SANS协会（SANS Institute）是一家成立于1989年的美国私营盈利公司，专门从事信息安全，网络安全培训和证书销售。可供培训的主题包括网络和网络防御，渗透测试，事件响应，数字取证和审核。信息安全课程是管理员，安全经理和信息安全专业人员共同参与的过程开发的。这些课程涵盖了信息安全的安全基础知识和技术方面。

感谢网友Anonymous提供的相关资料，今天给大家介绍SANS协会为期六天的OSINT课程：

第一天：OSINT概述，理解OSINT，OSINT的采集目标，深入采集，确定威胁档案，搭建OSINT平台，伪装身份，有效的习惯和过程

第二天：收集web数据，OSINT框架，基本数据，用户名，图像和反向图像搜索

第三天：搜索引擎，社交媒体(Facebook, LinkedIn, Twitter, Instagram)，地理位置，元数据

第四天：远程位置侦察，IP/DNS/Wi-Fi，侦查套件，政府数据，业务OSINT

第五天：暗网(Freenet, I2P, Tor)，数据转储网站，国际OSINT，车辆搜索

第六天：总结回顾，您将分组工作，收集、分析和展示有关目标的数据，全班将根据标准投票选出获胜的队伍。数据的广度和深度是否满足需求?展示得有多漂亮?

每分钟都有大量的文本、音频和视频被上传到互联网上

这些数据中的大部分本质上是个人的

一旦某些东西被发送到互联网上，它就不可能被完全删除

隐私?什么隐私?

隐私设置

默认情况下，网站隐私控制可能被禁用

或者网站可能对用户没有保护

许多网站都有绕过隐私设置的缺陷

社交媒体网站敦促我们与每个人“连接”，创建人与人之间的网络

个人资料不那么安全的人可能会泄露你的数据

想想同事、朋友和家人

数据超出我们的控制

即使你不使用社交媒体，别人也会使用

你出现在一张照片里，面部识别就会和你匹配

还有一些网站，用户没有能力阻止数据被发布

政府资料——司法问题、登记

房产信息-税收，谁买的，什么时候买的

宗教团体和爱好俱乐部通讯

生命周期事件——出生，死亡，结婚，离婚

数据经纪人在美国，公司可以在没有事先征得许可的情况下买卖个人数据

右边的图片展示了一些公司收集的数据类型

这些数据被出售并聚合

连接这些点

大量关于人的数据

公共数据

保安薄弱或没有数据

在线的24 x 7 x 365(所有时间!)

我们无法控制的信息，这意味着收集、分析和使用OSINT重要机会

“目标丰富的环境”

数据、信息和情报

美国联合情报出版物和北约OSINT手册v1.2描述:

1. 原始数据

2. 处理信息

3. 分析了情报

关于这门课

关注过程

这是帮助支持我们工作的框架

利用的工具

这些帮助我们更快地移动，更深入地研究数据

练习以上所有的方法

练习增加我们的经验

课程的学习水平

这是一门基础课

它应该是一个起点

我们涵盖了工具、技术、过程和工作流程

你们中的一些人可能有多年的OSINT经验

本课程旨在让每个人在不同的深度上接触各种各样的主题

有些地方你可能知道得更多，有些地方你可能知道得更少

SEC487校友联谊会

Slack是一个即时通讯、谷歌/Yahoo群组和论坛之间的交流平台

Web，移动，Windows, Mac, Linux客户端(它是在你的虚拟机上!)

打开OSINT火箭聊天

拥有各种技能水平的人员的大型社区

持续的聊天室、ctf、问题、资源等等

还有一些更深层次的私人渠道!

国际范围和用户基础

长url和短url

我们使用一个带有sec487.info域的简短URL生成器

这样做是为了节省您的打字时间

我们不会给你一个故意恶意的URL

虚拟机内部

数字工作簿包含:

数字版本的实验室

视频演练工具和技术描述

通过终端窗口更新工作簿内容:

sudo wikiup.sh

使用类虚拟机

用户名:student

密码:Security487

工作簿:

启动Firefox

工作簿是主页或书签栏中的第一个书签(右边的箭头1)

警告!“这里是龙”

互联网上的内容让一些人心烦意乱

作为一个OSINT分析师，你会遇到这个内容

在这个类中你可能会在你的练习中遇到它

作者和SANS无法控制互联网上的内容以及您的实验室可能出现的内容

在可能的情况下，我们已经使实验室“更安全”

我们都是成年人了

能处理好这件事我们将尽量减少任何不愉快

当前url

有时这个课件引用的url在最初引用的时候是有效的

url会随时间变化

这个课件并不需要更新所有的url

过时的url对我们来说仍然有价值

关于如何寻找素材的提示

可以在互联网档案馆维护的时光机中找到资料吗

课程的路线图

第一天:OSINT的基础

第二天:收集、搜索和分析OSINT

第三天:社交媒体、地理定位和图像

第四天:网络、政府和企业

第五天:暗网、泄露数据和国际问题

第六天:终点:夺取(并呈现)旗帜

OSINT是什么?

OSINT是开源情报

属于公共领域或可由公众获取的信息来源

音频、视频、图片等媒体的

来自文档、文章和博客的文本

地图和地理位置数据

社交媒体

名为SOCMINT的社交媒体情报

在分析之前，数据只是数据

任何人都可以谈论一个话题

作为OSINT用户，我们经常查看谷歌搜索结果页面的第2或第3页

收集、组织和分析这些数据非常重要

OSINT的“情报”部分是关键

可能会有很多数据需要整理

OSINT周期

需求收集

检索数据

分析信息

转向新的视角或报告分析

关于OSINT进程的其他资源

(这些文档和网站的链接在注释中)

关于OSINT的战略情报章节

行动安全情报威胁手册

电子安全与数字取证手册

ITACG第一反应人员情报指南

需求收集

与你的客户一起发现他们的目标

示例主题:

哪些技术在范围内，哪些不在范围内?

为OSINT工作分配的时间

我他们想要什么输出?

他们希望你有多隐蔽?

他们有什么可以帮助你的信息吗?

检索数据

这是一个简单的步骤

搜索和收集目标的数据

记录和下载所有的分析

照片，视频，url，文本文件，关系

你将如何记录你收集到的东西?

分析数据

对收集数据的评估

通过分析将数据转化为信息

数据评估要点:

这是相关的吗?

这是准确的吗?

它是客观的吗?

它是可信的吗?

它证实了吗?

它是一个中心点吗?

YOGA有助于转换

在收集数据时，了解可以将其转换为什么是很有帮助的

理解这些支点需要经验

您的OSINT图形分析仪(YOGA)有助于显示连接

转向一个新的视角和报告

如果我们需要更多的数据，我们就转向

如果我们有足够的信息，我们就报告

报告包含数据、信息和分析

向你的客户展示证据，并告诉他们为什么这很重要

OSINT的“好处”

OSINT数据增强了调查

让我们来看看一些使用OSINT的不同团体“好处”或“合法”的目的

执法机构使用OSINT -犯罪网络

为什么这些联系如此重要?

跟踪帮派和“俱乐部”活动

OSINT上纹身

社交媒体档案，图片和评论

使用工具来可视化位置和连接映射关联

执法机构使用OSINT -通缉嫌疑犯

社交媒体上的帖子自证有罪

显示位置和细节

嫌犯炫耀

社交媒体“通缉令”

社交媒体自证其罪

有些人认为警察没有监控他们的社交媒体…….．

或者他们的朋友不会向执法部门告发他们

以迈克尔·布朗先生的自夸为例

社交媒体吹嘘

来自布朗的帖子中写道:“我在猎座的酒吧里看见了哈德利，制造了噪音，我超过了警察，看到他的车在我右边。当我听到他的车驶进停车场时，我立刻打开车灯，然后开到45秒后就消失了。在 35 英里/小时的速度限制区飙到140。”

随后，他在帖子上加上了三个标签，#ftp,#nojailthisweekend#everyonelovedit

布朗先生让他的摩托车在他正要离开的一家餐馆前发出很大的噪音。警方开始开着灯跟踪他，正如布朗在Facebook上自述的那样，“我开着车就消失了。”在大多数地区，逃离警察是一种犯罪行为，这本身就很糟糕。但布朗的运气很好，他决定补充说，他的摩托车在35英里/小时的速度区内达到了“140”。坦率地向他的Facebook好友承认，他以超过限速四倍的速度行驶，这最终决定了他的命运。布朗先生得知警方已发出了对他的逮捕令后，就向警方自首了。需要注意的是，大多数社交媒体上的帖子都可以在法庭上使用。以“#ftp”(警察)和“#本周末不越狱”结束他的Facebook帖子，可能会让法庭系统了解他对自己行为的看法。

社交媒体“通缉”海报

执法部门使用社交媒体作为现代的“通缉”海报

俄亥俄州巴特勒县警长办公室就是一个很好的例子

他们使用Facebook来接触当地用户

巴特勒县要求回应

嫌犯于下午2点36分给警长办公室回信

警长办公室邀请嫌犯“顺道拜访”

巴特勒县捕获

第二天，警长办公室发布消息称嫌疑人自首了

成功利用社交媒体逮捕了一名被通缉的嫌疑人

执法机构使用OSINT -视频监控

好像每个新电子设备都有相机

当世界上发生一些事情时

人们会记录下来

警察的暴行

行车记录仪用来记录事故

布鲁塞尔机场爆炸

执法机构使用OSINT -暗网监控

我们听说过非法贩卖毒品，枪支和信用卡的暗网市场

执法部门利用OSINT来监控这些网站，有时还会把它们拿下

Trace实验室-OSINT CTFs

与某一地区的执法部门合作处理失踪人口案件

<45天的老创建区域或全球“抓旗”(CTFs)

以寻找这些失踪人员的信息

将数据交给执法部门采取行动

欧洲刑警组织禁止虐待儿童网站

就像一项伟大事业的OSINT挑战吗?

欧洲刑警组织发布了与虐待儿童有关的图片

找到目标，帮助他们破案

坏蛋军队

使用OSINT打击非自愿色情

“这是一个非营利组织，致力于为色情/图片报复虐待的受害者提供支持，并通过教育、宣传和立法根除这种行为。”

无辜的生命的基础

克里斯·哈德纳吉(@humanhacker)和一组志愿者在做OSINT

搜索，寻找在线捕食者

OSINT、网络和执法之间的桥梁

父母、配偶和伴侣使用OSINT

父母可能会研究

谁是我孩子的照顾者/“保姆”?

谁是我孩子的朋友?

谁在照顾我年老的亲戚?

研究邻居的性侵犯者/罪犯

在关系中或想成为?

我想和谁约会?

我的伴侣出轨了吗?

企业使用OSINT在招聘/面试过程中

寻找竞争对手的竞争情报

在招聘/面试过程中

寻找恶意内部人员

发现“失踪”的员工

合并和收购

法律支持

招聘人员和人才来源

保护他们的系统和数据不受攻击

媒体实体使用OSINT

即时报告事件

"目击者描述"

调查故事

缺点是，这是验证不足的内容

缺乏分析

缺乏上下文

BBC记者使用OSINT

许多调查记者使用开源情报为文章和博客收集事实

BBC对2018年喀麦隆执行死刑视频的分析就是一个例子

他们找出了事件发生的日期和地点，反驳了政府的否认

Bellingcat在线调查

“Bellingcat使用开源和社交媒体调查各种各样的主题，从墨西哥毒枭到世界各地的冲突。Bellingcat汇集了专门从事开源和社交媒体调查的贡献者，并创建了指南和案例研究，以便其他人也可以学习。”

情报机构使用OSINT

寻找和监控恐怖分子

网络事件归因

网上-威胁指标

现实世界

活动资源(部队、军事装备)

针对攻击(网络和现实世界)

招聘的资产

OSINT为“坏”

网络攻击．网络钓鱼，网络诈骗，伪装，身份盗窃，目标细节，计算机系统，网络地址，软件盗窃，敲诈勒索，攻击，有组织犯罪，恐怖主义，跟踪，骚扰，欺凌，犯罪，恶作剧，绑架

因篇幅原因，暂时发布上述部分内容。

资料原文PDF及机器翻译已上传知识星球

长按识别下面的二维码可加入星球

里面已有三千余篇资料可供下载

越早加入越便宜

续费五折优惠

机器翻译支持： 北京百分点科技集团股份有限公司

电话：400-6240-800 

邮箱：[email protected] 2022