如同軍事宣傳影片在結合了地圖資訊後可以被用來找出軍事基地位置、軍隊規模等資訊,駭客在發動攻擊之前的偵查階段也會利用OSINT搜集目標的各種詳細資料以進行更細緻、更有針對性且更有效的攻擊。例如:目標有哪些面向公眾的基礎設施與網路、有無可利用的重要員工資訊、是否有公開且未修補的漏洞等,並透過這些公開資訊制定更有效的攻擊策略。
除了駭客的偵查行為之外,OSINT也可用於避免攻擊事件的發生,或是在發生攻擊事件時進行相應的應對措施:
● 漏洞發現與供應鏈風險管理
確認組織基礎架構中、供應商與合作夥伴中是否存在暴露在外的漏洞(過時的軟體版本、不安全的設定、洩漏的帳號及密碼、開放的連接埠或未修補的系統等)或潛在的惡意活動。
● 事件回應與威脅追蹤
在事件發生時識別的攻擊來源與攻擊者的策略、技術和程序(TTP),以進行後續漏洞的修補與風險管理。
● 產生IOC與CTI
透過分析OSINT可產出如IP位址、網域名稱、惡意軟體的雜湊值以及攻擊活動的指標等IOC資訊並整合成CTI,幫助監控並識別新出現的威脅。
應用OSINT的挑戰
儘管OSINT的應用可以協助快速驗證有問題網址、網域或信箱等,同時找出具相關性的可疑資訊,幫助企業組織應對潛在的攻擊事件,但是在收集情報時也會遇到不少挑戰:
● 資料量過大
即便有限縮搜集情報的範圍也有使用自動化輔助,仍然需要處理大量非結構化的資料,並過濾大多數不相關、虛假或過時的資訊,才能夠產生出結構化、符合需求及規格的情報。
● 誤報與品質維護
並非所有公開的情報來源都值得信賴,即便是受信任的情報來源也可能因為沒有及時更新導致提供的情報過時、有誤。此外,搜集資訊時的條件過於嚴苛或寬鬆、處理資訊時對於數據的誤解都可能產生出錯誤的情報,影響情報的準確性與可靠性。
● 法律邊界
確保情報搜集的合法性以及情報使用目的的正當性(分析威脅情報與資安趨勢、保護資產、防禦潛在攻擊等),避免爬取未經授權的資料、侵犯他人隱私或利用其進行駭客攻擊等非法行為。
如何簡化收集OSINT的流程、如何找到符合需求的資訊,以及如何提高其效率、正確性與擴展性,甚至是要如何將機器學習與人工智慧整合其中幫助我們更快速、更準確地處理情報,都是要妥善運用OSINT需要面對的重要課題。然而在深入研究這個課題並將其整合為自身的武器之後,就能更加從容地應對在資安領域中未知的威脅。
結語
OSINT在現代社會的網路安全中日益重要,不論是威脅搜尋、事件回應、主動防禦或是漏洞管理都能夠發揮關鍵作用,讓我們能夠檢視組織在資訊安全方面的不足,也能夠在事件發生時勾勒敵人的輪廓與行為模式。
雖然工具的使用只是判斷與驗證的手段之一,仍有許多細節需要仰賴使用者的經驗。但是為了與時俱進、提升效率,資安團隊必須持續關注最新的OSINT工具、技術以及網路威脅,將最新、最適合的OSINT納入常備工具組之中,並在這個不斷變化的環境中保持警惕,才能在面對潛在的攻擊時更加游刃有餘。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com