A extração de dados (também conhecida como extrusão ou exportação de dados) é um roubo de dados: a transferência intencional, não autorizada e oculta de dados de um computador ou outro dispositivo. A exfiltração de dados pode ser feita manualmente ou automatizada por meio de malware.
Para alvos que variam de usuários comuns a grandes empresas e agências governamentais, os ataques de exfiltração de dados se classificam entre as ameaças de segurança cibernética mais destrutivas e prejudiciais. Prevenir a exfiltração de dados e proteger os dados da empresa são cruciais por vários motivos:
Manutenção da continuidade dos negócios: a exfiltração de dados pode prejudicar as operações, prejudicar a confiança do cliente e causar perdas financeiras.
Conformidade regulatória: muitos setores têm regulamentações específicas sobre privacidade e proteção de dados. A exfiltração de dados geralmente resulta ou expõe uma falha no cumprimento desses regulamentos e pode resultar em penalidades severas e danos duradouros à reputação.
Proteção da propriedade intelectual: a exfiltração de dados pode comprometer segredos comerciais, pesquisa e desenvolvimento e outras informações proprietárias essenciais para a lucratividade e vantagem competitiva de uma organização.
Para criminosos cibernéticos, os dados confidenciais se tornaram um alvo extremamente valioso. Dados roubados de clientes, informações de identificação pessoal (PII), números de previdência social ou qualquer outro tipo de informação confidencial podem ser vendidos no mercado negro, usados para executar mais ataques cibernéticos ou sequestrar dados em troca de taxas exorbitantes como parte de um ataque de ransomware.
Embora muitas vezes usados de forma intercambiável, vazamento de dados, violação de dados e exfiltração de dados são conceitos diferentes, ainda que relacionados.
O vazamento de dados é a exposição acidental de dados confidenciais. O vazamento de dados pode resultar de uma vulnerabilidade técnica de segurança ou de um erro de segurança processual.
Uma violação de dados é qualquer incidente de segurança que resulte em acesso não autorizado a informações confidenciais ou sigilosas. Alguém que não deveria ter acesso a dados confidenciais obtém acesso a dados confidenciais.
Exfiltração de dados é o ato discreto de roubar dados. Toda a exfiltração de dados exige um vazamento de dados ou uma violação de dados, mas nem todos os vazamentos de dados ou violações de dados levam à exfiltração de dados. Um agente de ameaças pode optar por criptografar os dados, como parte de um ataque de ransomware, ou usá-lo para sequestrar a conta de e-mail de um executivo. Não é exfiltração de dados até que os dados sejam copiados ou movidos para outro dispositivo de armazenamento sob o controle do atacante.
Essa distinção é importante. Pesquise no Google por "custos de exfiltração de dados" e você encontrará muitas informações sobre os custos de violações de dados, em grande parte porque há muito poucos dados disponíveis sobre custos diretamente atribuíveis à exfiltração de dados. Mas muitos cálculos de custos de violação de dados não incluem custos relacionados especificamente à exfiltração, como o custo geralmente substancial de pagamentos de resgate para evitar a venda ou liberação de dados exfiltrados, ou o custo de ataques subsequentes possibilitados por dados exfiltrados.
Na maioria dos casos, a exfiltração de dados é causada por
Um atacante externo — um hacker, criminoso cibernético, adversário estrangeiro ou outro ator malicioso.
Uma ameaça interna de alguém descuidado, um funcionário, parceiro de negócios ou outro usuário autorizado que expõe dados inadvertidamente por erro humano, julgamento inadequado (por exemplo, cair em um golpe de phishing) ou ignorância de controles de segurança, políticas e práticas recomendadas (por exemplo, transferir dados confidenciais para um pendrive, disco rígido portátil ou outro dispositivo desprotegido).
Em casos mais raros, a causa é uma ameaça maliciosa interna, um mau ator com acesso autorizado à rede, como um funcionário insatisfeito.
Atacantes externos e pessoas internas mal-intencionadas exploram pessoas internas descuidadas ou mal treinadas, bem como vulnerabilidades técnicas de segurança, para acessar e roubar dados confidenciais.
Os ataques de engenharia social exploram a psicologia humana para manipular ou enganar um indivíduo para tomar ações que comprometam a segurança do próprio indivíduo ou da organização.
O tipo mais comum de ataque de engenharia social é o phishing, o uso de e-mail, texto ou mensagens de voz que se tornam um remetente confiável e convencem os usuários a fazer o download de malware (como ransomware), clicar em links para sites maliciosos, liberar informações pessoais (por exemplo, credenciais de login) ou, em alguns casos, entregar diretamente os dados que o invasor deseja exfiltrar.
Os ataques de phishing podem variar de mensagens impessoais de phishing em massa que parecem vir de marcas ou organizações confiáveis a ataques altamente personalizados de spear phishing, whale phishing e BEC (business email compromise, comprometimento de e-mail comercial ) que visam pessoas específicas com mensagens que parecem vir de colegas próximos ou figuras de autoridade.
Mas a engenharia social pode ser muito menos técnica. Uma técnica de engenharia social, chamada baiting, é tão simples quanto deixar um pen drive infectado por malware onde um usuário vai pegá-lo. Outra técnica, chamada tailgaiting, não é mais complexa do que seguir um usuário autorizado em um local físico da sala onde os dados são armazenados.
Uma exploração de vulnerabilidade tira proveito de uma falha de segurança ou abertura no hardware, software ou firmware de um sistema ou dispositivo. Explorações de dia zero aproveitam as falhas de segurança que os hackers descobrem antes que os fornecedores de software ou dispositivos saibam sobre elas ou possam corrigi-las. A tunelamento de DNS utiliza solicitações de serviço de nome de domínio (DNS) para evitar defesas de firewall e criar um túnel virtual para exfiltrar informações confidenciais.
Para indivíduos, os dados roubados por meio da exfiltração podem resultar em consequências dispendiosas, como roubo de identidade, fraude bancária ou de cartão de crédito e blackmail ou extorsão. Para as organizações, particularmente as organizações de setores altamente regulamentados, como saúde e finanças, as consequências são mais custosas em ordens de magnitude. São elas:
Operações interrompidas resultantes de dados críticos de negócios perdidos;
Perda da confiança ou do negócio dos clientes;
Comprometimento de segredos comerciais valiosos, como desenvolvimentos/invenções de produtos, código de aplicação único ou processos de fabricação;
Multas regulatórias pesadas, taxas e outras sanções para organizações obrigadas por lei a aderir a rígidos protocolos e precauções de proteção de dados e privacidade no tratamento de dados confidenciais de clientes;
Ataques subsequentes possibilitados pelos dados exfiltrados.
É difícil encontrar relatórios ou estudos de custos atribuíveis diretamente à exfiltração de dados, mas a exfiltração de dados de incidência está aumentando rapidamente. Atualmente, a maioria dos ataques de ransomware é formada por ataques de extorsão dupla: o cibercriminoso criptografa os dados da vítima e os exfiltra, depois exige um resgate para desbloquear os dados (para que a vítima possa retomar as operações comerciais) e, posteriormente, exige um pagamento para evitar a venda ou a divulgação dos dados a terceiros.
Em 2020, cibercriminosos exfiltraram centenas de milhões de registros de clientes somente da Microsoft e do Facebook. Em 2022, o grupo de hackers Lapsus$ exfiltrou 1 terabyte de dados confidenciais da fabricante de chips Nvidia e vazou o código-fonte da tecnologia de deep learning da empresa. Se os hackers seguem o dinheiro, o dinheiro da exfiltração de dados deve ser bom e cada vez melhor.
As organizações usam uma combinação de melhores práticas e soluções de segurança para evitar a exfiltração de dados.
Treinamento de conscientização da segurança. Como o phishing é um vetor de ataques de exfiltração de dados tão comum, treinar os usuários para rereconhecerem golpes de phishing pode ajudar a bloquear tentativas de hackers na exfiltração de dados. Ensinar os usuários sobre as melhores práticas para trabalho remoto, higiene de senhas, uso de dispositivos pessoais no trabalho e manuseamento/transferência/armazenamento de dados da empresa pode ajudar as organizações a reduzir o risco de exfiltração de dados.
Gerenciamento de identidade e acesso (IAM). Os sistemas IAM permitem que as empresas atribuam e gerenciem uma única identidade digital e um único conjunto de privilégios de acesso para cada usuário na rede, de uma forma que agilize o acesso para usuários autorizados e, ao mesmo tempo, mantenha usuários não autorizados e hackers fora da rede. O IAM pode combinar tecnologias como
Autenticação multifatores— exigência de uma ou mais credenciais de acesso além de um nome de usuário e senha)
Controle de acesso baseado em função (RBAC)—permissões de acesso baseadas na função do usuário na organização
Autenticação adaptada—exige que os usuários autentiquem novamente quando houver alterações de contexto (por exemplo, se trocarem de dispositivo ou tentarem acessar aplicativos ou dados particularmente sigilosos)
Logon único— um esquema de autenticação que permite aos usuários fazer login em uma sessão uma vez utilizando um único conjunto de credenciais de login e acesso a vários serviços relacionados no local ou na nuvem durante essa sessão sem fazer login novamente.
Data loss prevention (DLP). As soluções de DLP monitoram e inspecionam dados confidenciais em qualquer estado — em repouso (no armazenamento), em movimento (trafegando pela rede) e em uso (em processamento) — para sinais de exfiltração e bloqueio de exfiltração se esses sinais forem detectados. Por exemplo, a tecnologia DLP pode impedir que os dados sejam copiados para um serviço de armazenamento em nuvem não autorizado ou que sejam processados por um aplicativo não autorizado (por exemplo, um aplicativo que um usuário baixa da web).
Tecnologias de detecção e resposta de ameaças. Uma classe cada vez maior de tecnologias de segurança cibernética monitora e analisa constantemente o tráfego da rede corporativa e a atividade do usuário, além de ajudar equipes de segurança sobrecarregadas a detectar ameaças cibernéticas em tempo real ou quase real e responder com intervenção manual mínima. Essas tecnologias incluem sistemas de detecção de intrusão (IDSs) e sistemas de prevenção de intrusão (IPSs), software de gerenciamento de eventos e informações de segurança (SIEM) e organização de segurança, automação e resposta (SOAR) e soluções de detecção e resposta de ponto final (EDR) e detecção e resposta estendidas (XDR).
Supere os ataques com um conjunto de segurança conectado e modernizado. O portfólio do QRadar é incorporado à IA de nível empresarial e oferece produtos integrados para segurança de terminais, gerenciamento de registros, SIEM e SOAR, tudo com uma interface de usuário comum, insights compartilhados e fluxos de trabalho conectados.
Implementada no local ou em nuvem híbrida, as soluções de segurança de dados da IBM ajudam você a obter mais visibilidade e insights para investigar e remediar ameaças cibernéticas, aplicar controles em tempo real e gerenciar a conformidade regulatória.
A busca proativa de ameaças, o monitoramento contínuo e a investigação profunda das ameaças são apenas algumas das prioridades enfrentadas por um departamento de TI já muito ocupado. Ter uma equipe confiável de resposta a incidentes em prontidão pode reduzir o tempo de resposta, minimizar o impacto de um ataque cibernético e ajudá-lo a recuperar-se mais rápido.
Ransomware é uma forma de malware que ameaça destruir ou reter os dados ou arquivos da vítima, a menos que seja pago um resgate ao invasor para descriptografar e restaurar o acesso aos dados.
Agora em seu 17.º ano, esse relatório compartilha os insights mais recentes sobre o cenário de ameaças em expansão e oferece recomendações para economizar tempo e limitar perdas.
CISOs, equipes de segurança e líderes de negócios: encontrem insights acionáveis para entender como os agentes de ameaças estão enfrentando ataques e como proteger proativamente sua organização.