Gli strumenti OSInt, arma efficace per la sicurezza IT

Come l’Open Source Intelligence rafforza la sicurezza informatica per Andy Thompson, Offence Cybersecurity Research Evangelist di CyberArk.

Sotto il nome di OSInt (Open Source Intelligence) si cela in realtà una disciplina che risale agli albori dell’umanità ed è, in sostanza, uno sforzo per raccogliere e sfruttare informazioni da fonti pubblicamente disponibili. I progressi della tecnologia, in particolare l’adozione di strumenti di GenAI (intelligenza artificiale generativa), hanno aumentato in modo significativo il potenziale dell’OSInt. Attaccanti e difensori possono ora utilizzare questi strumenti per raccogliere vaste quantità di informazioni da più fonti e utilizzarle per ricavare utili insight. L’approccio OSInt non soltanto può contribuire a rafforzare la sicurezza informatica delle aziende, ma anche aiutarle a monitorare reputazione, preferenze dei clienti e presenza sui social media.

Il continuo aumento dei cyber-attacchi dimostra tra l’altro che gli strumenti di sicurezza tradizionali non sono abbastanza veloci o completi da coprire la miriade di vulnerabilità. La raccolta di informazioni sulle minacce tramite strumenti OSInt può e deve essere parte integrante delle attività dei team di sicurezza, in quanto copre le stesse tecniche che vengono utilizzate attivamente dai cybercriminali contro le aziende. Ricavare informazioni utili da fonti differenziate come piattaforme open-source, forum del cosiddetto Dark Web (la parte di Internet non indicizzata da motori di ricerca) e social media consente ai difensori di giocare d’anticipo. Ad esempio, la possibilità di essere avvisati della vulnerabilità Log4j, condivisa sul Dark Web molto prima che la notizia arrivasse ai media tradizionali, avrebbe potuto consentire a un team di sicurezza che utilizzava strumenti OSInt di verificare come potessero essere colpiti prima che venisse sfruttata.

Gli strumenti OSInt possono essere utilizzati anche per individuare potenziali minacce interne. I team di sicurezza possono identificare rapidamente eventuali risorse scontente che criticano il loro datore di lavoro online, e che quindi potrebbero essere disposte ad azioni pericolose. Questi tool possono essere utilizzati per qualificare i fornitori terzi con cui un’organizzazione sta collaborando, contribuendo a una valutazione approfondita del rischio, comprendendo se un potenziale partner dell’ecosistema presenti vulnerabilità di cybersecurity che a loro volta potrebbero mettere l’azienda a rischio, ad esempio, di un attacco alla supply chain.

Le imprese possono anche utilizzare questi strumenti per monitorare costantemente eventuali attività di spoofing (o falsificazione) del proprio nome di dominio e URL, proteggendo così dipendenti e clienti da tentativi di phishing. Dal punto di vista della risposta agli incidenti, l’uso di strumenti OSInt consente di comprendere strumenti, tattiche e motivazioni degli attori delle minacce, permettendo di difendersi proattivamente da questi attacchi, ma anche di ripristinare molto più rapidamente.

C’è ancora molta strada da fare prima che gli strumenti OSInt vengano riconosciuti come un fattore fondamentale della protezione IT, anche se abbiamo assistito a una crescita del loro utilizzo da parte di grandi aziende che hanno un portafoglio di sicurezza più maturo – e anche una maggiore presenza pubblica. Molte imprese più piccole hanno ancora una visione ridotta della gestione dei parametri di sicurezza, e quindi non hanno ancora compreso appieno o sbloccato il potenziale dell’OSINT come approccio e set di strumenti.

Qualsiasi tool utilizzato per raccogliere e analizzare grandi quantità di informazioni comporta considerazioni etiche, ma la più importante è probabilmente quella legata alla conformità. Con il GDPR (General Data Protection Regulation), ad esempio, le aziende devono essere molto attente a come elaborano e conservano i dati raccolti. Da dove provengono? Sono utilizzabili? Chi deve essere informato del loro utilizzo?

Inoltre, è fondamentale non trascurare la necessità di comprendere l’accuratezza e l’integrità dei dati raccolti ed elaborati dalle aziende, che devono essere in grado di eliminare propaganda o pettegolezzi dai dati raccolti per poter trarre conclusioni corrette e imparziali. Senza contare che le organizzazioni hanno l’onere, proprio come per qualsiasi altro dato sensibile in loro possesso, di assicurarsi che siano in atto controlli per garantire che i dati non finiscano nelle mani sbagliate.

 

– a cura di Andy Thompson, Offence Cybersecurity Research Evangelist di CyberArk

calendar_month

a cura di Redazione