The not yet exploited goldmine of osint: Opportunities, open challenges and future trends

OSINT integration with DML model to address the attribution problem

In this case, the information reveals details about the

execution of the cyberattack. Such data highly enriches

the analysis phase of the OSINT cycle. The patterns

derived from this data, as well as the correlation with

other cases already stored, allow us to have a more

intelligent and comprehensive analysis. In fact, these

conclusions should be integrated in conjunction with

the results obtained in the collection phase. In this

way the exploration through the network is refined,

narrowing the investigation towards the final objective.

3) Finally, the continuous gathering and analysis pro-

cess of OSINT generates valuable information to

which knowledge-extraction techniques are applied.

The knowledge extracted with OSINT from level

DML-1 to DML-6 would allow us to reach the highest

levels, that is, from DML-7 to DML-9. The seventh

level, Strategy, refers to a high-level description of

the planned attack of the cybercriminal to complete

his/her purposes. The eighth level, Goals, are the spe-

cific objectives of the attacker and express the real

motivation of the action. At the top we find the Identity

level, which is essentially the name of a person, an

organisation or even a country which is responsible of

the malicious actions. As it is extremely difficult to find

that detailed information, the connection with other

cyberattacks and the similarity with other events can

support the relative attribution [67]. That is, completing

the investigation of the current case with additional

information about other incidents apparently caused

by the same actor brings us closer to the absolute

identification of the cyberattacker.

This application of OSINT represents an innovative line of

action to fight against cyberthreats. The challenge resides in

implementing effective mechanisms of collection and intelli-

gent analysis procedures to extract those high-level details

that can not be directly extracted from malicious actions.

Such details are the most complicated pieces of information

to achieve, as they have a very high degree of abstraction

that are long away from the technical details. That is why

it is smart to look to open sources for any relationship or

pattern that leads us to discover more about the context

and originators of an incident. OSINT is the key piece that

was missing in the gear to profile cyberattackers and to

improve the detection of sophisticated attacks [70] thanks to

the consideration of high-level behaviour aspects from DML-

3 to DML-9.