Av Ivan Vinogradov, säkerhetsanalytiker, LogPoint

Dataexfiltrering är en metod för att extrahera värdefull information från ett företag i syfte att skada företaget. Det är kanske mest känt på grund av dess motsvarande steg i MITRE ATT&CK-ramverket. Det finns många metoder för att exfiltrera data från ett företag, och MITRE dokumenterar nästan alla.

Varför exfiltrera data?

Det finns mängder av olika anledningar till varför angripare vill exfiltrera data. Och det är inte någon tillfällighet att nästan alla angripare – i synnerhet i företagsmiljöer – slutligen gör det i någon form.

När det gäller industrispionage följer det kanske det mest raka resonemanget. Forskning, affärshemligheter och andra datatyper är värdefulla för konkurrenter. Och det är ännu vanligare att statliga aktörer vill öka konkurrenskraften för sina inhemska företag.

Av detta kan vi också dra slutsatsen att denna information generellt sett även är värdefull för så gott som alla opportunistiska individer som är beredda att bryta mot datalagstiftningen. Även om de inte kan använda dessa data så kan de säljas eller till och med användas som arbitrage. Detta gäller inte bara för uttryckligen ekonomiska data, utan även för många olika typer av data som man kan tycka är relativt intetsägande – från loggar till e-postlistor.

Detta tar oss till ytterligare en anledning till varför data extraheras. Angripare har ofta inte för avsikt att kompromissa, skada eller till och med utföra någon betydande cyberaktivitet riktad mot en viss organisation. Istället är det ett steg mot ett större mål. Detta innebär att exklusiva data (om t.ex. leverantören av ett potentiellt mål eller anställda hos ditt mål) kan visa sig vara ovärderliga för angriparens långsiktiga mål.

Utvalda datatyper

Den vanligaste typen av data som eftersöks är autentiseringsuppgifter av alla slag – oftast lösenord, krypteringsnycklar och certifikat. Den främsta anledningen till detta är att åtkomst till autentiseringsuppgifter är ett vanligt tillvägagångssätt som används av nästan alla typer av offensiva säkerhetsangrepp. Detta är ofta den föredragna metoden för att få åtkomst till resurser. Det uppenbara skälet till detta är att det sparar både tid och arbete, samtidigt som det brukar vara den mest direkta vägen till andra data. Det finns många bra exempel på detta från verkligheten. Allt från intrång på Sonys system till NSA-läckor tenderar att bekräfta att angripare söker autentiseringsuppgifter av alla typer.

Andra viktiga typer av data – något som är vanligast vid angrepp mot kommersiella organisationer – är känslig dokumentation. Detta är ofta kopplat till intern korrespondens, hemliga forskningsuppgifter och okänd ekonomisk information om företaget. Beroende på angriparens mål kan detta direkt skada företaget eller extrahera någon form av ekonomisk information eller annan fördel. Det senare har dock i allt högre grad börjat ersättas med plantering av gisslanprogram.

Potentiella källor och metoder för dataexfiltrering

Exfiltrering behöver inte vara en helt digital process. Ofta sker det via fysiska medier. En oerfaren insider kan mycket väl betrakta detta som ett genomförbart sätt att komma undan med handlingen – särskilt om de förväntas överlämna uppgifterna personligen. När man betraktar en insider som en potentiell källa till dataexfiltrering, växer insiderhotnivån proportionellt med deras åtkomstbehörigheter. Administrativa användare är, som i de flesta andra fall, det största hotet på grund av praktiskt taget obegränsad tillgång till organisationens resurser.

När det gäller exfiltrering som utförs av illasinnade externa aktörer är de primära metoderna automatiserade. De förlitar sig ofta – men inte alltid – på etablerade dataöverföringsprotokoll som FTP, HTTP och e-post. På senare år har molnlagring vunnit mark, och därför bör man överväga att investera i en uppsättning molnsäkerhetslösningar eller till och med inaktivera möjligheten att använda molnlösningar inom organisationen. Slutligen är det naturligtvis värt att nämna exfiltrering via C2-kanaler, som fortfarande är högaktuellt.

Det finns också mer komplexa exfiltreringsmetoder – till exempel via protokoll som vanligtvis inte är avsedda för direkt dataöverföring eller via webbapplikationer – som i sig ofta är komprometterade.

Åtgärda och förhindra dataexfiltrering

Att begränsa mängden och typen av programvara som användarna kan installera på sina arbetsstationer fungerar ofta som en enkel men effektiv teknisk lösning. Detta hindrar användaren från att agera illvilligt och tar itu med det allmänna hotet från externa aktörer som använder vanliga kommunikationskanaler för exfiltrering. Det kan handla om allt från personliga VPN-tjänster till chattjänster och P2P-fildelning.

Att granska konton för att säkerställa att autentiseringsuppgifterna är tillräckligt säkra är också viktigt. Även om kravet på att byta lösenord är en kontroversiell administrativ rutin så är det användbart ifall dina inloggningsuppgifter cirkulerar på darknet-forum och väntar på att säljas till någon som är beredd att använda dem.

Man bör också vara medveten om värdet och placeringen av organisationens viktigaste resurser – både fysiskt och vad gäller nätverkstopologi. I händelse av intrång kan du snabbt identifiera de mest värdefulla uppgifterna och kontrollera när och vem som har haft åtkomst, vilket ger dig ett försprång vid den komplicerade och mödosamma processen med incidenthantering.

Slutligen är övervakning användbart för att upptäcka dataexfiltrering av data medan det sker. Många moderna SIEM-lösningar levereras med förkonfigurerade regler avsedda att detektera just sådana data – och kan kompletteras med slutpunktsövervakningsprodukter och mottagningsloggar från dataskydds- och efterlevnadsprogram.

Sammanfattning

Generellt sett är dataexfiltrering inte ett mål eller en attack i sig, utan en del av en rad åtgärder som syftar till att kompromissa ett mål. Den goda nyheten är att det finns en hög grad av synkronisitet mellan denna typ av hot och andra och dess varianter. Det gör förmågan att skydda sig till en fråga om kunskap och inte nödvändigtvis behovet av extra resurser.

Det finns grundläggande säkerhetsrutiner, som att dokumentera ditt nätverk och organisera det väl, förnya lösenord regelbundet eller åtminstone säkerställa att de uppfyller komplexitetskraven och håller koll på organisationens puls (de anställda). Med hjälp av dessa kan du dramatiskt minska risken för dataexfiltrering.

Läs mer om LogPoint

Boka en LogPoint-demo
Kundfall
Kundrecensioner