Apa yang dimaksud dengan eksfiltrasi data?

Untuk target mulai dari pengguna biasa hingga bisnis besar dan lembaga pemerintah, serangan eksfiltrasi data termasuk di antara ancaman keamanan siber yang paling merusak dan merusak. Mencegah eksfiltrasi data dan melindungi data perusahaan sangat penting karena beberapa alasan:

• Mempertahankan keberlangsungan bisnis: Eksfiltrasi data dapat mengganggu operasi, merusak kepercayaan pelanggan, dan menyebabkan kerugian finansial.
   

• Mematuhi peraturan: Banyak industri yang memiliki peraturan privasi dan perlindungan data yang spesifik. Eksfiltrasi data sering kali diakibatkan oleh atau mengekspos kegagalan dalam mematuhi peraturan ini dan dapat mengakibatkan hukuman berat dan rusaknya reputasi dalam jangka panjang.
   

• Menjaga kekayaan intelektual: Eksfiltrasi data dapat membahayakan rahasia dagang, penelitian dan pengembangan, dan informasi kepemilikan lainnya yang penting bagi profitabilitas dan keunggulan kompetitif organisasi.

Bagi penjahat siber, data sensitif adalah target yang sangat berharga. Data pelanggan yang dicuri, informasi identifikasi pribadi (PII), nomor jaminan sosial, atau jenis informasi rahasia lainnya dapat dijual di pasar gelap. Data yang dicuri juga dapat digunakan untuk melakukan serangan siber lebih lanjut atau disandera dengan imbalan biaya selangit sebagai bagian dari serangan ransomware .

Meskipun sering digunakan secara bergantian, kebocoran data, pelanggaran data, dan eksfiltrasi data adalah konsep yang berbeda, meskipun terkait.

Kebocoran data adalah pemaparan data sensitif yang tidak disengaja. Kebocoran data dapat diakibatkan oleh kerentanan keamanan teknis atau kesalahan keamanan prosedural.

Pelanggaran data adalah setiap insiden keamanan yang mengakibatkan akses tidak sah ke informasi rahasia atau sensitif. Seseorang yang seharusnya tidak memiliki akses ke data sensitif, mendapatkan akses ke data sensitif.

Eksfiltrasi data adalah tindakan secara diam-diam mencuri data. Semua eksfiltrasi data membutuhkan kebocoran data atau pelanggaran data, tetapi tidak semua kebocoran data atau pelanggaran data menyebabkan eksfiltrasi data. Sebagai contoh, pelaku ancaman dapat memilih untuk mengenkripsi data sebagai bagian dari serangan ransomware atau menggunakannya untuk membajak akun email eksekutif perusahaan. Tindakan ini tidak disebut eksfiltrasi data hingga data disalin atau dipindahkan ke perangkat penyimpanan lain di bawah kendali penyerang.

Pembedaan ini penting. Pencarian Google untuk 'biaya eksfiltrasi data' biasanya menunjukkan informasi umum tentang biaya pelanggaran data tetapi tidak banyak tentang biaya eksfiltrasi data. Ini sering kali mencakup pembayaran tebusan yang substansial untuk mencegah penjualan atau pelepasan data yang dieksfiltrasi dan tebusan lebih lanjut untuk mencegah kemungkinan serangan berikutnya.

Biasanya, eksfiltrasi data disebabkan oleh

• Penyerang dari luar - peretas, penjahat siber, musuh asing, atau aktor jahat lainnya.
   

• Ancaman orang dalam yang ceroboh—karyawan, mitra bisnis, atau pengguna resmi lainnya yang secara tidak sengaja mengekspos data melalui kesalahan manusia, penilaian yang buruk (misalnya, terjerat penipuan phishing) atau ketidaktahuan tentang kontrol keamanan, kebijakan, dan praktik terbaik. Sebagai contoh, pengguna yang mentransfer data sensitif ke USB flash drive, hard disk drive portabel, atau perangkat lain yang tidak aman dapat menimbulkan ancaman.

Dalam kasus yang lebih jarang terjadi, penyebabnya adalah ancaman orang dalam yang berbahaya-aktor jahat yang memiliki akses resmi ke jaringan, seperti karyawan yang tidak puas.

Penyerang dari luar dan orang dalam yang jahat mengeksploitasi orang dalam yang ceroboh atau kurang terlatih serta kerentanan keamanan teknis untuk mengakses dan mencuri data sensitif.

Serangan rekayasa sosial mengeksploitasi psikologi manusia untuk memanipulasi atau menipu seseorang agar membahayakan keamanan mereka sendiri atau keamanan organisasi mereka.

Jenis serangan rekayasa sosial yang paling umum adalah phishing, yaitu penggunaan email, pesan teks atau suara yang menyamar sebagai pengirim tepercaya dan meyakinkan pengguna untuk melakukan salah satu tindakan berikut:

• Mengunduh malware (seperti ransomware)
• Mengeklik tautan ke situs web berbahaya
• Memberikan informasi pribadi (misalnya, kredenSIAL LOGIN)
• Langsung menyerahkan data yang ingin dieksfiltrasi oleh penyerang

Serangan phishing dapat berkisar dari pesan phishing massal impersonal yang tampaknya berasal dari merek atau organisasi tepercaya, hingga serangan phishing tombak, phishing paus , dan serangan kompromi email bisnis (BEC) . Serangan BEC menargetkan individu tertentu dengan pesan yang tampaknya berasal dari rekan dekat atau tokoh otoritas.

Namun, rekayasa sosial bisa jadi tidak terlalu teknis. Salah satu teknik rekayasa sosial, yang disebut baiting, semudah meninggalkan flashdisk yang terinfeksi malware di tempat yang akan diambil oleh pengguna. Teknik lain, yang disebut tailgaiting , hanya mengikuti pengguna yang berwenang ke dalam ruangan atau lokasi fisik tempat data disimpan.

Eksploitasi kerentanan memanfaatkan kelemahan keamanan atau celah pada perangkat keras, perangkat lunak, atau firmware sistem atau perangkat. Eksploitasi zero-day memanfaatkan kelemahan keamanan yang ditemukan oleh peretas sebelum vendor perangkat lunak atau perangkat mengetahuinya atau mampu memperbaikinya. Tunneling DNS menggunakan permintaan layanan nama domain (DNS) untuk menghindari pertahanan firewall dan membuat terowongan virtual untuk mengeksfiltrasi informasi sensitif.

Bagi individu, data yang dicuri melalui eksfiltrasi dapat mengakibatkan konsekuensi mahal seperti pencurian identitas, penipuan kartu kredit atau bank, dan pemerasan. Untuk organisasi—khususnya organisasi dalam industri yang sangat diatur seperti kesehatan dan keuangan—konsekuensinya lebih mahal dari segi biaya. Konsekuensi berikut adalah contoh dari apa yang mungkin terjadi:

• Operasi terganggu akibat hilangnya data penting bisnis;
   

• Kehilangan kepercayaan atau bisnis pelanggan;
   

• Rahasia dagang yang disusupi, seperti pengembangan/penemuan produk, kode aplikasi unik, atau proses manufaktur
   

• Denda, biaya, dan sanksi peraturan yang berat bagi organisasi yang diwajibkan oleh hukum untuk mematuhi protokol perlindungan data dan privasi yang ketat serta tindakan pencegahan saat menangani data sensitif pelanggan
   

• Serangan selanjutnya yang dimungkinkan oleh data yang dieksfiltrasi

Laporan atau studi tentang biaya yang dapat diatribusikan secara langsung pada eksfiltrasi data sulit ditemukan, tetapi insiden eksfiltrasi data meningkat dengan cepat. Saat ini, sebagian besar serangan ransomware merupakan serangan pemerasan ganda—penjahat siber mengenkripsi data korban dan mengeksfiltrasi data tersebut. Selanjutnya, penjahat siber meminta uang tebusan untuk membuka kunci data (agar korban dapat melanjutkan operasi bisnis) dan uang tebusan berikutnya untuk mencegah penjualan atau pelepasan data ke pihak ketiga.

Pada tahun 2020, penjahat siber mencuri ratusan juta data pelanggan dari Microsoft dan Facebook saja. Pada tahun 2022, kelompok peretas Lapsus menyusup ke dalam 1 terabyte data sensitif dari pembuat chip Nvidia, dan membocorkan kode sumber untuk teknologi pembelajaran mendalam perusahaan. Jika peretas mencari uang, maka uang dalam eksfiltrasi data pasti menarik dan makin menarik.

Organisasi menggunakan kombinasi praktik terbaik dan solusi keamanan untuk mencegah eksfiltrasi data.

Pelatihan kesadaran keamanan. Karena phishing merupakan vektor serangan eksfiltrasi data yang umum, melatih pengguna untuk mengenali penipuan phishing dapat membantu memblokir upaya peretas dalam melakukan eksfiltrasi data. Mengajari pengguna tentang praktik terbaik untuk pekerjaan jarak jauh, kebersihan kata sandi, penggunaan perangkat pribadi di tempat kerja, dan penanganan/pemindahan/penyimpanan data perusahaan bisa membantu organisasi mengurangi risiko eksfiltrasi data.

Manajemen identitas dan akses (IAM) Sistem IAM memungkinkan perusahaan untuk menetapkan dan mengelola satu identitas digital dan satu set hak akses untuk setiap pengguna di jaringan. Sistem ini menyederhanakan akses bagi pengguna yang berwenang sekaligus mencegah masuknya pengguna yang tidak sah dan peretas. IAM dapat menggabungkan teknologi berikut:

• Otentikasi multi-faktor— membutuhkan satu atau lebih kredensial log-on selain nama pengguna dan kata sandi)
   

• Kontrol akses berbasis peran (RBAC)—menyediakan izin akses berdasarkan peran pengguna dalam organisasi
   

• Autentikasi adaptif—mengharuskan pengguna untuk mengautentikasi ulang ketika konteks berubah (misalnya mereka berganti perangkat atau mencoba mengakses aplikasi atau data yang sangat sensitif).
   

• Sistem masuk tunggal—memungkinkan pengguna untuk masuk ke sebuah sesi sekali saja dengan menggunakan satu set kredensial masuk, dan mengakses beberapa layanan on premises atau cloud terkait selama sesi tersebut tanpa perlu masuk lagi.

Pencegahan kehilangan data (DLP). Solusi DLP memantau dan memeriksa data sensitif dalam keadaan apa pun—saat istirahat (dalam penyimpanan), bergerak (bergerak melalui jaringan), dan digunakan (sedang diproses)—untuk tanda-tanda eksfiltrasi, dan memblokir eksfiltrasi yang sesuai. Misalnya, teknologi DLP dapat memblokir data agar tidak disalin ke layanan penyimpanan awan yang tidak sah, atau agar tidak diproses oleh aplikasi yang tidak sah (misalnya, aplikasi yang diunduh pengguna dari web).

Teknologi pendeteksian dan respons ancaman. Teknologi keamanan siber yang terus berkembang terus memantau dan menganalisis lalu lintas jaringan perusahaan dan aktivitas pengguna. Teknologi ini membantu tim keamanan yang terbebani untuk mendeteksi ancaman siber secara real-time atau hampir real-time dan merespons dengan intervensi manual minimal. Teknologi ini meliputi yang berikut: 

1. Sistem deteksi intrusi (IDS)
2. Sistem pencegahan intrusi (IPS)
3. Informasi keamanan dan manajemen acara (SIEM)
4. Perangkat lunak orkestrasi keamanan, otomatisasi dan respons (SOAR)
5. Deteksi dan respons endpoint (EDR)
6. Solusi deteksi dan respons yang diperluas (XDR).