Утечка данных

Эксфильтрация данных происходит, когда вредоносное ПО и/или злоумышленник осуществляют несанкционированную передачу данных с компьютера. Это также обычно называется вытеснением данных или экспортом данных. Эксфильтрация данных также считается формой кражи данных . Начиная с 2000 года ряд попыток эксфильтрации данных нанесли серьезный ущерб доверию потребителей, корпоративной оценке и интеллектуальной собственности предприятий, а также национальной безопасности правительств по всему миру.

Типы извлеченных данных

В некоторых сценариях эксфильтрации данных может быть эксфильтрован большой объем агрегированных данных. Однако в этих и других сценариях, вероятно, что определенные типы данных могут быть целевыми. Типы данных, которые являются целевыми, включают:

• Имена пользователей, соответствующие пароли и другая информация, связанная с аутентификацией системы ^[1]
• Информация, связанная со стратегическими решениями ^[1]
• Криптографические ключи ^[1]
• Личная финансовая информация ^[2]
• Номера социального страхования и другая личная информация (PII) ^[2]
• Почтовые адреса ^[2]
• Хакерские инструменты Агентства национальной безопасности США ^[2]

Методы

Злоумышленники использовали несколько методов для осуществления эксфильтрации данных. Выбор метода зависит от ряда факторов. Если злоумышленник имеет или может легко получить физический или привилегированный удаленный доступ к серверу, содержащему данные, которые он хочет эксфильтровать, его шансы на успех намного выше, чем в противном случае. Например, системному администратору было бы относительно легко внедрить и, в свою очередь, запустить вредоносное ПО, которое передает данные на внешний сервер управления и контроля, не будучи пойманным. ^[1] Аналогично, если кто-то может получить физический административный доступ, он потенциально может украсть сервер, содержащий целевые данные, или, что более реалистично, перенести данные с сервера на DVD или USB-флеш-накопитель. ^[3] Во многих случаях злоумышленники не могут получить физический доступ к физическим системам, содержащим целевые данные. В этих ситуациях они могут скомпрометировать учетные записи пользователей в приложениях удаленного доступа, используя пароли производителя по умолчанию или слабые пароли. В 2009 году, проанализировав 200 атак по эксфильтрации данных, которые имели место в 24 странах, SpiderLabs обнаружила девяностопроцентный показатель успеха при компрометации учетных записей пользователей в приложениях удаленного доступа без необходимости проведения атак методом подбора. Получив этот уровень доступа, злоумышленник может перенести целевые данные в другое место. ^[3]

Кроме того, существуют более сложные формы утечки данных. Различные методы могут использоваться для сокрытия обнаружения сетевой защитой. Например, Cross Site Scripting (XSS) может использоваться для эксплуатации уязвимостей в веб-приложениях, чтобы предоставить злоумышленнику конфиденциальные данные. Временной канал также может использоваться для отправки данных несколькими пакетами за раз с указанными интервалами таким образом, что сетевой защите еще сложнее обнаружить и предотвратить это. ^[4]

• 
  Основные методы эксфильтрации данных

Профилактические меры

Можно сделать ряд вещей, чтобы защитить сеть от утечки данных. Три основные категории превентивных мер могут быть наиболее эффективными:

• Профилактический ^[4]
• Детектив ^[4]
• Расследовательный ^[4]

Одним из примеров мер по обнаружению является внедрение систем обнаружения и предотвращения вторжений и регулярный мониторинг сетевых служб для обеспечения того, чтобы в любой момент времени работали только известные приемлемые службы. ^[3] Если запущены подозрительные сетевые службы, немедленно проведите расследование и примите соответствующие меры. Превентивные меры включают внедрение и поддержание контроля доступа, методов обмана и шифрования данных в процессе обработки, передачи и хранения. Следственные меры включают различные действия по судебной экспертизе и операции по борьбе с разведкой. ^[4]

Ссылки

1. Ковач, Эдуард (30 мая 2016 г.). «Исследователи разработали «идеальный» метод эксфильтрации данных». Security Week . Получено 1 июля 2018 г. .
2. Ларсон, Селена (20 декабря 2017 г.). «Взломы, которые оставили нас незащищенными в 2017 году». CNN . Получено 1 июля 2018 г. .
3. Percoco, Nicholas (12 марта 2010 г.). «Data Exfiltration: How Data Gets Out». Computerworld . Получено 1 июля 2018 г. .
4. Улла, Фахим (2017). «Эксфильтрация данных: обзор внешних векторов атак и контрмер». Журнал сетевых и компьютерных приложений .

Внешние источники

• http://www.ists.dartmouth.edu/library/293.pdf
• https://www.scmagazine.com/data-excultural-defense/article/536744/
• Блоги, новости и отчеты об утечке данных