Af Ivan Vinogradov, Security Analyst, LogPoint

Dataeksfiltrering er at udtrække værdifulde oplysninger fra en virksomhed med et implicit skadeligt formål. Det er måske bedst kendt på grund af det tilsvarende trin i MITRE ATT&CK-rammen. Der er mange metoder til dataeksfiltrering fra en virksomhed, og MITRE dokumenterer næsten dem alle.

Hvorfor udtrække data?

Der er mange forskellige grunde til, at angribere udtrækker data. Og det er faktisk ikke et tilfælde, at næsten alle angribere, især i virksomhedsmiljøer, ender med at gøre det i en eller anden form.

Tænker man på eksemplet med industrispionage, er argumentationen ganske ligetil. Forskning, forretningshemmeligheder og forskellige andre datatyper er værdifulde for konkurrenterne, eller nationale aktører ønsker at øge deres virksomheders konkurrenceevne, hvilket oftere er tilfældet.

Ud fra ovenstående kan vi også udlede, at disse oplysninger generelt også er værdifulde for næsten enhver opportunistisk person, der er villig til at overtræde cyberlovgivningen. Selv hvis de ikke kan udnytte sådanne data, kan de sælges eller endda handles. Det gælder ikke kun for eksplicitte kommercielle data, men for mange forskellige typer data, som man måske finder relativt harmløse – fra logfiler til e-maillister.

Det bringer os videre til endnu en grund til, at der udtrækkes data. Ofte har modstandere ikke til hensigt at kompromittere, skade eller udføre væsentlig cyberaktivitet rettet mod en bestemt organisation. I stedet er det kun et skridt mod et større mål. Derfor kan eksklusive data, der kan indhentes fra f.eks. en leverandør til et potentielt mål eller om dets medarbejdere, vise sig at være uvurderlige for en given modstanders langsigtede planer.

Datatyper af interesse

Den vigtigste type data, der søges efter, er akkreditiver af enhver art – oftest adgangskoder og kryptografiske nøgler og certifikater. Hovedårsagen til dette er, at det er en udbredt praksis inden for næsten alle offensive sikkerhedsområder at få adgang til akkreditiver. Det er ofte den foretrukne metode til at få adgang til ressourcer – hvilket er indlysende, fordi det kan spare tid og kræfter og ofte er den mest direkte vej til andre data. Det er der mange gode eksempler på. Alt fra Sony-hackerangreb til NSA-lækager bekræfter den forkærlighed, angriberne har for akkreditiver af enhver art.

Andre vigtige typer data – de mest almindelige ved angreb på kommercielle virksomheder – er følsom dokumentation. Dette er ofte relateret til intern korrespondance, klassificerede forskningsoplysninger og ukendte økonomiske data om virksomheden. Afhængigt af angriberens mål kan det direkte skade virksomheden eller give en form for økonomisk eller anden fordel. Sidstnævnte er dog i stigende grad blevet erstattet af plantning af ransomware.

Potentielle kilder og metoder til dataeksfiltrering

Dataeksfiltrering behøver ikke kun at være en digital proces. Ofte sker det via fysiske medier – faktisk kan en uerfaren og ondsindet insider meget vel betragte det som en effektiv måde at slippe afsted med sin ugerning på – især når den pågældende forventer at udlevere dataene personligt. Når man betragter en insider som en potentiel kilde til dataeksfiltrering, vokser niveauet af trusler fra insidere proportionalt med deres rettigheder. Administrative brugere er, som i de fleste andre tilfælde, den største trussel på grund af deres næsten ubegrænsede adgang til ressourcer i organisationen.

Når det drejer sig om den dataeksfiltrering, som anvendes af eksterne ondsindede aktører, er de primære metoder automatiserede og ofte, men ikke altid, afhængige af etablerede protokoller til overførsel af data, såsom FTP, HTTP og e-mail. I de senere år har cloud-lagring været en væsentlig tilføjelse, og derfor bør man overveje at investere i et sæt cloud-sikkerhedsløsninger eller endda deaktivere muligheden for at udnytte dem i organisationen. Endelig er det naturligvis værd at nævne den stadig tilstedeværende dataeksfiltrering via en C2-kanal.

Der findes også mere komplekse eksfiltreringsmetoder – for eksempel over protokoller, der typisk ikke er beregnet til direkte dataoverførsel, eller over webapplikationer – som ofte kompromitteres.

Håndtering og forebyggelse af dataeksfiltrering

Begrænsning af mængden og typen af software, som brugere kan anvende på deres arbejdsstation, kan ofte fungere som en simpel, men effektiv teknisk løsning. Det forhindrer brugeren i at handle ondsindet og modvirker den almindelige trussel fra eksterne aktører ved brug af forskellige fælles kommunikationskanaler til eksfiltrering. Det omfatter alt fra personlige VPN-tjenester til instant messaging og P2P-fildeling.

Revision af regnskaber og sikring af, at autentificeringsdataene er tilstrækkeligt sikre, er et eviggyldigt råd, der også kan bruges her. Selvom fremgangsmåden med fornyelse af adgangskoder er kontroversiel, er det nyttigt, hvis dine akkreditiver cirkler rundt på et darknet forum og venter på at blive solgt til en, der er villig til at bruge dem.

Man skal også være opmærksom på værdien og placeringen af de vigtigste ressourcer, organisationen besidder – både fysisk og netværksmæssigt. Selv i tilfælde af angreb vil hurtig identifikation af de mest værdifulde data samt kontrol af, hvornår og af hvem de blev tilgået, hjælpe dig godt på vej i den ubehagelige og komplicerede proces, der er forbundet med hændelsesrespons.

Endelig er overvågning nyttig til at detektere eksfiltrering af data, mens det sker. Mange moderne SIEM-løsninger leveres færdigpakkede med regler, der har til formål at detektere sådanne data – hvilket yderligere kan beriges med slutpunktsovervågning af produkter og logfiler fra databeskyttelses- og compliance-software.

Konklusion

Overordnet set er dataeksfiltrering ikke et mål eller et angreb i sig selv, men en del af en række handlinger, der har til formål at kompromittere et mål. Den gode nyhed er, at der er en høj grad af synkronitet mellem denne trussel og andre samt  varianter af disse. Det gør beskyttelsen mod det til et spørgsmål om viden og ikke nødvendigvis brug af ekstra ressourcer.

Grundlæggende sikkerhedspraksis, såsom dokumentation og god organisering af dit netværk, regelmæssig fornyelse af adgangskoder eller i det mindste sikring af, at de opfylder kravene til kompleksitet, og at have styr på din organisations medarbejdere vil sikre, at du reducerer risikoen for dataeksfiltrering massivt.

Få mere at vide om LogPoint

Book en demo
Kundehistorier
Kundeanmeldelser