Exfiltração de Dados: O Que Você Deve Saber para Evitá-lo

Views: 773
0 0
Read Time:6 Minute, 0 Second

Vazamentos de dados são uma séria preocupação para empresas de todos os tamanhos; se ocorrer, pode colocá-los fora do negócio permanentemente. Veja como você pode proteger sua organização contra roubo de dados.

Na era digital de hoje, os dados são o componente mais crítico de um negócio. As empresas estão coletando mais dados do que nunca e constantemente aprimorando suas operações por meio de decisões baseadas em dados. Como resultado, vazamentos de dados são uma séria preocupação para empresas de todos os tamanhos; se ocorrer, pode colocá-los fora do negócio permanentemente.

Um vazamento de dados é definido como a exposição inadvertida de informações confidenciais a partes não aprovadas. De acordo com o Regulamento Geral de Proteção de Dados (RGPD) da UE, vazamentos de dados podem incorrer em multas de até 20 milhões de euros ou 4% do volume de negócios global anual e prejudicar a reputação e a confiança.

Muitos vazamentos de dados são o resultado da exfiltração de dados ou da transferência ilegal de dados de um dispositivo contendo informações confidenciais para partes não autorizadas. Também conhecida como exportação de dados, extrusão de dados ou simplesmente roubo de dados, a exfiltração de dados é um dos estágios finais da cadeia de morte cibernética e o objetivo mais importante das ameaças persistentes avançadas (APTs).

Normalmente, o principal objetivo de um atacante para roubar dados confidenciais de uma organização é monetário. Eles são pagos resgatando os dados de volta à organização ou vendendo-os a compradores maliciosos na Dark Web. Agora, vamos dar uma olhada mais profunda em como esses atores de ameaças executam a exfiltração de dados.

Como ocorre a exfiltração de dados?

De um modo geral, a exfiltração de dados pode ocorrer de duas maneiras: por meio de ameaças internas ou ataques externos. Ambos podem ser catastróficos se não forem detectados.

Ameaças Internas

Ataques internos geralmente são manuais e realizados por alguém com acesso físico aos sistemas de uma organização. Na maioria das vezes, informantes maliciosos são funcionários insatisfeitos que procuram infligir danos a uma organização para seu próprio benefício. Insiders também podem automatizar o processo de filtragem de dados por meio de programação maliciosa pela rede.

Ataques de Fora

A maioria dos ataques de fora começa com um vetor de ataque inicial simples, como um e-mail de phishing ou injetar malware no dispositivo da vítima. Uma vez que o acesso inicial ao sistema da vítima tenha sido alcançado, o estágio de descoberta de dados é estabelecido, durante o qual os hackers escalam privilégios e se movem lateralmente pela rede, procurando dados confidenciais. Um servidor remoto, que atua como um servidor de comando e controle (C2), aguarda uma conexão recebida da rede da vítima. Uma vez que os dados e ativos críticos são descobertos, técnicas de exfiltração de dados são iniciadas para transferir os dados para o servidor C2 do ator de ameaças.

Os dados exfiltrados podem conter nomes de usuário, senhas, documentos financeiros, informações confidenciais estratégicas ou informações de identificação pessoal (PII). Em alguns casos, os hackers transferem todos os dados que podem acessar e, posteriormente, analisam os dados roubados para verificar se há algo valioso que possa ser usado para fins nefastos.

Protocolos Diferentes Usados para Exfiltração de Dados

Embora existam várias técnicas para executar a transferência real de dados, o método mais comum é estabelecer um shell – um canal de comunicação que permita a interação remota entre o host comprometido e o servidor C2 do atacante.

O servidor C2 é configurado on-line para ouvir uma conexão usando um protocolo predeterminado. Usando este protocolo em ambas as extremidades da conexão, a transferência de dados é iniciada do dispositivo da vítima para o servidor do atacante. Quando a transmissão de dados estiver concluída, os atacantes colocarão o servidor offline para evitar a detecção e mover os dados roubados para um repositório offline.

Abaixo estão alguns protocolos comuns usados para exfiltração de dados.

Protocolo de Transferência de Hipertexto (HTTP)

HTTP é um protocolo de aplicativo que permite aos usuários comunicar dados pela Internet. Como é comumente usado na maioria das redes, o HTTP é a escolha perfeita para atacantes. A transferência maliciosa de dados confidenciais passa despercebida no alto volume de tráfego HTTP que flui através de redes corporativas, permitindo que o invasor fique sem ser detectado.

Protocolo de Transferência de Arquivos (FTP)

FTP é um protocolo essencial usado para comunicar e transferir arquivos entre um cliente e um servidor pela internet. FTP é um protocolo confiável para transferir arquivos grandes. Um invasor deve se autenticar em um servidor FTP externo de dentro do servidor de uma organização para filtrar dados. Como a maioria das redes corporativas se concentra em regras que impedem o tráfego de entrada, a falta de regras de firewall para moderar as conexões de saída permite que os atacantes se conectem facilmente de volta aos seus próprios servidores e transfiram os dados.

Sistema de Nomes de Domínio (DNS)

DNS é outro protocolo essencial que traduz nomes de domínio legíveis por humanos em endereços IP. O tunelamento DNS é o processo de transmissão de dados usando consultas e respostas DNS. Ele funciona criando registros DNS que apontarão consultas para um nome de domínio específico para um servidor C2 sob o controle do atacante. Este método pode ser usado para transferir arquivos de um host comprometido. O tunelamento DNS é particularmente eficaz em ambientes onde outros protocolos podem ser monitorados de perto.

Como Identificar e Prevenir a Exfiltração de Dados

A exfiltração de dados pode ser difícil de detectar porque envolve mover dados dentro e fora da rede de uma empresa. O principal desafio é distinguir esse movimento do tráfego de rede típico. A detecção mal-sucedida resulta em incidentes substanciais de perda de dados voando sob o radar até que a exfiltração de dados já tenha sido concluída. Uma vez que os dados mais confidenciais da sua empresa estejam nas mãos de atacantes, os danos podem ser devastadores.

A melhor maneira de evitar a exfiltração de dados é:

  • Realize uma avaliação de risco abrangente e identifique todos os ativos de dados valiosos.
  • Faça um inventário de todos os pontos finais onde esses dados residem.
  • Estime o impacto comercial da exfiltração de cada um desses ativos de dados.
  • Monitore endpoints importantes em busca de indicadores de que um ataque está progredindo para a exfiltração de dados usando uma solução de análise de comportamento de usuários e entidades (UEBA).
  • Procure anomalias no tempo, contagem e padrões no comportamento do usuário e da entidade.

ManageEngine Log360 identifica indicadores de comprometimento e indicadores de ataque para expor grandes ameaças, incluindo ameaças internas, comprometimento da conta e exfiltração de dados. Seu módulo UEBA usa algoritmos de aprendizado de máquina para detectar anomalias de comportamento, fortalecendo suas defesas contra ameaças internas e violações de dados. O Log360 também analisa logs de diferentes fontes, incluindo firewalls, roteadores, estações de trabalho, bancos de dados e servidores de arquivos. Qualquer desvio do comportamento normal é classificado como uma anomalia de tempo, contagem ou padrão. Em seguida, ele fornece insights acionáveis ao administrador de TI usando pontuações de risco, tendências de anomalias e relatórios intuitivos, permitindo que eles investiguem o problema e tomem as medidas necessárias para mitigar o risco.

FONTE: THREATPOST

POSTS RELACIONADOS