Como monitorar dados confidenciais e impedir a exfiltração através da Rede

Views: 469

Os mecanismos de status quo para monitorar o movimento de dados confidenciais e parar violações não estão funcionando.

O ato de exfiltração de dados — movendo dados confidenciais, como propriedade intelectual ou informações de cartão de pagamento, para fora de um ambiente de destino e para um local separado sob o controle do adversário — é o objetivo final de muitos ataques cibernéticos.

Apesar da ampla gama de tecnologias que prometem detectar e prevenir o roubo de dados, muitas violações são relatadas nas notícias todos os anos. O impacto financeiro, as multas regulatórias e o escopo geral dessas violações são enormes.

Este post no blog explorará por que os mecanismos atuais de status quo para monitorar a movimentação de dados confidenciais e impedir violações não estão funcionando e oferecer uma maneira de melhorar a eficácia do monitoramento de dados confidenciais usando detecção e resposta de rede.

Quando e como os atacantes movem dados confidenciais?

Para capturar o movimento de dados confidenciais em momentos críticos durante um ataque, você precisa entender o que um invasor está tentando fazer com os dados. Os atacantes irão:

1. Obtenha acesso a uma máquina individual em sua rede de destino.
2. Tente aumentar seus privilégios e obter acesso raiz/administrador naquela máquina.
3. Realize o reconhecimento interno para encontrar outras máquinas para comprometer-se a garantir que se um ponto de acesso for perdido, eles ainda têm um dedo do toehold no ambiente.

Esse toehold só é útil se eles eventualmente puderem expandi-lo e usá-lo para roubar dados. Monitorar o movimento de dados confidenciais oferece uma oportunidade chave para capturar um adversário durante os estágios finais de um ataque, mas antes que eles exfiltram dados.

Com privilégios administrativos na mão e persistência estabelecidas, o atacante realizará um reconhecimento interno mais intensivo. Isso pode resultar em vários sinais claros de que dados confidenciais estão em risco. Alguns sinais deste estágio de ataque são:

• Falhas de login ou eventos “negados de acesso” em armazenamento ou bancos de dados sensíveis.
• Padrões de comportamento incomuns entre contas privilegiadas — como fazer login em momentos incomuns ou de locais incomuns.

Uma vez que um invasor tenha localizado dados confidenciais e atingido as credenciais necessárias para acessá-los, eles provavelmente não vão tirá-los de uma só vez. Eles também provavelmente não podem simplesmente despejá-lo diretamente de sua localização primária (espero que mais segura) para seu próprio servidor em outro lugar na internet.

Eles precisarão mover gradualmente os dados para uma máquina que eles controlam, e depois escorrer através de algum canal obscuro. Esse pode ser o mesmo canal pelo qual eles estabeleceram um link de comando e controle quando comprometeram a rede pela primeira vez. Esta fase do ataque pode gerar vários sinais fortes de um ataque em andamento, mas apenas se você estiver olhando para eles.

Por que o Status Quo para monitoramento de dados sensíveis não funciona

Como dissemos antes, existem muitas tecnologias que prometem monitorar dados confidenciais e evitar violações. Então por que as violações continuam acontecendo? Você poderia argumentar que os hackers estão sempre desenvolvendo novas e sofisticadas maneiras de roubar dados, mas a verdade é que a maioria das violações de dados não fazem uso de algum dia zero chique e novo.

Os atacantes usam mecanismos tentados e verdadeiros, como ataques de força bruta para acessar contas privilegiadas, varredura de rede para mapear o território e protocolos padrão como HTTP/S, DNS ou até FTP para exfiltrar os dados. A violação de um grande banco dos EUA, no qual mais de 30GB de registros financeiros de clientes foram roubados, usou mecanismos conhecidos e detectáveis para encontrar e exfiltrar os dados altamente confidenciais. Como isso aconteceu, e como você pode evitar que isso aconteça com você?

Pergunte a si mesmo, como você detectaria dados confidenciais sendo movidos em pequenos pedaços para um local menos sensível dentro de sua própria rede? Respostas comuns podem ser:

• Implantações internas de firewall impedindo que certos dados cruzem entre segmentos de rede.
• Arquitetura de confiança zero que exige todo o acesso e movimento de dados para exigir verificação e autenticação antes de ser permitida.
• Tecnologias de prevenção de perda de dados que examinam o conteúdo dos dados que estão sendo movidos, verificam se os dados contêm informações confidenciais e se o movimento de dados em si está violando as políticas pré-existentes.

Essas abordagens, embora válidas, compartilham alguns desafios, incluindo:

• Implantações internas de firewall podem ser caras e requerem muito esforço para implantar e manter. A arquitetura de confiança zero pode exigir uma reconstrução completa do ambiente de rede porque é um paradigma totalmente diferente da arquitetura de rede existente. Esses obstáculos podem impedir que você implante a tecnologia em toda a empresa, deixando pontos cegos.
• A tecnologia de prevenção de perda de dados também requer a entrada de muitas equipes e pode exigir que a implantação de agentes em cada dispositivo seja monitorada, levando a encargos de gerenciamento que reduzem a probabilidade de serem implantados amplamente o suficiente para realmente funcionar.
• Essas abordagens e muitas outras afetam o endpoint geral e o desempenho da rede. Se os dados devem ser inspecionados ativamente antes da transferência, isso usa ciclos de computação e largura de banda de rede.

Por que a detecção e resposta de rede é melhor para monitoramento de dados sensíveis

Plataformas de detecção e resposta de rede como ExtraHop Reveal(x) observam e analisam passivamente o tráfego da rede em tempo real para detectar movimento de dados arriscados ou não autorizados. Esta abordagem oferece certos benefícios:

1. É secreto e não pode ser adulterado. Os atacantes não sabem que você está assistindo. Eles podem desativar ou alterar o registro de atividade em quaisquer pontos finais que controlarem e até mesmo excluir registros existentes, mas não podem se esconder da rede.
2. É passivo. As plataformas NDR recebem tráfego de um TAP ou espelho de porta, para que fiquem fora da banda e não impactem o rendimento da rede ou o desempenho do ponto final.
3. Ele vê tudo. Como o NDR vê todo o tráfego que atravessa o fio, ele não depende de regras ou políticas pré-escritas para decidir o que analisar.

Nos grandes ambientes dinâmicos de hoje, esse tipo de visibilidade sempre on que vigia secretamente cada transação, e pode até capturar pacotes para a perícia, é a única maneira de garantir visibilidade completa com 100% de cobertura de dados confidenciais em uma rede.

Para ver como o Reveal(x) monitora dados confidenciais melhor do que outros métodos, experimente uma demonstração de Reveal(x) para si mesmo!

FONTE: CSO