Het OSINT Framework is geen software die je downloadt. Het is een website (osintframework.com) die fungeert als een georganiseerde routekaart naar externe tools en databronnen. In plaats van zelf eindeloos te zoeken naar de juiste tool voor een specifieke vraag, geeft het framework per categorie een overzicht van beschikbare resources.
De structuur is boomvormig: hoofdcategorieën (Username, Email Address, Domain Name, IP Address, Social Networks, Dark Web, enzovoort) vertakken naar subcategorieën en specifieke tools. Elke tool is een link naar een externe resource — sommige gratis, sommige betaald, sommige alleen toegankelijk via registratie.
Het framework is ontwikkeld door Justin Nordine en wordt actief bijgehouden door de OSINT-community. Het is het meest gebruikte startpunt voor zowel beginnende als ervaren OSINT-practitioners: cybersecurity-professionals, journalisten, onderzoekers en wetshandhavingsinstanties.
Voor MSPs is de praktische waarde tweeledig: als defensief instrument (wat kan een aanvaller over mijn klanten vinden?) en als threat intelligence-tool (wie staat er achter dit verdachte IP-adres?).
Drie concrete toepassingen voor MSPs
Toepassing 1: Aanvalsoppervlak-analyse voor klanten
Voordat je een nieuwe klant onboardt — of als onderdeel van een jaarlijkse beveiligingsbeoordeling — is het waardevol te weten wat er over die klant publiekelijk vindbaar is. Wat ziet een potentiële aanvaller als hij of zij de klant als doelwit kiest?
Via het OSINT Framework vind je tools voor:
- Domein- en subdomain-enumeratie (SecurityTrails, Amass, Subfinder): welke subdomeinen zijn actief en welke diensten draaien erop?
- SSL-certificaatregisters (Censys, crt.sh): welke certificaten zijn uitgegeven voor dit domein en wat onthullen die over de infrastructuur?
- Publieke IP-adressen en open poorten (Shodan, Censys): welke systemen zijn publiek bereikbaar en welke services zijn zichtbaar?
- Gelekte inloggegevens (Have I Been Pwned API, DeHashed): zijn e-mailadressen van de klant betrokken bij bekende datalekken?
- Medewerkersinformatie (LinkedIn, Hunter.io): welke medewerkers zijn publiek vindbaar en wat onthullen hun profielen over de organisatie?
Deze analyse onthult het aanvalsoppervlak dat een aanvaller zonder ook maar in te loggen al kan zien. Die visualisatie voor de klant is vaak effectiever dan een technisch rapport: “Dit is wat een aanvaller over uw organisatie kan vinden in 30 minuten” maakt de dreiging tastbaar.
Toepassing 2: Dreigingsonderzoek bij actieve incidenten
Als je bij een klant een verdacht IP-adres, domein of bestandshash tegenkomt, wil je snel context: is dit een bekende command-and-control server? Welke aanvalsgroep gebruikt dit infrastructuur? Zijn er andere slachtoffers bekend?
Via het OSINT Framework vind je tools voor:
- IP-reputatie en geolocatie (AbuseIPDB, VirusTotal, Shodan): is dit IP-adres geassocieerd met malware of aanvallen?
- Domeinanalyse (URLScan.io, URLVoid, VirusTotal): is dit domein geregistreerd als phishing-site of C2-server?
- Malware-analyse (VirusTotal, Any.Run, Hybrid Analysis): is dit bestand malware en zo ja, welke familie?
- Threat intelligence feeds (AlienVault OTX, Abuse.ch, MISP): zijn er bekende campagnes die dit indicator gebruiken?
Dit versnelt de incidentrespons aanzienlijk: in plaats van het wiel opnieuw uit te vinden, schakel je de context-zoektocht door naar bewezen tools.
Toepassing 3: Bewustwordingsdemonstratie voor klanten
Een demonstratie van wat een aanvaller over jouw klant kan vinden, is een van de krachtigste bewustwordingsinstrumenten die een MSP heeft. Directie die sceptisch staat tegenover een beveiligingsinvestering, schrikt zichtbaar als je live laat zien:
- Dat de e-mailadressen van hun directie op duizenden spam-lijsten staan
- Dat hun VPN-gateway een kwetsbaarheid heeft die publiek zichtbaar is via Shodan
- Dat een medewerker zijn zakelijke e-mailadres heeft gebruikt voor een gaming-forum dat is gehackt
Deze demonstratie kost 30 minuten voorbereiding en creëert meer draagvlak voor beveiligingsinvesteringen dan een technisch rapport van 50 pagina’s. Zorg dat je toestemming hebt van de klant voordat je OSINT-onderzoek uitvoert.
Belangrijke tools per categorie
Domein en infrastructuur
| Tool | Toepassing | Gratis? |
|---|---|---|
| Shodan | Publiek bereikbare systemen en open poorten | Deels (API betaald) |
| Censys | SSL-certificaten en infrastructuur | Deels |
| SecurityTrails | DNS-historie en subdomeinen | Deels |
| crt.sh | SSL-certificaatregister | Ja |
| WHOIS | Domeinregistratie-informatie | Ja |
Threat intelligence
| Tool | Toepassing | Gratis? |
|---|---|---|
| VirusTotal | File/URL/IP/domain reputation | Ja (API-limieten) |
| AlienVault OTX | Threat intelligence community feed | Ja |
| Abuse.ch / URLhaus | Malware-URL’s en botnet-indicators | Ja |
| AbuseIPDB | IP-reputatiedatabase | Ja (API-limieten) |
| MISP | Threat intelligence-platform (self-hosted) | Ja (open source) |
E-mail en identiteit
| Tool | Toepassing | Gratis? |
|---|---|---|
| Have I Been Pwned | Gelekte e-mailadressen/wachtwoorden | Ja |
| Hunter.io | E-mailadressen bij bedrijf opzoeken | Deels |
| Phonebook.cz | E-mailadressen, telefoons, domeinen | Ja |
Ethiek, legaliteit en AVG: de grenzen van OSINT
OSINT gaat over openbaar beschikbare informatie — maar dat betekent niet dat alles zonder grenzen is toegestaan. Als MSP die OSINT uitvoert voor klanten of als onderdeel van beveiligingsonderzoek, zijn er vier harde principes:
1. Doelbinding. Gebruik OSINT alleen voor een legitiem beveiligingsdoel: het beveiligen van je eigen systemen of die van je klanten. Gebruik het niet voor concurrenten of voor personen zonder legitieme grond. Leg het doel vooraf vast.
2. Minimale dataverzameling. Verzamel alleen de informatie die noodzakelijk is voor het doel. Ook openbare persoonsgegevens vallen onder de AVG — je hebt een legitiem belang of toestemming nodig om ze te verwerken.
3. Servicevoorwaarden. Veel platforms verbieden geautomatiseerd scrapen. Controleer de terms of service van elk platform voordat je scrapers of bulk-queries inzet. Overtreding kan leiden tot blokkering van je IP en in ernstige gevallen juridische claims.
4. Transparantie naar klant. Als je OSINT uitvoert op de infrastructuur van een klant, informeer hen over wat je doet, wat je vindt, en hoe je die informatie gebruikt. Leg de bevindingen vast in een rapport en bespreek de implicaties.
OSINT en NIS2: de koppeling met dreigingsmonitoring
Artikel 21 van de NIS2-richtlijn verplicht tot “monitoring van dreigingen.” OSINT is een directe, kostenefficiënte invulling van die verplichting. Door regelmatig OSINT-onderzoek uit te voeren op je eigen infrastructuur én die van klanten, voldoe je aantoonbaar aan de NIS2-eis van proactieve dreigingsmonitoring.
Documenteer OSINT-activiteiten in je beveiligingslogboek: datum, doel, tools gebruikt, bevindingen, en genomen maatregelen. Dat maakt het aantoonbaar voor een auditor.
Combineer OSINT met andere dreigingsmonitoringsbronnen: NCSC-advisories (ncsc.nl), sectorale ISAC-feeds, en CTI-platforms zoals AlienVault OTX. OSINT geeft de buitenperspectief — wat is publiek zichtbaar. NCSC en ISAC geven het dreigingslandschap-perspectief — welke aanvallen zijn actief.
Veelgestelde vragen over OSINT voor MSPs
Is OSINT-onderzoek op klanten legaal zonder hun toestemming?
Het uitvoeren van passief OSINT-onderzoek op openbaar beschikbare informatie is in principe legaal, maar als verwerker van hun gegevens heb je een legitiem belang nodig. Vraag altijd expliciete toestemming voordat je OSINT uitvoert op klantinfrastructuur, zelfs als het gaat om publiekelijk beschikbare informatie. Dit beschermt zowel jou als de klant.
Wat is het verschil tussen OSINT en een vulnerability scan?
Een vulnerability scan scant actief de systemen van een doelwit op kwetsbaarheden — dat is actieve reconnaissance die altijd toestemming vereist. OSINT gebruikt uitsluitend passieve, openbare bronnen en vereist geen directe toegang tot de systemen van het doelwit. De grens ligt bij het actief proberen toegang te krijgen tot systemen.
Hoe gebruik ik Shodan effectief voor klantanalyse?
Zoek op het IP-adres of domein van de klant. Shodan toont welke diensten publiek zichtbaar zijn (poorten, services, versies), SSL-certificaatinformatie, en bekende kwetsbaarheden. Filter op hostname:klantdomein.nl voor een overzicht per domein. Let op: Shodan crawlt het internet periodiek — de informatie is niet altijd real-time.
Hoe houdt het OSINT Framework zich up-to-date?
Het OSINT Framework wordt onderhouden via GitHub (github.com/lockfale/osint-framework) en de community levert bijdragen via pull requests. Tools worden soms verwijderd als ze niet meer beschikbaar zijn. Het is verstandig om zelf je favoriete tools te boekmerken in plaats van volledig te vertrouwen op het framework voor actuele links.
Kan ik OSINT inzetten voor red teaming?
Ja — de reconnaissance-fase van een red team oefening steunt sterk op OSINT-methodieken. Informatie over medewerkers, infrastructuur, technologiegebruik en beveiligingsbeleid die via OSINT is verzameld, vormt de basis voor realistische social engineering- en exploitatiescenario’s. Zorg altijd voor een schriftelijke toestemming (rules of engagement) voordat je een red team oefening uitvoert.