Атака №8: Data Exfiltration

Когато данните напускат организацията

Обобщение – Data Exfiltration

Как работи атаката

Data exfiltration рядко е първата стъпка.
Тя обикновено е крайната цел.

След като атакуващите получат достъп чрез phishing, malware, credential abuse или вътрешна активност, те започват да идентифицират ценни данни.

Това може да включва:

• клиентски бази данни
• финансови записи
• вътрешни документи
• интелектуална собственост

След това данните се събират, подготвят и прехвърлят извън организацията. Понякога бавно, за да се избегне откриване. Понякога в големи обеми.

Прехвърлянето може да използва:

• криптирани канали
• cloud услуги за съхранение
• легитимни инструменти

От гледна точка на системите, тази активност често изглежда нормална.

Това е причината изнасянето на данни да е трудно за откриване.

Кого таргетира най-често

Data exfiltration е насочена към стойността.

Роли

• служители с достъп до чувствителни данни
• финансови и оперативни екипи
• разработчици и анализатори
• администратори

Сектори

• финанси
• здравеопазване
• технологии
• производство
• публичен сектор

Тип организации

• организации, които разчитат на данни
• компании, обработващи регулирани данни
• среди без класификация на данните
• организации с широки права за достъп

Колкото по-ценни са данните, толкова по-голям е рискът.

На какво разчита атаката

Изнасянето на данни е успешно, когато данните са достъпни и не се наблюдават.

Човешки фактор

• злоупотреба с достъп
• липса на осъзнатост
• вътрешно поведение

Технически пропуски

• липса на видимост върху данните
• слаб мониторинг на изходящия трафик
• липса на DLP контрол
• прекомерни права за достъп

Процесни слабости

• липса на класификация на данните
• неясна собственост върху данните
• липса на политики за мониторинг
• недостатъчен одит

Данни, които не се контролират, се преместват лесно.

Как се хваща

Откриването зависи от разпознаване на нетипични модели.

Какво може да забележи потребителят

• по-бавна работа на системата
• необичаен достъп до файлове
• неочаквани промени в данните

Какво вижда IT екипът

• големи трансфери на данни
• нетипични модели на достъп
• необичайна употреба на cloud услуги

Какво вижда SOC

• аномалии в изходящия трафик
• модели на движение на данни
• връзка с компрометирани акаунти
• подозрителна употреба на легитимни инструменти

Изнасянето на данни често се вписва в нормалната активност.

Как се ограничава въздействието

След като данните започнат да напускат организацията, реакцията трябва да е незабавна.

Основните действия включват:

• спиране на текущите трансфери
• изолиране на засегнатите системи
• ограничаване на достъпа
• запазване на логове и доказателства
• оценка на това какви данни са били засегнати

Какво не помага:

• забавяне на реакцията
• приемане, че трансферът е легитимен
• игнориране на ранните сигнали

Колкото по-бърза е реакцията, толкова по-малко е въздействието.

Какво реално помага

Управлението на риска от данни изисква видимост и контрол.

Хора

• осъзнатост за чувствителните данни
• яснота за отговорността при достъп

Процеси

• класификация на данните
• преглед на достъпа
• политики за мониторинг

Технологии

• решения за предотвратяване на изтичане на данни (DLP)
• мрежов мониторинг
• системи за контрол на достъпа
• видимост чрез SOC

Защитата на данните не е само въпрос на съхранение.
Тя е въпрос на движение.

Чести митове

„Данните са защитени вътре в мрежата“
„Криптирането е достатъчно“
„Ако достъпът е разрешен, няма риск“
„Изнасянето на данни се открива лесно“

В действителност изнасянето на данни често използва легитимен достъп и инструменти.

Атака №1: Фишинг и социално инженерство

Атака №2: Злоупотреба с акаунти и превземане на достъп

Атака №3: Компрометиране на бизнес имейли

Атака №4: Ransomware

Атака №5: Supply Chain Attack

Атака №6 – Insider Threat

Атака №7: Malware & Infostealers

Следва: Атака №9 – Privilege Escalation & Lateral Movement