Analizzare i profili dei Threat Actor utilizzando l’Intelligence dei Social Media

Viviamo in un mondo che si sta sempre più interconnettendo ogni giorno. La vasta quantità di informazioni condivise su piattaforme di social media offre un tesoro di intuizioni per un occhio attento. È qui che entra in gioco l’Intelligence dei Social Media, nota anche come SOCMINT.

SOCMINT si riferisce all’insieme di strumenti e soluzioni che consentono agli investigatori delle minacce informatiche di organizzare, analizzare e interpretare sistematicamente i dati provenienti dalle fonti di social media. Questi dati, che includono tweet, post, immagini, collegamenti e altro, possono essere preziosi per comprendere i comportamenti, i modelli e le intenzioni dei Threat Actor.

L’importanza di SOCMINT per l’analisi

Per gli analisti di intelligence sulle minacce informatiche, SOCMINT non è solo una fonte supplementare di informazioni; è un componente critico del loro set di strumenti investigativi. Le tracce digitali lasciate sulle piattaforme di social media spesso contengono una ricchezza di informazioni che possono rivelare modelli, comportamenti e persino intenzioni agli analisti.

In un mondo in cui le minacce si evolvono rapidamente, le intuizioni in tempo reale da piattaforme con miliardi di interazioni possono fare la differenza tra individuare una minaccia in modo proattivo e reagire a una violazione.

L’ampia portata di SOCMINT

Sebbene l’immagine sopra copra solo le piattaforme tradizionali, è importante espandere il perimetro per includere altri siti come:

  • Forum e Blog: questi spazi ospitano spesso discussioni approfondite, condivisione di codici e talvolta pianificazioni occulte, che vanno dai forum di hacking ai siti come 4chan.
  • Piattaforme Non Tradizionali: siti come GitHub o Stack Exchange possono essere miniere d’oro per individuare codici dannosi o discutere di vulnerabilità.
  • Piattaforme Specifiche per la Regione: se stai investigando una minaccia proveniente dalla Russia, Vkontakte dovrebbe essere nel tuo radar. Lo stesso vale per Weibo, una delle più grandi app di social media rivolte al mercato cinese.

Strategie per un uso efficace di SOCMINT

Con così tanti dati a nostra disposizione, a volte è sfidante vagliare il tutto per trovare connessioni significative e concentrarsi su ciò che è più rilevante in un dato momento della nostra indagine.

Ecco cosa puoi fare per sfruttare SOCMINT in modo efficace:

  • Allarga il tuo orizzonte: oltre alle piattaforme mainstream, approfondisci forum, blog e siti specifici per regioni.
  • Dai priorità alla qualità: sebbene alcuni strumenti possano raccogliere quantità considerevoli di dati, l’esplorazione manuale è spesso necessaria per scoprire dettagli sottili. Un commento su un forum di nicchia o una discussione su un gruppo di chat meno conosciuto può talvolta fornire le intuizioni più rivelatrici.
  • Definisci un flusso di lavoro: creare un flusso di lavoro per investigare specifiche piattaforme di social media o tipi specifici di informazioni come indirizzi email o numeri di telefono aiuta a ridurre il rischio di perdere informazioni vitali e garantisce una qualità di analisi standard su tutta la linea. Raccomando vivamente OSINT Attack Surface Diagrams condivisi dal OSINT Dojo per aiutarti a definire un flusso di lavoro personalizzato per le tue indagini.

Per portare questo concetto ad un passo ulteriore, è possibile utilizzare uno strumento di mappatura che aiuti a combinare ed analizzare tutti i dati da un’unica interfaccia. In questo contesto, Maltego si distingue nel panorama di SOCMINT, poiché consente agli investigatori di raccogliere informazioni da una vasta gamma di fonti diverse. Maltego semplifica anche compiti come la deduplicazione, la visualizzazione, l’automazione e la generazione di report, il che può essere vantaggioso durante la collaborazione con altri investigatori.

Creare Profili di Threat Actor con SOCMINT

  • Identificazione del profilo: gli analisti possono individuare profili o account associati a Threat Actor noti o attività sospette.
  • Pattern di comunicazione: monitorando conversazioni e interazioni, gli analisti possono discernere modelli di comunicazione, aiutando a identificare reti di Threat Actor.
  • Analisi del sentimento: l’analisi dei sentimenti può fornire intuizioni sulle motivazioni, intenzioni o potenziali bersagli.
  • Analisi dei contenuti: la revisione dei contenuti condivisi, come immagini, video o collegamenti, può fornire indizi sulle capacità, gli strumenti o le metodologie di un Threat Actor.
  • Analisi temporale: osservare il timing di post o interazioni può fornire intuizioni sui periodi attivi dei Threat Actor, rivelando potenzialmente i loro fusi orari o le ore operative.
  • Dati di geolocalizzazione: alcune piattaforme di social media forniscono dati di geolocalizzazione, che possono essere preziosi nel tracciare la posizione fisica dei Threat Actor
  • Analisi di rete: le piattaforme di social media sono intrinsecamente legate alle connessioni. Analizzarle può rivelare affiliazioni, gerarchie o dinamiche di gruppo.
  • Monitoraggio delle tendenze: monitorare argomenti o hashtag di tendenza può fornire avvisi precoci su minacce emergenti o campagne.

Oltre al profiling dei Threat Actor, SOCMINT ha molte altre applicazioni. Ad esempio, gli analisti possono prevedere minacce monitorando le discussioni online su vulnerabilità. I social media, un centro per la guerra dell’informazione, possono essere navigati utilizzando SOCMINT per contrastare campagne di disinformazione. Nel frattempo, la rilevazione precoce di dipendenti che discutono online di questioni sensibili consente interventi tempestivi, prevenendo potenziali violazioni o problemi di sicurezza.

Sfide nell’ambito di SOCMINT

Nonostante la sua potenza, SOCMINT non è privo di sfide:

  • Sovraccarico volumetrico: ogni giorno, miliardi di post, tweet, condivisioni e commenti invadono le piattaforme di social media. Questo massiccio afflusso di dati può rapidamente sopraffare gli analisti. È come cercare un ago in un pagliaio, ma il pagliaio cresce costantemente. Senza gli strumenti e le tecniche giuste, informazioni cruciali possono sfuggire o gli analisti possono spendere eccessivo tempo su dati non rilevanti, riducendo l’efficienza.
  • Disinformazione: non tutto sui social media è come appare. Notizie false, immagini alterate e narrazioni fuorvianti sono ovunque. Queste sono spesso piantate intenzionalmente per ingannare o deviare l’attenzione. Gli analisti devono imparare a distinguere tra minacce reali e esche. Interpretare la disinformazione come una minaccia effettiva può portare a risorse sprecate e valutazioni errate delle minacce.
  • Ostacoli etici e legali: il mondo digitale ha le sue linee guida etiche e confini legali. Tecniche come l’uso di account fantoccio per raccogliere informazioni possono essere considerate ingannevoli o intrusive. Inoltre, lo scraping di dati o l’accesso a informazioni private senza consenso possono violare le leggi sulla privacy e i termini di servizio delle piattaforme. Gli analisti devono trovare un equilibrio tra la raccolta di informazioni complete e il rispetto dei diritti digitali. Oltrepassare i confini può comportare ripercussioni legali, danni alla reputazione e la potenziale perdita di accesso a piattaforme vitali.

Maltego: la potenza di SOCMINT

Maltego si è affermato come uno strumento preferito per molti analisti che si dedicano a SOCMINT. Esso facilita il processo attraverso:

Maltego fornisce dettagliati report ideali per la comunicazione con gli stakeholder e ulteriori analisi. Inoltre, offre uno strumento tutto-in-uno che aggrega informazioni da diverse fonti all’interno di un’unica interfaccia, potenziato dalla sua analisi visuale che presenta intuizioni operative. Ciò elimina la necessità di passare da una piattaforma all’altra, fornendo agli utenti un’esperienza efficiente e basata sul valore nell’analisi dei dati.

Articolo originale

Scopri la pagina del Vendor sul nostro sito

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI

Battaglia al Ransomware, un tag alla volta

Battaglia al Ransomware, un tag alla volta

Nell'ottobre 2023, nell'ambito del Ransomware Vulnerability Warning Pilot  (RVWP), il CISA ha iniziato a contrassegnare voci nel loro catalogo di Known Exploited Vulnerabilities (KEV). Questo campo indica se sono noti exploit per una determinata vulnerabilità che...