals Williams benadrukt, is het echter belangrijk om te bedenken dat hoewel OSINT een krachtig hulpmiddel is voor beveiligingsprofessionals, het ook door cybercriminelen kan worden gebruikt om kwetsbare en verkeerd geconfigureerde systemen te identificeren en aan te vallen. Daarom zou het minimaliseren van de externe voetafdruk van een organisatie tot alleen wat nodig is een topprioriteit moeten zijn voor alle hoofden informatiebeveiliging (CISO's: Chief Information Security Officers).
"OSINT is een belangrijke praktijk in elke moderne cyberbeveiligingsstrategie, naast het testen van kwetsbaarheden en patchbeheer", voegt hij eraan toe. "Allemaal praktijken die, hoewel ze niet altijd 100% veiligheid kunnen garanderen, gezien het evoluerende bedreigingslandschap, bedrijven wel helpen om op de hoogte te blijven van alle bedreigingen en tools om zich ertegen te beschermen."
De ethische overwegingen bij het verzamelen en gebruiken van OSINT
OSINT is van nature voor iedereen beschikbaar op het internet. Daarom, legt Williams uit, wordt het belangrijk voor organisaties om ervoor te zorgen dat het verzamelen en gebruiken van OSINT-gegevens voldoet aan alle relevante wet- en regelgeving, inclusief gegevensbeschermingswetten zoals de Algemene Verordening Gegevensbescherming van de Europese Unie.
"Waar mogelijk kan het verkrijgen van toestemming van de personen van wie de gegevens worden verzameld, ervoor zorgen dat het verzamelproces zowel legaal als ethisch is", zegt hij.
"Over het algemeen is het belangrijk voor professionals om ethiek voorop te stellen bij het uitvoeren van OSINT-onderzoeken. Hoewel er duidelijke wetten zijn rond computermisbruik, is het belangrijkste kenmerk van OSINT de mogelijkheid om een voorsprong te krijgen op een organisatie, bedrijfsmiddel of individu. Het belangrijkste onderdeel van OSINT is hoe deze informatie wordt gebruikt door zowel aanvallers als verdedigers."
Dit standpunt wordt weerspiegeld door Amir Sadon, directeur van IR Research bij Sygnia. "Hoewel OSINT vertrouwt op openbaar beschikbare data, kan het gebruik van deze data gevolgen hebben voor mensen, zowel binnen als buiten de organisatie", beschrijft hij. "Bij het verzamelen van deze gegevens moeten organisaties niet alleen rekening houden met hun onderzoeksbehoeften, maar ook met de ethische en regelgevende impact van de gegevens. OSINT kan bijvoorbeeld worden misbruikt om informatie te verzamelen over privé-activiteiten op sociale media van werknemers en hun omgeving."
Een van de grootste overwegingen voor OSINT is privacy, stelt Skelton. "Het feit dat informatie openbaar beschikbaar is, betekent niet dat het ethisch is om te verzamelen en te gebruiken. Er moet een duidelijk, welomschreven doel zijn en er moet voor worden gezorgd dat de informatie alleen in overeenstemming met dat doel wordt gebruikt. Bovendien kunnen er uitdagingen zijn bij het waarborgen van de nauwkeurigheid en validiteit van de verzamelde gegevens. Verkeerde interpretatie of misbruik van informatie kan leiden tot schadelijke beslissingen. Het is belangrijk voor professionals om een duidelijke ethische richtlijn te hanteren over welke gegevens ze moeten verzamelen, hoe ze moeten worden gebruikt en, belangrijker nog, wat ze niet moeten doen."
Om deze risico's aan te pakken, legt Sadon uit dat het verzamelen van gegevens tot een minimum moet worden beperkt en alleen nodig is om onderzoeksdoelen te bereiken zonder de rechten van werknemers of anderen te schenden.
"Het toestaan of mogelijk maken van technologie om gegevens te verzamelen of systemen 'op de automatische piloot' te scannen, zal vaak resulteren in onethische of illegale gegevensverzameling, en daarom is een belangrijk onderdeel van ethische OSINT om ervoor te zorgen dat gegevensverzameling wordt gecontroleerd door mensen die privacykwesties en ethische zorgen volledig begrijpen."
Bron: Cyber Magazine
