Esfiltrazione di dati, cos'è? Significato ed esempi

L’esfiltrazione di dati - o data exfiltration - avviene quando si verifica la copia, il trasferimento, o il recupero, non autorizzati, di dati da un server o da un computer. Si tratta di un tipo di violazione della sicurezza che si verifica quando i dati di un individuo o di un'azienda vengono copiati, trasferiti o recuperati illecitamente da un dispositivo o da un server senza la dovuta autorizzazione e spesso con intenzioni malevole.

Cos’è la data exfiltration?

Gli attacchi di data exfiltration preoccupano maggiormente aziende ed organizzazioni che conservano dati di valore, sia che provengano dall'esterno, sia che avvengano dall'interno dell'azienda stessa. L’esfiltrazione dei dati può avvenire attraverso molteplici metodi di attacco, che vanno dal phishing e dagli attacchi malware al furto fisico e ai siti di file-sharing.

 

Esempio di dispositivi a rischio di data exfiltration

 

L’esfiltrazione di dati è una tra le preoccupazioni principali per la sicurezza delle aziende oggi giorno. Secondo un recente studio di McAfee, il 61% dei professionisti che operano nel campo della sicurezza informatica, hanno riscontrato una perdita di dati presso la loro attuale azienda.. Con le normative sempre più stringenti in tema di protezione dei dati, come il GDPR e il CCPA (California Consumer Privacy Act), la posta in gioco in caso di data esfiltration, è molto alta.

La Formazione sulla Cybersecurity Inizia Qui

Inizia una Prova Gratuita

Ecco come funziona la tua prova gratuita:

  • Parla con i nostri esperti di sicurezza informatica per valutare il tuo ambiente e identificare la tua esposizione al rischio di minacce
  • Entro 24 ore e con un minimo di configurazione, implementeremo i nostri strumenti per 30 giorni
  • Prova la nostra tecnologia in prima persona!
  • Ricevi un rapporto che delinea le tue vulnerabilità di sicurezza per aiutarti a prendere subito provvedimenti adeguati contro gli attacchi alla tua sicurezza informatica

Compila questo modulo per richiedere un incontro con i nostri esperti di sicurezza informatica.

Grazie per esserti registrato per la nostra prova gratuita. Un rappresentante di Proofpoint si metterà in contatto con te a breve, guidandoti nei prossimi passi da seguire.

Come si verifica l'esfiltrazione dei dati?

L'esfiltrazione dei dati avviene in molti modi attraverso molteplici metodi di attacco; tuttavia, le due modalità principali sono gli attacchi esterni e le minacce interne.

Le minacce di insider threat sono una delle principali cause di esfiltrazione dei dati, sia accidentale che dolosa. Le minacce insider dannose sono costituite da persone fidate che cercano di esfiltrare intenzionalmente i dati per infliggere danni a un'organizzazione per il proprio (o altrui) tornaconto. Tuttavia, due casi di minaccia interna su tre sono causati da incidenti, i quali potrebbero rivelarsi altrettanto costosi per un'organizzazione se questi errori richiedono troppo tempo per essere esaminati.

Per quanto riguarda i data exfiltration attack esterni, l'esfiltrazione dei dati può avvenire attraverso:

  • Tecniche di social engineering attraverso e-mail o vari canali Internet, come siti spoofed per il phishing, siti di file-sharing e social media.
  • Iniezione di malware in un endpoint, come un computer o un dispositivo mobile connesso alla rete aziendale.
  • Hacker che violano sistemi che si basano su password impostate dal fornitore o facili da decifrare.

La data exfiltration può essere condotta manualmente da un individuo con accesso fisico a un computer, ma può anche essere automatizzata attraverso una programmazione malevola su una rete.

Tipologie di data exfiltration

Secondo lo studio McAfee appena citato, i metodi di esfiltrazione di dati più comuni includono:

  • Database leaks
  • Traffico di rete
  • Condivisione di file
  • Email aziendali

Applicazioni cloud e database

Un recente rapporto di CA Technologies sulle minacce interne alle aziende, ha messo in evidenza come i database costituiscano la risorsa più vulnerabile, prima ancora dei file server, delle applicazioni cloud e dei dispositivi mobili. Essendo i dati contenuti in essi, così preziosi, i database vengono comunemente presi di mira sia da attacchi esterni, che interni all'azienda.

Dispositivi di memorizzazione removibili

I dispositivi removibili costituiscono un altro comune vettore di attacco. Anche nell'era dell'onnipresente cloud, i metodi di esfiltrazione dati vecchio stile, basati sulle chiavette USB, continuano a rappresentare una seria minaccia. Anche se è irrealistico vietare completamente l'utilizzo di chiavette USB all'interno dell'azienda, i dipendenti devono essere consapevoli dei rischi e devono rispettare le politiche aziendali riguardo l'accesso e la memorizzazione dei dati.

Mentre la condivisione di file costituisce il primo dei metodi di data exfiltration negli Stati Uniti, le chiavette USB costituiscono il primo vettore per l'esfiltrazione dei dati in Europa e Asia.

Minacce interne accidentali

Oltre agli utenti che agiscono mossi da cattive intenzioni, anche le minacce interne accidentali possono rivelarsi una grossa causa di data exfiltration. Le email di phishing e gli attacchi basati sul social engineering, rimangono per gli hackers, un metodo collaudato per accedere ai dati aziendali. Inoltre, la scelta o il riutilizzo di password deboli, e il mancato utilizzo di metodi di autenticazione a due fattori, costituiscono vulnerabilità che fanno gola agli hackers, per penetrare negli account delle vittime. In scenari del genere, la miglior difesa è diventare consapevoli delle minacce informatiche che ci circondano. Lo studio McAfee ha messo anche in luce come la divulgazione di dati riservati tramite email si riveli spesso una comune minaccia interna, in ambito aziendale.

 

Computer portatile protetto da una soluzione di sicurezza informatica

 

Utilizzo improprio dei dati

Secondo un recente Rapporto Verizon sulle Minacce Interne, l’utilizzo improprio è un'altra delle cause più comuni di data exfiltration. A differenza delle minacce interne accidentali, dovute perlopiù alla mancanza di attenzione, parliamo di utilizzo improprio, quando l'utente cerca di bypassare, in maniera intenzionale o meno, i controlli e le politiche sulla sicurezza. Come ad esempio un dipendente che utilizza software non autorizzato per lavorare con un soggetto esterno, come un cliente o un fornitore, soltanto perché è più semplice da utilizzare e gli agevola il lavoro, mettendo però in questo modo a rischio di data exfiltration i dati aziendali.

I vostri dipendenti potrebbero però divulgare i dati aziendali in molti altri modi: tramite l'utilizzo dei propri account di posta privati sul lavoro, tramite il salvataggio di file sul cloud o sui siti per la condivisione di file, ma anche più semplicemente, tramite l'incauta stampa di dati aziendali, o tramite il salvataggio di scorciatoie sulla tastiera. Potrebbe rivelarsi difficile per un'azienda riuscire a distinguere un'attività legittima dell'utente all'interno della rete da una malevola, ma in questi casi avere a disposizione un sistema in grado di far luce sul contesto in cui si svolgono le azioni dell'utente, può aiutare a capire se ci si trovi o meno, di fronte ad una minaccia per la sicurezza.

Attacchi malware

L'esfiltrazione dei dati è spesso l'obiettivo degli attacchi malware, che vengono iniettati in un computer o in un dispositivo mobile collegato alla rete di un'organizzazione. Una volta iniettato, il malware esfiltra i dati su un server esterno controllato dall'aggressore, dove vengono venduti o distribuiti. Questi attacchi malware possono essere progettati per diffondersi nella rete di un'organizzazione e infiltrarsi in altri dispositivi, alla ricerca di dati aziendali sensibili per esfiltrare le informazioni.

Come prevenire il data exfiltration con il monitoraggio dei dati e dell’utente

La prevenzione dell'esfiltrazione dei dati è un'iniziativa critica di cybersecurity che richiede un monitoraggio dedicato degli utenti e delle attività dei dati per garantire che le attività non autorizzate siano affrontate in tempo reale. Queste misure, combinate con i seguenti strumenti e protocolli, possono prevenire efficacemente la data exfiltration dalla rete di un’organizzazione o azienda:

  • Monitorare l'attività degli utenti: monitorare costantemente l'attività degli utenti e rimanere vigili su qualsiasi attività sospetta. Gli amministratori devono tenere traccia di chi accede a quali file, quando e con quale frequenza, oltre a identificare comportamenti insoliti degli utenti che potrebbero indicare una violazione della sicurezza.
  • Implementare l'autenticazione a più fattori: l'utilizzo dell'autenticazione multifattoriale su tutti gli account utente di una determinata rete garantisce che solo gli utenti autorizzati possano accedere al sistema. Questo protocollo di autenticazione comune è utile per prevenire l'accesso non autorizzato ai dati sensibili.
  • Utilizzare password sicure: implementare politiche che richiedano a tutti gli account utente password forti, come l'uso di 12 o più caratteri con lettere maiuscole e minuscole, numeri e simboli e limitare il riutilizzo delle password su più account.
  • Aggiornare regolarmente software e sistemi: aggiornare regolarmente software e sistemi per garantire che siano protetti dalle più recenti minacce alla sicurezza. In questo modo si evita che gli aggressori sfruttino le vulnerabilità di software e sistemi obsoleti.
  • Utilizzare strumenti di prevenzione della perdita di dati (DLP): utilizzare strumenti DLP per monitorare e prevenire il trasferimento non autorizzato di dati sensibili. Gli strumenti DLP possono rilevare e prevenire l'esfiltrazione dei dati monitorando il traffico di rete e l'attività degli utenti.
  • Utilizzare la crittografia: la crittografia aiuta a prevenire l'esfiltrazione dei dati proteggendo i dati sensibili sia in uso che archiviati. La crittografia è essenziale per impedire agli aggressori di accedere ai dati sensibili, anche se riescono a esfiltrare i dati.
  • Mantenere l'esperienza dell'utente: la prevenzione della data exfiltration non deve avere un impatto negativo sull'attività degli utenti. Pertanto, le organizzazioni devono assicurarsi che le loro misure di prevenzione non danneggino la produttività degli utenti.

In che modo Proofpoint può aiutare a prevenire l’esfiltrazione dei dati

La soluzione Enterprise Data Loss Prevention (DLP) di Proofpoint è stata progettata per contribuire alla protezione contro l'esfiltrazione dei dati: identificando accuratamente le informazioni sensibili, rilevando le trasmissioni di dati esfiltrabili via e-mail e bloccando la perdita di dati critici. In particolare, la soluzione Enterprise DLP:

  • è integrato con l'Email DLP di Proofpoint, che rileva i dati sensibili e le informazioni riservate e ne impedisce la diffusione all'esterno dell'organizzazione attraverso le e-mail.
  • aggiunge la telemetria delle minacce e del comportamento ai contenuti per determinare l'intento e il rischio. Riunendo la telemetria, affronta tutti gli scenari di DLP aziendale.
  • è una soluzione DLP incentrata sulle persone che riunisce il contesto di contenuti, comportamenti e minacce per ottenere informazioni incentrate sulle persone e prevenire la perdita di dati.
  • aiuta le organizzazioni ad adottare un approccio incentrato sulle persone per la prevenzione della perdita di dati aziendali e ad affrontare i problemi reali di sicurezza e conformità.

In alternativa o a complemento di una soluzione DLP, le organizzazioni dovrebbero adottare una soluzione dedicata alla gestione delle minacce interne per prevenire l'esfiltrazione dei dati. A differenza delle soluzioni DLP, una piattaforma di gestione delle minacce interne, come quella di Proofpoint, si basa su una combinazione di monitoraggio delle attività degli utenti e dei dati. Mentre i DLP e altri strumenti si concentrano solo sui dati, il monitoraggio delle attività degli utenti aiuta a capire chi fa cosa, quando e perché.

 

Donna che utilizza un computer

 

Come evitare l'esfiltrazione dei dati con Proofpoint

Molti dei sistemi di difesa tradizionali, si concentrano sul rilevamento delle minacce esterne, perciò avere a disposizione uno strumento per il monitoraggio dell'attività dell'utente e dei dati, vi permetterà di rilevare azioni sospette da parte dell'utente, di cui, con le altre soluzioni, vi accorgereste soltanto quando è ormai troppo tardi. Dal momento che le minacce interne, come dice la parola stessa, si trovano già dentro il perimetro aziendale, passano spesso inosservate, a meno che gli addetti del reparto IT, non abbiano la possibilità di monitorare l'attività dell'utente, e il contesto in cui egli compie tali azioni, che permetterebbe loro di dimostrare se un incidente interno di sicurezza, sia intenzionale o accidentale. Una piattaforma come Insider Threat Management di Proofpoint, avviserà immediatamente gli addetti del reparto informatico, di ogni potenziale minaccia interna, e metterà loro a disposizione una timeline dell'attività dell'utente, con una dettagliata riproduzione video per facilitare e velocizzare le indagini.

Le aziende non possono più permettersi di lasciare il proprio patrimonio di dati a rischio. Devono imparare a bloccare le più comuni minacce che portano all'esfiltrazione di dati, implementando politiche di sicurezza adeguate, devono formare il personale per limitare le minacce accidentali, e predisporre una soluzione dedicata alla gestione delle minacce interne, per ottenere informazioni preziose sul contesto in cui nasce un potenziale incidente. Se desiderate testare l'ambiente sandbox di Proofpoint, potete farlo tranquillamente senza bisogno di scaricare o installare nulla. Vedrete quanto sarà semplice individuare e bloccare l'esfiltrazione di dati nella vostra azienda.

Pronto a provare Proofpoint?

Inizia la tua prova gratuita di Proofpoint.