Het lijkt zo onschuldig. Een online foto van je nieuwe kantoorinrichting, een vacature voor een IT-specialist, een bericht over de aanstelling van een CFO. Toch is het belangrijk om je te realiseren dat aan het publiekelijk publiceren van al dit soort fragmenten van informatie een keerzijde zit. Door het combineren en interpreteren van informatie uit openbare bronnen kunnen cybercriminelen hun doel selecteren en de zwakke plekken in je aanvalsoppervlak blootleggen. OSINT (Open Source Intelligence) is het proces of het middel om publiekelijk beschikbare gegevens te vergaren, te analyseren en te verrijken en te verwerken in inlichtingenproducten. Wees je als organisatie hiervan bewust en zet stappen om risico’s te beheersen.
Het aanvalsoppervlak kent verschillende aspecten: fysiek, techniek en mens. Het is ongekend groot geworden. Het gaat hierbij onder andere om alle kwetsbare plekken in je software, hardware, netwerk en fysieke infrastructuur die kunnen worden uitgebuit door cybercriminelen. Naast dat ook misbruik kan worden gemaakt van medewerkers. Kijken we specifiek naar het digitale aanvalsoppervlak, dan bestond dit vroeger voornamelijk uit de werkplekken van medewerkers en servers binnen het kantoornetwerk. Overzichtelijk en redelijk goed te beheren. Huidige technologieën en werkmethoden zoals thuiswerken, BYOD, IoT, cloudadoptie, de opkomst van webapplicaties en API’s, ketenintegratie en sociale media hebben het aanvalsoppervlak drastisch uitgebreid, en dat niet alleen; het verandert ook nog eens voortdurend. Dit dynamische aanvalsoppervlak omvat nu bijvoorbeeld ook ketenpartners, nieuwe communicatiekanalen en steeds meer flexibel personeel.
Aanvalsoppervlak in kaart
Wie denkt dit aanvalsoppervlak in kaart en onder controle te hebben, komt soms bedrogen uit. Daar waar servers, applicaties, apparaten en accounts in scope zijn en binnen het beheer van de organisatie vallen, is er ook een deel van het aanvalsoppervlak waar organisaties minder bekend mee zijn, of zelfs onbekend. Online is er namelijk op diverse plekken informatie over je organisatie beschikbaar, zonder dat jij daar weet van hebt. Het gevaar is dat je als organisatie bepaalde informatie onterecht beschouwt als vertrouwelijk terwijl het beschikbaar is voor de geïnteresseerde buitenwereld via openbare bronnen.
Dit kan verduidelijkt worden aan de hand van een voorbeeld: aanvallers starten met het verkennen van hun potentiële doelwit door informatie te verzamelen die al openbaar beschikbaar is. Als jouw bedrijf veel winst maakt, wat zou kunnen blijken uit openbaar gepubliceerde jaarverslagen, dan kan je wel eens de interesse van een opportunistische crimineel wekken.
Bij dit soort bronnen kan je denken aan sociale media, websites, openbare registers en de grote zoekmachines. Denk ook aan academische bronnen, zoals scripties en onderzoek van universiteiten. Reken er maar op dat dergelijke openbare bronnen gebruikt worden voor het verzamelen van kennis over jouw organisatie.
Ogenschijnlijk onschuldige informatie
Hoe gaat dit dan in zijn werk? Besef dat ogenschijnlijk onschuldige informatie kan worden gebruikt om bijvoorbeeld vast te stellen hoe een bedrijf zich ontwikkelt. Groeit de onderneming, heeft het aandelen uitgegeven, zijn er investeerders aan boord gekomen, heeft het bedrijf een bekende CEO aangesteld of gaat het juist bergafwaarts? Allemaal interessante informatie in een historische context op basis waarvan aanvallers een mogelijk doelwit kunnen selecteren en effectief zouden kunnen inspelen op actuele gebeurtenissen, denk bijvoorbeeld aan gerichte phishingmails.
Aanvullende openbare bronnen worden vervolgens gebruikt om een manier te vinden om in te breken in systemen. Zo kunnen aanvallers veel informatie halen uit DNS domeinnamen, gepubliceerde certificaten en IP-adressen. Ze kunnen achterhalen welk e-mailsysteem een organisatie gebruikt en welke firewalls er worden ingezet. Vervolgens kun je in vacatureteksten bijvoorbeeld terugvinden wat voor type netwerkbeheerder er gevraagd wordt en welke certificeringen deze moet hebben. Dit geeft een goede indicatie van de netwerkconfiguratie.
Broodkruimels
Het aanvalsoppervlak wordt vergroot op het moment dat bijvoorbeeld een trots architectenbureau foto's plaatst van je complete kantoorinrichting. Dit kan veel informatie prijsgeven over alles wat je binnen zou kunnen zien: kantoorindeling, type werkplekken, namen/nummering van werkplekken of vergaderruimtes, type hardware etc. Namen die mogelijk ook gebruikt worden in de office- en agenda- applicaties van het bedrijf. En mocht een fysieke inbraak noodzakelijk zijn, dan heb je ook een beeld van de indeling van het kantoor.
Informatie die je normaal niet zou hebben doordat je nou eenmaal niet fysiek binnen bent.
Als je al deze broodkruimels bij elkaar veegt, dan kunnen cybercriminelen een belangrijk deel van het aanvalsoppervlak construeren. Je weet al heel veel over de fysieke en technologische inrichting van een organisatie. Dit is exact wat cybercriminelen doen. Zeker wanneer je deze informatie ook nog kan aanvullen met gestolen inloggegevens die te koop worden aangeboden op het darkweb. Zie hier het recept voor een mogelijke opzet van een succesvolle cyberaanval.
Digitale bewegingsvrijheid waarborgen
Het is ondoenlijk om alle informatie die je publiekelijk deelt tegen het licht te houden. Je wil toch ook laten zien wat je doet, en commerciële ondernemingen moeten zichzelf ook op de kaart zetten. Waar het om draait, is dat je je als organisatie bewust bent van het feit dat dit soort informatie gebruikt kan worden. En dat dit soort publieke informatie in feite het aanvalsoppervlak groter maakt en de organisatie kwetsbaarder.
Je kunt echter ook zelf OSINT gebruiken om je digitale weerbaarheid te versterken en beleid maken om de grootste risico’s te mitigeren. Want diezelfde broodkruimels die cybercriminelen kunnen oppikken met behulp van openbare bronnen, wil je zelf ook in beeld hebben. Sterker nog: als organisatie wil je niet alleen de broodkruimels, maar de hele boterham zien. Je wilt een totaalbeeld hebben van alle mogelijke informatie die er over jouw organisatie extern beschikbaar is. Wanneer je de assets die voor jouw organisatie belangrijk zijn, zoals domeinen, ip-reeksen, productnamen of locaties, opvoert in een monitoringsdienst als Intelligence Driven Protection (IDP) kun je vaststellen of er ergens op het web data gedeeld wordt, achterblijft, lekt, of gestolen is. Data die op een later moment op enige wijze gebruikt kan worden bij een aanval. IDP maakt gebruik van een zeer groot aantal openbare bronnen. Op een geautomatiseerde wijze wordt de hoeveelheid beschikbare data behapbaar gemaakt en voorzien van een risico-indicator. Je hoopt een aanvalspatroon te kunnen waarnemen om in een vroeg stadium een mogelijke aanval te kunnen verstoren.
Conclusie
De kracht en de toepassingen van OSINT worden vaak onderschat. Weet dat openbare informatie, hoe onschuldig de informatie ook lijkt, tot je aanvalsoppervlak behoort en benut kan worden door cybercriminelen. Bedrijven kunnen inzicht verkrijgen in dezelfde informatie, en meer, door een monitoringsdienst als IDP te implementeren. Hiermee vergroot je de kans om een beginnend incident in de kiem te smoren.