【工具】针对供应链风险的OSINT调查

在进行供应链风险管理的OSINT时，了解需要寻找什么和使用什么工具，可以为组织提供竞争优势，抵御网络攻击和防止违规行为。

今天的组织不能孤立地工作。你必须利用来自不同地点的不同供应商的资源来获得竞争优势。与第三方供应商做生意可以带来很多好处，比如降低成本，节省时间，为客户提供高质量的产品和服务。

然而，这是有代价的:安全性!扩展供应链将需要与许多供应商开展业务，这将扩展您的攻击面并增加您的风险暴露。许多风险正在影响你的供应链。最近的一项研究调查了全球不同行业的800名高级决策者，以了解他们的供应链风险和挑战，发现供应链风险的主要因素可以总结如下:

• 32%的受访者认为风险在于经济不确定性
• 26%的受访者认为风险在于通货膨胀
• 34%的受访者认为网络风险对供应链的影响很大
• 54%的受访者认为网络风险对供应链的影响不大

当今全球供应链网络日益复杂，需要评估与外部供应商相关的风险。开源情报(OSINT)可以提供调查能力，以具有成本效益的价格减轻与供应链相关的许多危险。然而，在我们开始讨论OSINT如何帮助避免许多供应链风险之前，有必要检查影响全球组织供应链的技术风险。

影响现代供应链的技术风险

网络风险是影响供应链的主要风险因素之一。最突出的网络威胁有:

• 数据泄露:成功的网络攻击可能导致供应商的敏感信息泄露或将商业机密暴露给未经授权的各方。这可能导致违反法规，并支付巨额罚款作为惩罚和法律费用。
• IT基础设施故障:针对供应链的网络攻击可能导致网络中断或断电，这将影响IT基础设施并停止正常的工作运营。
• 集成挑战:当每个供应商都有不同的软件和IT平台时，集成不同的IT系统以协调工作可能是一个挑战。这一事实也将导致过时的IT系统和软件出现更多的安全漏洞。
• 手动流程:一些供应商可能仍然使用手动流程来满足某些工作需求。这增加了整个供应链的可见性问题，因为并非所有供应商的工作流程都可以被审计。
• 技能差距:并非供应链上的所有供应商都拥有与其他供应商相同的技术知识，特别是在人工智能、loT和区块链等新兴技术方面。人才缺口将阻碍整个供应链的充分合作。

OSINT如何用于缓解全球气候变化供应链风险和脆弱性?

OSINT可以通过以下方式帮助降低供应链攻击:

1.调查供应商

OSINT可用于收集广泛的信息阵列，以确定供应链风险。以下是对供应商进行的各种评估和一些OSINT工具的列表:

查看供应商公司信息:Open Corporates, Annual Reports和SEC是查找供应商公司信息的一些工具。

https://opencorporates.com/

https://www.annualreports.com/

https://www.sec.gov/edgar/search/

财务信息:EDGAR ICompany Filings

https://www.sec.gov/edgar/searchedgar/companysearch

全球金融稳定性:检查我们的供应商经营所在国家的金融稳定性。这些信息有很多来源，比如国际货币基金组织和世界银行。

https://www.imf.org/en/Publications/GFSR?page=1

https://www.worldbank.org/en/about/annual-report

商业合作伙伴:Factiva通过整合来自道琼斯互动和路透社商业简报的35,000多个来源，提供来自200个国家和26种语言的高质量商业内容。

https://www.dowjones.com/professional/zn/factiva/

合规问题:在GDPR执法跟踪网站上，您可以查看因违反欧盟通用数据保护条例(GDPR)而受到罚款和处罚的所有公司的当前列表。

https://www.enforcementtracker.com/

公众声誉:检查供应商的社交媒体资料，阅读客户对其产品和服务的反馈，以评估他们的声誉以及他们如何处理客户反馈。

https://www.authentic8.com/blog/tips-and-tricks-anonymous-social-media-investigations

验证供应商的物理位置:使用谷歌地图和谷歌街景(如果支持地址)来验证供应商的当前地址。我们还可以在Open Corporates和Crunchbase中检查供应商的注册物理地址以验证其地址。

https://www.google.com/maps

https://opencorporates.com/

https://www.crunchbase.com/

2.调查供应商高管和主要股东

你的供应商可能会有法律问题，或者在一些受制裁的国家参与非法活动。在与供应商高层管理人员和主要股东建立任何业务关系之前，有必要对他们进行调查。有许多资源可以调查个人的背景。以下是一些可以开始使用的资源:

受美国制裁的国家名单:有关制裁计划和国家信息的详细名单，请查看外国资产控制办公室。

https://ofac.treasury.gov/sanctions-programs-and-country-information

被美国拒止的个人和公司名单:查看OFAC网站的SDN名单(特别指定的国民和拒止人员)。

https://www.treasury.gov/ofac/downloads/sdnlist.pdf

搜索一个人的社交媒体资料:一旦你找到了第一个账户，比如一个人的Facebook账户，你就可以在其他社交媒体平台上搜索具有相同用户名的类似账户。Instantusername.com和usersearch.org允许在许多社交媒体网站上搜索特定的用户名。

https://instantusername.com/

https://usersearch.org/

使用人员搜索引擎:查找任何个人的信息，比如他们的地址、工作经历、社交媒体简介、联系信息和犯罪记录。使用的工具包括Truth Finder, Unmask用于人员搜索和Numberbook用于获取来电显示。

https://www.truthfinder.com/

https://unmask.com/

https://numberbook.net/

3.发现供应商使用的技术基础设施

一些外国供应商可能不会对你公开他们的IT系统。例如，一些供应商可能担心，如果他们使用过时的IT基础设施，会失去您的合作伙伴合同。OSINT可以通过各种方式帮助我们发现供应商的IT基础设施。最简单的方法是查看供应商所在国家的本地招聘网站，阅读该供应商发布的招聘信息。例如，通过查看某个特定公司的招聘启事和阅读linkedin上的一些员工的工作简介来找到该公司使用的许多IT系统。

职位空缺网站可以揭示任何公司内部IT基础设施的重要信息

员工在LinkedIn上的工作经历可以揭示供应商的IT基础设施和网络安全防御的技术信息

4.与供应商相关的网络风险

无论您使用何种安全解决方案来保护IT环境，供应链中的漏洞都可能使您容易受到网络风险的影响。例如，许多引人注目的数据泄露事件都是因为供应链漏洞而发生的。由供应链漏洞引起的最明显的事件有:

SolarWinds attack:攻击者利用SolarWinds网络管理解决方案的更新机制，在其中插入恶意代码。该恶意软件被分发到使用该软件的所有客户端，并导致访问其IT环境和数据。受害者包括政府机构和知名的私人组织。

https://www.rpc.senate.gov/policy-papers/the-solarwinds-cyberattack

Kaseya attack:Kaseya是提供远程管理软件的MSP (managed service provider)。这次攻击发生在2021年，导致所有使用Kaseya软件解决方案的企业客户都收到了勒索软件。

https://www.cnn.com/2021/07/02/tech/ransomware-cybersecurity-attack-kaseya/index.html

要查找以前遭受数据泄露的公司的信息，我们可以查看以下资源:

对于总部位于加州的公司，请查看加州司法部数据安全漏洞

https://oag.ca.gov/privacy/databreach/list

马萨诸塞州联邦数据泄露报告

https://www.mass.gov/lists/data-breach-reports

特拉华州数据安全漏洞数据库https://attorneygeneral.delaware.gov/fraud/cpu/securitybreachnotification/database/

美国卫生与公众服务部列出了影响受保护健康信息的数据泄露事件，影响500人或更多个人

https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf

我是否被告知某个供应商的电子邮件地址、电话号码或密码F-secure提供了类似的功能。

https://haveibeenpwned.com/

https://www.f-secure.com/us-en/identity-theft-checker

身份盗窃资源中心，该网站允许查找与特定公司相关的先前违规行为

https://www.idtheftcenter.org/notified/

欧华律师事务所提供了全球所有数据保护法律的列表

https://www.dlapiperdataprotection.com/index.html

5.暗网监控

暗网，如Tor和I2P，通常被网络罪犯用来出售泄露的信息。应该对这些地方进行监控，以查找与供应商相关的公开信息，以及影响组织供应链的任何恶意迹象。正如我们所看到的，OSINT可以用作早期预警系统，以防止供应链中的不同风险。例如，通过使用OSINT技术，您可以在整个供应链中发现威胁的早期迹象，例如:

供应国政局不稳

监控供应商的财务状况;例如，避免与可能面临破产的供应商打交道

通过监控可能影响供应链安全的泄露的供应商信息，在网络风险发生之前预防针对您组织的网络风险通过避免处理或使用高风险供应商的软件组件(位于受制裁的国家或具有弱安全控制以保护其IT资产)来避免不合规状态。

公共可用资源的广度使得任何在全球舞台上运营的组织都必须利用OSINT，并希望将来自不同第三方供应商的资源整合到其产品/服务系列中。OSINT将帮助组织获得竞争优势，同时增强他们对网络攻击的抵御能力。

长按识别下面的二维码可加入星球

里面已有三千余篇资料可供下载

越早加入越便宜

续费五折优惠

原文始发于微信公众号（丁爸 情报分析师的工具箱）：【工具】针对供应链风险的OSINT调查