OSINT & Taktische Informationsbeschaffung

 

Vielen Unternehmen und Organisationen ist nicht bewusst, welche Informationen über sie öffentlich verfügbar sind und von Angreifern genutzt werden können, um ihnen zu schaden und Angriffe vorzubereiten. Tatsächlich besteht in öffentlichen Quellen (OSINT – Open Source Intelligence) oft ein großer Informationsschatz, mit dem umfassende Profile über Organisationen erstellt werden können, aus denen sich Angriffsstrategien oder sogar Schwachstellen ableiten lassen. Professionelle Angreifer forschen potenzielle Ziele oft zur Vorbereitung aus – ohne ihre Ziele direkt zu scannen. Somit bleiben sie vom Radar unentdeckt und können mit OSINT umfangreiche Inventare, Karten und Datenbanken aller Systeme und anderer Assets, die einer Organisation gehören, erstellen. All diese Assets machen die Angriffsfläche aus und legen die Angriffsstrategien fest.

NSIDE führt dieselbe angriffsvorbereitende taktische Informationsbeschaffung, auch OSINT-Analysen genannt, durch. Wir zeigen Unternehmen damit, welche sicherheitskritischen und angriffsvorbereitenden Informationen über sie aus öffentlichen Quellen ermittelt werden können. Diese Informationen erlauben es Unternehmen, gegenzusteuern, öffentliche Informationen zu entfernen und sich präventiv auf zukünftige Bedrohungen einzurichten.

Diese OSINT-Analysen können entweder als separate Dienstleistung oder vorbereitend für eine Red Team Exercise durchgeführt werden. Dies gilt auch für Red Teamings nach TIBER-Framework (TIBER-EU bzw. TIBER-DE, das europäische und deutsche Rahmenwerk für Red Teaming im Finanzsektor für Banken, Versicherungen und andere Finanzmarktakteure. Die Tests bestehen bei TIBER aus zwei Phasen: Einer Targeted-Threat-Intelligence-Phase sowie einer Red-Teaming-Phase, wobei erstere die Grundlage für letztere bildet. Daher werden hier die Tests leicht modifiziert durchgeführt.)

 

Beispiele für durchgeführte Analysen & Ergebnisse

Analysen der Zielorganisation und ihrer Assets („Target Intelligence“):

  • Inventarisierung & Footprinting: Welche digitalen und nicht-digitalen Assets gehören einer Organisation?
  • Attack Surface Mapping (Ermittlung der Angriffsfläche): Über welche Angriffsfläche verfügt eine Organisation?
  • Aufdeckung von Schatten-IT
  • Technologie-Profiling: Welche Technologien werden von einer Organisation eingesetzt?
  • Angriffsszenarien-Erstellung
  • OSINT: Gefährliche öffentliche Informationen über eine Organisation aus verschiedensten Quellen
  • WEBINT: Auswertung von Web-Daten (Internet)
  • Supply Chain Attacks: Ermittlung von Risiken der Lieferkette
  • SOCMINT: Analyse von Informationslecks (Information Leaks) aus Social Media-Kanälen
  • GEOINT: Standortidentifizierung und Aufdeckung von Schwachpunkten zum physischen Eindringen
  • Verwendung öffentlicher und geschlossener Datenbanken als Informationsquellen
  • Verwertung und Analyse von Netzwerk-Scan-Ergebnissen, die von Dritten erlangt wurden
  • u.v.m.

 

Analysen bestehender konkreter Bedrohungen und laufender Angreiferaktivitäten („OSINT Threat Intelligence“ bzw. Open Source Threat Intelligence):

  • Öffentlich bekannte Schwachstellen, die online verbreitet oder gehandelt werden
  • Analyse von Dark-Net- und Deep-Web-Quellen
  • Analyse von Marketplaces und nicht-öffentlichen Foren
  • Überwachung von Paste-Seiten
  • Durchsuchen von veröffentlichten Leaks und Dumps vergangener Hacks, primär auf geleakte Zugangsdaten (Credentials)
  • Auswertung von Threat Intelligence Feeds
  • Aufdeckung von infizierten Systemen via Indikatoren für Malware-Aktivitäten