Эксфильтрация данных — это кража или несанкционированная передача данных с устройства или сети. Согласно исследованиям экспертов, после того, как данные собраны, злоумышленники часто упаковывают их, чтобы избежать обнаружения при их удалении. Это может включать сжатие и шифрование.
Как происходит эксфильтрация данных?
Эксфильтрация данных может осуществляться посторонними лицами, проникающими в сеть с целью кражи учетных данных пользователей, интеллектуальной собственности и корпоративных секретов. Атаки извне обычно начинаются с внедрения вредоносного ПО в конечную точку, такую как компьютер или мобильное устройство, подключенное к корпоративной сети. Вредоносное ПО эксфильтрирует данные на внешний сервер, контролируемый посторонним, который затем может их продать или опубликовать.
Эксфильтрация данных также может происходить, когда инсайдер перемещает данные за пределы сети, например, отправляя их по электронной почте на некорпоративный адрес электронной почты или копируя их в незащищенное облачное хранилище или продукт «программное обеспечение как услуга» (SaaS). Эти действия часто выполняются с благими намерениями сотрудниками, которые просто пытаются выполнять свою работу, но они подвергают данные риску, выводя их из-под контроля группы безопасности и корпоративных политик.
Общие методы эксфильтрации данных
Социальная инженерия
Социальная инженерия — один из самых распространенных методов эксфильтрации данных. Злоумышленник обманом заставляет пользователя делиться конфиденциальными данными или учетными данными, выдавая себя за законного сотрудника или партнера. Например, злоумышленник может выдать себя за агента службы поддержки, чтобы запросить у пользователя конфиденциальную информацию, такую как имя пользователя и пароль.
Одним из распространенных типов атак социальной инженерии является фишинг. При фишинговых атаках злоумышленник отправляет пользователям электронное письмо, которое выглядит как исходное из законного источника, например из отдела кадров. В электронном письме пользователю будет предложено щелкнуть ссылку, которая отправит жертв на ложный сайт, который выглядит точно так же, как официальный портал кадровых ресурсов.
Этот ложный сайт может быть настроен исключительно для сбора учетных данных, или код сайта может содержать вредоносный скрипт, который устанавливает кейлоггер или другое вредоносное ПО, которое затем будет использоваться для выполнения следующего этапа фишинговой атаки.
Человеческая ошибка
Неосторожные инсайдеры обычно загружают конфиденциальные данные компании со своих защищенных устройств, выданных компанией, на личные устройства, которые не защищены решениями или политиками сетевой безопасности их работодателей.
Вместо этого данные либо полностью не защищены, либо защищены только базовым уровнем потребительских средств безопасности. В этой ситуации эксфильтрация данных может не ограничиваться перемещением файлов — это могут быть фотографии экранов мониторов, записи разговоров на смартфонах и т. д.
Загрузка на внешнее устройство
Злонамеренные инсайдеры менее распространены, чем их неосторожные коллеги, но злонамеренный инсайдер может нанести гораздо больший ущерб. Злоумышленник-инсайдер может использовать законные учетные данные для осуществления гнусных действий в течение чрезвычайно длительного периода времени, прежде чем произойдет обнаружение — если это вообще произойдет.
Поскольку учетные данные этого пользователя являются законными, их атака по краже данных не будет замечена, если только они не перемещают большие объемы ценных данных или не пытаются получить доступ к частям системы, которые находятся за пределами их уровня привилегий.
В течение периода своей деятельности инсайдеры-злоумышленники обычно загружают данные с доверенного устройства на личное устройство или флэш-накопитель, а затем загружают их на внешнее устройство, такое как служба хранения в даркнете, перед их продажей или распространением.
Предотвращение утечки данных
Статистика того, сколько времени требуется для обнаружения утечки данных, вызывает тревогу. Это связано с тем, что обнаружить кражу данных сложно, особенно когда атакующий использует метод кражи данных, который представляет собой обычный сетевой трафик.
Самая важная защитная практика, которую может внедрить бизнес, является и самой сложной: обучать сотрудников. Конечно, многие предприятия уже делают это с помощью регулярных обязательных тренингов по безопасности, но большинство сотрудников продолжают недооценивать вероятность того, что они станут мишенью. Предприятия должны развивать культуру безопасности во всей организации, прежде чем они смогут поверить в то, что их сотрудники выступают в качестве первой линии защиты.
Политика использования собственных устройств (BYOD) должна быть установлена и доведена до сведения всех сотрудников. В частности, сегодня, с переходом на удаленную работу, сотрудники могут использовать любые личные устройства для доступа к ценным данным, от детской игровой системы до ОС Windows. Мониторинг сети, чтобы увидеть, кто входит в систему и какие устройства они используют, необходим не только для предотвращения утечки данных сегодня, но и для понимания того, как пользователи взаимодействуют с сетью, чтобы лучше планировать защиту завтра.
Чтобы контролировать внутренние угрозы, как доброкачественные, так и злонамеренные, управляйте привилегиями. Это означает предоставление только наименьших привилегий. Динамический контроль привилегий заключается в том, что, когда причина доступа сотрудника к конфиденциальной системе становится недействительной, он больше не имеет доступа. Также необходимо систематически отменять привилегии для бывших сотрудников с момента окончания их работы, вместо того, чтобы ждать неделю или две, чтобы очистить старые данные.
Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.