任何人都可以使用 OSINT，无论是好是坏——这是防御者如何使用它来保持领先于攻击者的方式
Phil Muncaster,16 Jun 2021 - 11:30AM

网络安全行业经常沉迷于技术：最新的漏洞利用、黑客工具和威胁追踪软件。实际上，很多事情都归结于人。是开发恶意软件的人，点击红色按钮发起攻击的人，而另一方面，则是负责防御恶意软件的人。为此，OSINT 或开源情报是网络安全的一个重要但经常被忽视的“人”元素。

最重要的是，无论你在网上能找到关于你的组织的任何信息，坏人也能找到。仅凭这一想法就应该推动正在进行的 OSINT 努力，以减轻网络风险。

如何使用开源情报？

术语OSINT首次使用了网络安全行业之外，引用军方和情报努力聚集在国家安全问题具有重要战略意义，但公开信息。虽然战后的间谍活动侧重于获取信息的不同方式（例如 HUMINT、SIGINT），但到 1980 年代，OSINT 又回来了。随着网络、社交媒体和数字服务的出现，OSINT 参与者现在拥有大量资源来收集有关组织 IT 基础设施及其员工的每个部分的情报。

对于 CISO 来说，主要目标是找到任何可能对组织构成风险的信息，以便他们可以在威胁行为者利用该风险之前降低风险。最明显的方法之一是运行定期渗透测试和红队演习，利用 OSINT 找出弱点。

以下是攻击者和防御者如何使用 OSINT：

安全团队如何使用开源情报

对于渗透测试人员和安全团队，OSINT 是为了发现有关内部资产的公开信息以及组织外部的信息。有时，在组织意外发布的元数据中会发现敏感信息。关于 IT 系统的有用情报可能包括：

• 打开端口和不安全连接的设备
• 未打补丁的软件
• 资产信息，例如软件版本、设备名称、网络和 IP 地址
• 泄露的信息，例如 Pastebin 或 GitHub 上的专有代码
  在组织外部，网站，尤其是社交媒体可以成为信息宝库——尤其是关于员工的信息。供应商和合作伙伴也可能过度分享您的 IT 环境的某些细节，这些细节最好保密。然后是大量未编入索引的网站和文件，统称为深网。从技术上讲，这仍然是公开可用的，因此对于 OSINT 来说是公平的游戏。

威胁参与者如何使用开源情报

当然，这一切都有反面。如果信息是公开可用的，任何人都可以访问它——包括威胁参与者。

最常见的例子包括：

• 在社交媒体上搜索员工的个人和专业信息。这可用于选择鱼叉式网络钓鱼目标（即那些可能拥有特权帐户的目标）。LinkedIn 是此类开源情报的绝佳资源。但是，其他社交网站也可能会透露出生日期、孩子和家庭宠物的姓名等详细信息，其中任何一个都可以用来猜测密码。
• 由于云计算的强大功能，扫描未打补丁的资产、开放端口和错误配置的云数据存储变得相对便宜和容易。如果他们知道要查找什么，攻击者还可以在 GitHub 等站点中搜索凭据和其他泄露的信息。有时密码和加密密钥被嵌入到代码中，这就是Uber通过 GitHub 上的泄漏而被攻破的原因。

OSINT 合法吗？

OSINT 就是寻找公开可用的信息，因此在这方面它绝对合法，至少在大多数西方国家是这样。如果数据受密码保护或以任何其他方式保密，如果他们去寻找它，可能会对 OSINT 团队产生影响。从社交媒体网站上抓取数据也违反了这些公司的大部分服务条款。在开始与客户合作之前，渗透测试团队通常会试图定义什么是允许和禁止的。

流行的开源情报工具

对于热衷于使用开源情报作为其网络风险管理工作的一部分的 CISO 来说，从明确的战略开始是很重要的。了解您想从项目中获得什么——是检测网络弱点和软件漏洞，还是了解员工在社交媒体上过度分享的地方？然后列出您想要用来收集和管理该数据的工具和技术。这里涉及的大量数据需要高度自动化。

一些常用工具包括：

• Shodan：一种非常流行的扫描物联网设备、OT 系统、开放端口和错误的方法。
• Maltego：旨在揭露人、域、公司、文档所有者和其他实体之间的隐藏关系，并通过直观的 UI 将其可视化。
• Metagoofil：从可公开访问的文档中提取元数据，为用户提供有关 IT 系统的有用信息（目录树、服务器名称等）。
• Google Dorking：不是这样的工具，而是一种以更高级的方式使用搜索引擎来定位特定信息的技术。通过制定特定的查询，个人可以访问管理员可能认为是隐私的服务器、网页和信息。它也被称为谷歌黑客。

如果不挑出OSINT Framework和OSINT.Link，我们将是失职的，这两个庞大的资源库可以被探索和用于从公开来源收集情报。

最后，无论您采取何种方式，开源情报都是网络安全中越来越重要的一部分。精心设计的策略可以为您的风险管理工作增加另一个维度。