Essai gratuit
Obtenez l'accès complet
Connexion

OSINT dans la cybersécurité : tirer efficacement parti de l'intelligence open source pour générer de la valeur en matière de sécurité d'entreprise en 2023

Picture of Flare
Flare
  • Reading time: 6 min
Fond bleu dégradé. Il y a un ovale orange clair avec le texte blanc "BLOG" à l'intérieur. En dessous, il y a un texte blanc : "OSINT dans la cybersécurité : tirer efficacement parti de l'intelligence open source pour générer de la valeur en matière de sécurité d'entreprise." Il y a un texte blanc sous celui qui dit "En savoir plus" avec une flèche orange clair pointant vers le bas.

L'OSINT est un aspect essentiel d'un programme de cybersécurité compétent. Une fois qu'une organisation a mis en place les bases telles que l'EDR, l'authentification multifacteur, la surveillance du réseau et des règles de pare-feu robustes, la conduite de renseignements open source efficaces représente une opportunité importante pour les organisations d'améliorer leur cyber-préparation. Cybersécurité OSINT permet aux entreprises de :

  • Comprendre les menaces les plus susceptibles d'affecter leur organisation
  • Détectez les risques sur le Web sombre et clair, tels que les acteurs de la menace du Web sombre ciblant leur organisation, les fuites de secrets sur les référentiels publics GitHub, les fuites d'informations d'identification et les IAB ciblant leurs organisations
  • Comprendre la surface d'attaque et les actifs exposés de leur organisation
  • Approfondir la compréhension des tendances plus larges en matière de cybersécurité

Qu'est-ce que l'intelligence open source (OSINT) ?

OSINT est synonyme de renseignement open-source et est l'une des principales méthodes de collecte de renseignements aux côtés de HUMINT (renseignement dérivé de sources humaines) et SIGINT (renseignement des signaux). OSINT fournit aux équipes de cybersécurité des entreprises des informations accessibles au public qui peuvent être utilisées pour améliorer les procédures de sécurité, valider les contrôles de sécurité et améliorer leur compréhension du paysage des menaces. OSINT peut être divisé en deux catégories :

OSINT passif : L'OSINT passif implique la collecte de données publiques et facilement disponibles. Par exemple, une équipe de sécurité qui configure des alertes Google pour les informer des articles de presse sur les tendances de la cybersécurité dans leur secteur est un exemple de collecte passive de renseignements open source. 

OSINT actif : Active OSINT implique de creuser une couche et de collecter des informations qui sont accessibles au public, mais qui peuvent ne pas être aussi facilement accessibles. Un spécialiste du renseignement sur les menaces infiltrant des forums Web sombres nécessitant un accès ou des autorisations spéciaux serait un exemple de collecte active de renseignements open source. 

Flare automatise la cybersécurité OSINT sur le Web clair et sombre

La plate-forme SaaS de Flare automatise l'identification, la collecte et la structuration des données OSINT sur le Web clair et sombre. Notre plate-forme intuitive explore en permanence le Web clair, y compris des sources telles que les référentiels publics GitHub, Stackoverflow, Google Dorks et les sites de collage, en plus de milliers de forums et de marchés du Web sombre pour fournir aux équipes CTI et SecOps des informations exploitables dès le premier jour. Démarrez avec une démo de Flare.

Comment OSINT est-il utilisé dans la cybersécurité ?

Les utilisations d'OSINT dans la cybersécurité varient en fonction des besoins de l'entreprise, des exigences de cybersécurité et des équipes pour lesquelles OSINT est collecté. Souvent, les équipes de renseignement sur les menaces seront chargées de collecter des renseignements open source pour atteindre des buts et objectifs spécifiques définis par d'autres équipes de sécurité ou unités commerciales. 

OSINT du Web sombre

Le dark web est accessible à l'aide de TOR (The Onion Router) qui offre un degré élevé d'anonymisation du trafic sur le réseau. Les acteurs de la menace exploitent des chaînes d'approvisionnement incroyablement complexes sur les marchés du dark web, les forums et les communautés illicites trouvées sur des applications comme Telegram. 

Le Dark Web est un domaine critique pour le développement des capacités de collecte OSINT et peut fournir une zone riche pour la collecte de renseignements. Renseignements sur les menaces du dark web peut fournir des informations essentielles concernant : 

  • Renseignements tactiques sur les menaces, tels que les tactiques, techniques et procédures (TTP) des acteurs de la menace utilisés contre des industries spécifiques 
  • Intelligence concernant les courtiers d'accès initiaux vendant l'accès à des environnements d'entreprise spécifiques
  • Renseignements opérationnels tels que les informations d'identification divulguées ou les appareils infectés à vendre qui appartiennent à des entreprises spécifiques

Surface d'attaque externe et cybersécurité OSINT

La collecte de renseignements open source est souvent l'une des premières choses qu'un adversaire fera lorsqu'il se prépare à mener une attaque ciblée contre une entreprise spécifique. Un attaquant peut rechercher des renseignements dans des dizaines de sources, notamment :

  • Profils d'entreprise sur les réseaux sociaux
  • Profils personnels sur les réseaux sociaux
  • Répertoires d'entreprises
  • Sites Web d'entreprise
  • PDF et documents d'entreprise publiés en ligne
  • Sources de données tierces telles que la plate-forme d'aide à la vente qui fournit des statistiques d'entreprise
  • Sources d'actualités
  • Communiqués de presse
  • Données du registre de domaine
  • Adresses e-mail accessibles au public
  • Enregistrements téléphoniques
  • Et d'autres sources


Pour les équipes de cybersécurité, la réalisation d'OSINT sur votre propre organisation peut fournir des informations précieuses sur les failles de sécurité ou l'exposition indésirable des données. Les équipes de sécurité peuvent découvrir que des dirigeants clés publient accidentellement des informations confidentielles sur des forums accessibles au public, exposent des informations personnelles qui pourraient être utilisées pour compromettre l'organisation ou ont des autorisations de médias sociaux configurées de manière incorrecte. 

Géopolitique & Cybersécurité OSINT

L'OSINT peut également contribuer à fournir le contexte nécessaire à la manière dont les risques géopolitiques évoluent et affectent les profils de risque des organisations individuelles. Des développements tels que la guerre de la Russie en Ukraine et une crise potentielle sur le détroit de Taiwan sont deux exemples poignants d'événements qui modifient considérablement le profil de risque de chaque pays. La surveillance régulière des sources de renseignements open source peut être extrêmement utile pour comprendre le risque d'une organisation dans le contexte plus large des événements mondiaux. 

Gestion des vulnérabilités et OSINT dans la cybersécurité

La gestion des vulnérabilités est une autre application clé pour OSINT. Des exploits 0-day et de nouvelles vulnérabilités sont régulièrement divulgués quotidiennement par des centaines d'éditeurs de logiciels et de chercheurs. Les équipes d'opérations de sécurité ou les équipes de renseignement sur les cybermenaces peuvent être invitées à surveiller les vulnérabilités nouvellement divulguées affectant les applications logicielles d'entreprise. 

OSINT, Google Dorks et les cyberattaques ciblées

Google Dorks est une méthode de collecte légèrement plus avancée pour les renseignements open source que la collecte d'articles de presse pertinents ou de profils de médias sociaux. Les acteurs de la menace et les équipes de sécurité peuvent créer des termes de recherche Google hautement personnalisables à l'aide de Dorks, qui peuvent être utilisés pour trouver des sources de renseignements difficiles à trouver.

Par exemple, une simple recherche sur le nom d'une entreprise peut faire apparaître diverses pages du site Web de l'entreprise accessibles au public et destinées à la communication externe. Cependant, à l'aide d'un Google Dork, un pirate pourrait rechercher :

type de fichier:PDF 

Lorsqu'il est combiné avec un autre Dork contenant un nom de domaine d'entreprise spécifique, cela afficherait tous les fichiers PDF accessibles au public associés au site Web, y compris ceux que des autorisations mal configurées peuvent avoir rendus accessibles au public par inadvertance. 

La cybersécurité, le cycle de vie OSINT et «l'intelligence finie»

L'OSINT peut aider les équipes d'opérations de sécurité dans une grande variété de domaines, mais sans une collecte, une analyse et une contextualisation minutieuses, cela peut s'avérer écrasant. C'est là qu'intervient le concept d'« intelligence finie ». Plutôt que de fournir une autre définition, passons brièvement en revue le cycle de vie de la manière dont les informations open source peuvent être collectées et utilisées. Dans notre exemple, nous utiliserons une société de sécurité qui a été chargée de mener un engagement d'équipe rouge externalisé. Nous expliquerons exactement comment ils identifieraient, collecteraient et utiliseraient l'OSINT tout au long de la phase de reconnaissance et de collecte d'informations de l'engagement.  

Étape 1 : Identification de la source OSINT

Tout d'abord, l'équipe de renseignement sur les cybermenaces travaillera probablement pour identifier des sources de renseignements spécifiques qu'elle peut exploiter. Un bon point de départ serait probablement :

  • Profils de médias sociaux des principaux dirigeants 
  • Profils d'entreprise sur les réseaux sociaux
  • Annuaire des entreprises et informations sur les adresses
  • Marchés et forums du dark web
  • Communiqués de presse et actualités de l'entreprise
  • Notifications de violation de données
  • Conformité et amendes réglementaires
  • Poursuites et contentieux 
  • Comptes de médias sociaux des employés
  • Analyse passive des vulnérabilités pour détecter les machines à risque

Étape 2 : Collecte de données OSINT sur la cybersécurité

Une fois les sources de données sur une entreprise et ses employés identifiées, l'équipe travaillait ensuite à collecter des données à partir de sources identifiées. Dans certains cas, cela peut être aussi simple que d'ajouter des données à des feuilles de calcul alors que dans d'autres, l'équipe rouge peut avoir à infiltrer les marchés et les forums du dark web dans le cadre d'une approche OSINT active. 

Étape 3 : Les données OSINT sont traitées et contextualisées

Une fois la collecte terminée, l'équipe rouge souhaite traiter, structurer et contextualiser les données pour faciliter l'étape suivante, l'analyse. Des données similaires seraient agrégées et une contextualisation supplémentaire serait appliquée sur la base des leçons tirées de la reconnaissance effectuée jusqu'à présent afin de fournir une image plus complète de l'organisation et de ses points faibles potentiels.  

Étape 4 : Analyse OSINT

Enfin, les données OSINT seraient analysées par l'équipe rouge. L'équipe rouge chercherait à répondre à des questions qui pourraient les aider dans leur engagement comme :

  • Des employés spécifiques disposent-ils d'informations publiques qui pourraient être exploitées pour effectuer la compromission initiale de l'organisation ?
  • L'organisation dispose-t-elle de mots de passe divulgués ou de fichiers publiquement divulgués qui représentent un point faible potentiel ?
  • Les e-mails critiques des employés sont-ils accessibles au public et pourraient être utilisés dans une campagne de phishing ?
  • L'organisation présente-t-elle des vulnérabilités telles que des systèmes non corrigés qui pourraient être facilement exploités ?

Étape 5 : Intelligence finie OSINT

Enfin, l'équipe rouge produirait un élément de renseignement fini qui serait pris en compte dans son plan d'attaque plus large. Cela contiendrait probablement des informations clés que l'équipe pourrait utiliser pendant l'engagement pour faciliter l'accès et la persistance sur le réseau de l'organisation ou aider à éviter la détection. 

La cybersécurité OSINT n'est pas une rue à sens unique

La cyberreconnaissance est essentielle pour que les défenseurs comprennent est ce que nous faisons est la surface d'attaque de l'organisation. Cependant, il peut tout aussi bien être utilisé par des cyber-adversaires pour accéder à une organisation. L'ensemble du processus décrit dans l'engagement d'équipe rouge serait également utilisé par un attaquant sophistiqué qui menait une attaque ciblée contre une entité spécifique. 

Cela souligne l'importance de mener une cyberreconnaissance continue contre votre organisation pour comprendre les points faibles qu'un attaquant pourrait tenter d'exploiter, afin que vous puissiez résoudre l'exposition à haut risque avant qu'un attaquant ne l'exploite. 

Flare peut soutenir votre stratégie OSINT

La plateforme Flare surveille les actifs numériques externes de votre entreprise. La plate-forme identifie les risques sur le Web clair et sombre et d'autres communautés illicites afin que vous puissiez sécuriser la surface d'attaque de votre organisation. 
Demander une démonstration aujourd'hui pour en savoir plus.

Partager cet article
Afficher les messages

Flare

Contenu similaire

Using CTI to Help Predict Vulnerability Exploitability

En savoir plus
, ,

AlphaLock, Threat Actor Branding, and the World of Cybercrime Marketing

En savoir plus

Ransomware in Context: 2024, A Year of Tumultuous Change

En savoir plus

« Ce qui prenait environ 1500 heures peut désormais être réalisé en une semaine. Flare me permet d'habiliter des analystes débutants à mener des enquêtes sur le Web clandestin qui étaient auparavant impossibles, libérant ainsi de la bande passante. »

Spécialiste principal en cybersécurité chez un prestataire de services en gestion des cybermenaces (MSSP)

« D'autres solutions nous auraient présenté des milliers de fuites potentielles avec lesquelles il était impossible de travailler pour notre petite équipe. Flare était le seul à pouvoir filtrer et prioriser avec succès les fuites de données avec leur système de notation à 5 points. »

Directeur du renseignement sur les cybermenaces (CTI) dans une grande banque nord-américaine

« Flare nous permet de réagir rapidement lorsque des cybermenaces sont rendues publiques, ce qui nous aide à protéger notre marque et nos ressources financières contre les brèches de données. »

Responsable de la sécurité des systèmes d'information (RSSI) dans une grande banque nord-américaine

« Nous avons audité des dizaines de solutions différentes et Flare était le seul à rendre le renseignement sur les cybermenaces facile et compréhensible pour tous, avec les bonnes données. »

Conseiller cadre dans une entreprise de technologies de l'information

Commencez votre essai gratuit dès aujourd'hui

Faites l'expérience de Flare par vous-même et découvrez pourquoi Flare est utilisé par des organisations telles que des agences de sécurité publique, des sociétés du Fortune's 50, des institutions financières et des jeunes entreprises.

COMMENCEZ L'ESSAI GRATUIT
Flare logo
Démo
Essai gratuit
LinkedIn Twitter Facebook Youtube
Droits d'auteur 2024 Flare Systems, Inc.
1751 Rue Richardson, Unité 3.108, Montréal, Québec, H3K 1G6

Siège social de Flare

société de cybersécurité soc 2
Flare logo
Essai gratuit
Obtenez l'accès complet
Connexion