Celem OSINT jest wykrycie i analiza informacji na temat przedsiębiorstwa w oparciu o powszechnie dostępne źródła, wraz ze wskazaniem, które informacje i w jakim stopniu mogą zostać wykorzystane do przeprowadzenia cyberataku na konkretne zasoby organizacji. Zebrane dane analizowane są pod kątem możliwych do przeprowadzenia wektorów ataku i prawdopodobieństwa ich wykorzystania. Równolegle prowadzona jest analiza, w jaki sposób ograniczyć ilość informacji szczególnie wrażliwych dla firmy dostępnych w Internecie oraz jak przeciwdziałać publikacji tego typu treści w przyszłości.
OSINT, jako element rekonesansu, jest jednym z pierwszych kroków wykonywanych przez atakującego. Informacje zdobyte podczas OSINT mogą służyć do planowania dalszych działań, wyboru konkretnego celu ataku lub doboru narzędzi.
Usługa ComCERT w swojej istocie przypomina działania atakującego, ale jest rozszerzona również o źródła zamknięte oraz wyszukiwanie informacji w podziemiu internetowym. Dostarczone informacje mogą służyć do zmniejszenia ryzyka skutecznego ataku.
Najważniejsze zastosowanie informacji dostarczonych w ramach OSINT to:
- zmniejszenie „powierzchni ataku” – poprzez ograniczenie dostępności z zewnątrz usług lub elementów infrastruktury, które tego nie wymagają,
- utrudnienie mapowania sieci,
- utrudnienie tworzenie powiązań pomiędzy interesującymi przestępców pracownikami,
- weryfikacja publicznie dostępnych informacji na temat zatrudnionych pracowników,
- usunięcie podatności w dostępnych z zewnątrz usługach lub elementach infrastruktury,
- zmiana haseł dla pojawiających się w wyciekach kont pracowników.
OSINT powinien być pierwszym etapem w procesie przeprowadzenia testów penetracyjnych. Poprawnie wykonany, pozwala już w pierwszej fazie testów zbudować jasny obraz o badanym obiekcie, a bardzo często wykryć wiele istotnych nieprawidłowości.
Podstawowy zakres usługi OSINT
Testy Ogólne
- Wyszukiwanie udostępnionych publicznie wrażliwych informacji
- Weryfikacja obecności kont pracowników w wyciekach
- Wyszukanie informacji opublikowanych na forach i serwisach przestępczych (underground/darknet)
Testy w zakresie sieci
- Identyfikacja publicznie dostępnych usług sieciowych nasłuchujących na standardowych portach (np. rdp, vnc, telnet, ftp…)
- Analiza możliwości uzyskania nieautoryzowanego dostępu do danych (domyślne hasła, brak haseł)
Testy związane z DNS
- Zebranie informacji dotyczących dostępnych subdomen
- Weryfikacja poprawności konfiguracji DNS – np. próba transferu strefy
Badanie WWW
- Identyfikacja (standardowego) oprogramowania webowego i jego wersji
- Weryfikacja obecności nadmiarowych plików – pozostałości pracy programisty, pliki i dokumenty które nie powinny być publicznie dostępne (np. open directory)
- Dostępne strony, panele logowania itp., które nie powinny być dostępne publicznie
- Identyfikacja podatności wykorzystywanych CMS