Av Ivan Vinogradov, sikkerhetsanalytiker hos LogPoint

Dataeksfiltrasjon vil si å hente ut verdifull informasjon fra en bedrift med et ondsinnet formål. Det er kanskje mest kjent på grunn av det tilsvarende trinnet i rammeverket for MITRE ATT&CK. Det finnes mange metoder for å hente ut data fra en bedrift, og MITRE dokumenterer nesten alle.

Hvorfor hente ut data?

Det finnes en rekke ulike grunner til at angripere må hente ut data. Og det er ikke tilfeldig at nesten alle angripere, særlig i bedriftsmiljøer, ender opp med å gjøre dette i en eller annen form.

Hvis man ser på f.eks. industrispionasje, er grunnen ofte enkel. Forskning, forretningshemmeligheter og andre typer data er verdifulle for konkurrenter, og stadig oftere for statlige aktører som ønsker å øke konkurransedyktigheten til landets virksomheter.

Fra det ovenstående kan vi utlede at slik informasjon generelt sett også er verdifull for nesten enhver skruppelløs person som er villig til å bryte lover om nettbruk. For selv om de kanskje ikke kan bruke dataene til noe selv, kan de selge dem eller utnytte dem til å skape ubalanse. Dette gjelder ikke bare kommersielle data, men mange forskjellige typer data som man kan finne relativt lett – fra logger til e-postlister.

Dette er enda en grunn til at data hentes ut. Inntrengerne har ofte ikke til hensikt å kompromittere, skade eller utføre omfattende nettaktivitet rettet mot en bestemt organisasjon. I stedet er det et lite skritt mot et bredere mål. Dermed kan eksklusive data som for eksempel hentes fra en av leverandørene til et potensielt mål, eller som handler om de ansatte i den aktuelle målbedriften, vise seg å være uvurderlige for inntrengerens langsiktige planer.

Målrettede datatyper

Den viktigste datatypen det søkes etter, er forskjellige typer legitimasjon – oftest passord, krypteringsnøkler og sertifikater. Hovedgrunnen til det er at det å få tilgang til legitimasjon er en utbredt praksis i nesten alle sikkerhetstrusler. Det er ofte den foretrukne metoden for å få tilgang til ressurser, og det bør være åpenbart, fordi det har en tendens til å spare tid og innsats og ofte er den mest direkte måten å få tilgang til andres data på. Det finnes gode eksempler på dette i naturen. Alt fra hacking av Sony til lekkasjer fra den amerikanske sikkerhetsmyndigheten NSA bekrefter angripernes forkjærlighet for alle typer legitimasjon.

Andre viktige datatyper – som er den mest vanlige grunnen til at organisasjoner utsettes for angrep – er sensitiv dokumentasjon. Dette er ofte knyttet til intern korrespondanse, klassifisert forskningsinformasjon og ukjent økonomisk informasjon om selskapet. Avhengig av angriperens formål kan dette skade selskapet direkte eller hente ut en form for økonomisk eller annen fordel. Skjønt det sistnevnte har i stadig større grad blitt erstattet med planting av skadevare.

Potensielle kilder og metoder for å hente ut data

Eksfiltrasjonen trenger ikke å være en heldigital prosess. Ofte skjer det via fysiske medier. Faktisk kan en uerfaren ondsinnet intern aktør (en «insider») godt vurdere dette som en praktisk måte å komme seg unna på, særlig når hen planlegger å overlevere dataene personlig. Når man ser på en insider som en potensiell kilde til å hente ut data, øker det interne trusselnivået proporsjonalt med aktørenes privilegier. Administrative brukere er, som i de fleste andre tilfeller, den største trusselen fordi de har ubegrenset tilgang til ressurser i organisasjonen.

Når det gjelder eksfiltrasjon som brukes av eksterne ondsinnede aktører, blir de primære metodene automatisert og ofte, men ikke alltid, avhengig av etablerte protokoller for overføring av data, som FTP, HTTP og e-post. De siste årene har skylagring vært et viktig tillegg til disse. Derfor bør man vurdere å investere i skysikkerhetsløsninger eller til og med deaktivere muligheten for å bruke dette i organisasjonen. Til slutt er det selvsagt verdt å nevne eksfiltrasjon via en C2-kanal, noe som fortsatt brukes.

Det finnes også mer komplekse eksfiltreringsmetoder – for eksempel over protokoller som vanligvis ikke er beregnet for direkte dataoverføring eller via webapplikasjoner – som selv ofte er kompromittert.

Håndtering og forebygging av dataeksfiltrasjon

Det kan ofte være en enkel, men effektiv teknisk løsning å begrense mengden og typen programvare som brukerne kan bruke på arbeidsstasjonen. Dette hindrer at brukeren opptrer ondsinnet og tar tak i den vanlige trusselen fra eksterne aktører som bruker forskjellige vanlige kommunikasjonskanaler for å hente ut data. Dette omfatter alt fra personlige VPN-tjenester til direktemeldinger og fildeling (P2P).

Et godt gammelt råd som også er aktuelt her, er å gå gjennom brukerkontoer og sørge for at dataene for autentisering er tilstrekkelig sikre. Selv om praksisen med å fornye passord er omstridt, er det nyttig hvis legitimasjonen din (brukernavn og passord) sirkulerer i et «svart» nettforum og venter på å bli solgt til noen som er villig til å misbruke den.

Man bør også være klar over verdien og plasseringen av organisasjonens viktigste ressurser – både fysisk og i forhold til nettverkstopologi. Selv ved sikkerhetsbrudd kan du raskt identifisere de mest verdifulle dataene og sjekke når og hvem som fikk tilgang. Dermed har dere allerede plassert dere mange skritt foran i den ubehagelige og kompliserte prosessen med å drive hendelsesrespons.

Overvåking er også nyttig for å oppdage uthenting av data mens det skjer. Mange moderne SIEM-løsninger kommer ferdig pakket med regler som har som mål å oppdage slike data, og styrkes ytterligere av overvåkingsprodukter for endepunkter og mottak av logger fra programmer for personvern og compliance.

Konklusjon

Dataeksfiltrasjon er generelt ikke et mål eller et angrep i seg selv, men en del av en sekvens med handlinger som har som søker å angripe et mål. Den gode nyheten er at det er høy grad av synkronitet mellom denne trusselen og ulike varianter av andre trusler. Dette gjør det å beskytte seg til et spørsmål om kunnskap, ikke nødvendigvis flere ressurser.

Grunnleggende sikkerhetsrutiner, for eksempel å dokumentere nettverket og organisere det på en god måte, fornye passord regelmessig eller i det minste sikre at de er sterke nok, og vite hva som foregår i organisasjonen i arbeidstiden – i form av kontakt med medarbeidere – vil sørge for at dere reduserer risikoen for dataeksfiltrasjon betydelig.

Lær mer om LogPoint

Bestill en demo
Kundecaser
Kundeanmeldelser