L'esfiltrazione dei dati, nota anche come estrusione o esportazione dei dati, è un furto di dati: il trasferimento intenzionale, non autorizzato e occulto di dati da un computer o altro dispositivo. L'esfiltrazione dei dati può essere condotta manualmente o automatizzata utilizzando malware.
Per obiettivi che vanno dagli utenti medi alle grandi aziende e alle agenzie governative, gli attacchi di esfiltrazione di dati si collocano tra le minacce alla sicurezza informatica più distruttive e dannose. Prevenire l’esfiltrazione dei dati e proteggere i dati aziendali sono cruciali per diversi motivi:
Mantenimento della continuità aziendale: l'esfiltrazione dei dati può interrompere le operazioni, danneggiare la fiducia dei clienti e portare a perdite finanziarie.
Conformità normativa: molti settori hanno normative specifiche in materia di privacy e protezione dei dati. L’esfiltrazione dei dati spesso deriva o rivela il mancato rispetto di tali normative e può comportare sanzioni severe e danni reputazionali duraturi.
Protezione della proprietà intellettuale: l'esfiltrazione dei dati può compromettere i segreti commerciali, la ricerca e lo sviluppo e altre informazioni proprietarie essenziali per la redditività e il vantaggio competitivo di un'organizzazione.
Per i criminali informatici, i dati sensibili sono diventati un obiettivo estremamente prezioso. I dati dei clienti rubati, le informazioni di identificazione personale (PII), i numeri di previdenza sociale o qualsiasi altro tipo di informazione riservata potrebbero essere venduti sul mercato nero, utilizzati per eseguire ulteriori attacchi informatici o tenuti in ostaggio in cambio di tariffe esorbitanti come parte di un attacco ransomware .
Sebbene spesso utilizzati in modo intercambiabile, la fuga di dati, la violazione dei dati e l'esfiltrazione dei dati sono concetti diversi, seppur correlati.
La perdita di dati è l'esposizione accidentale di dati sensibili. La perdita di dati può derivare da una vulnerabilità di sicurezza tecnica o da un errore di sicurezza procedurale.
Una violazione dei dati è un qualsiasi incidente di sicurezza che comporta l'accesso non autorizzato a informazioni riservate o sensibili. Qualcuno che non dovrebbe avere accesso a dati sensibili, riesce ad accedere.
L'esfiltrazione dei dati è l'atto discreto di rubare i dati. Tutte le esfiltrazioni di dati richiedono una fuga o una violazione dei dati, ma non tutte le fughe o le violazioni dei dati portano all'esfiltrazione dei dati: un attore della minaccia potrebbe invece scegliere di criptare i dati come parte di un attacco ransomware o di utilizzarli per dirottare l'account e-mail di un dirigente. Non si tratta di esfiltrazione di dati finché i dati non vengono copiati o spostati su un altro dispositivo di archiviazione sotto il controllo dell'autore dell'attacco.
Questa distinzione è importante. Se si cerca su Google "costi di esfiltrazione dei dati", troverai molte informazioni sui costi delle violazioni dei dati. Questo è dovuto principalmente al fatto che esistono pochi dati sui costi direttamente attribuibili all'esfiltrazione dei dati.Tuttavia, molti calcoli sui costi delle violazioni di dati non includono i costi legati specificamente all'esfiltrazione, come il costo spesso considerevole del pagamento di riscatti per impedire la vendita o il rilascio dei dati esfiltrati, o il costo dei successivi attacchi consentiti dai dati esfiltrati.
Nella maggior parte dei casi, l'esfiltrazione dei dati è causata da:
un aggressore esterno, che può essere un hacker, un criminale informatico, un intruso o un altro soggetto malintenzionato.
una minaccia interna negligente: un dipendente, un partner commerciale o un altro utente autorizzato che espone inavvertitamente i dati a causa di un errore umano, scarsa capacità di giudizio (ad es. cadendo in una truffa di phishing) o dell'ignoranza dei controlli di sicurezza, delle politiche e delle best practice (ad es. trasferendo dati sensibili a una chiavetta USB, un disco rigido portatile o un altro dispositivo non sicuro).
In casi più rari, la causa è una minaccia malevola interna, ovvero un malintenzionato con accesso autorizzato alla rete, come un dipendente scontento.
Gli autori esterni dell'attacco e gli insider malevoli sfruttano interni imprudenti o scarsamente addestrati, nonché vulnerabilità tecniche della sicurezza, per accedere e rubare dati sensibili.
Gli attacchi di ingegneria sociale sfruttano la psicologia umana per manipolare o indurre un individuo a intraprendere azioni che compromettono la propria sicurezza o la sicurezza della propria organizzazione.
Il tipo più comune di attacco di ingegneria sociale è il phishing, l'uso di e-mail, SMS o messaggi vocali che impersonano un mittente attendibile e convincono gli utenti a scaricare malware (come ransomware), fare clic su link di siti web dannosi, fornire informazioni personali (ad es. credenziali di accesso) o, in alcuni casi, fornire direttamente i dati che l'autore dell'attacco desidera esfiltrare.
Gli attacchi di phishing possono variare da messaggi impersonali di phishing in massa che sembrano provenire da marchi o organizzazioni affidabili, ad attacchi altamente personalizzati di spear phishing, whale phishing e BEC (Compromissione dell'e-mail aziendale) che prendono di mira individui specifici con messaggi che sembrano provenire da colleghi stretti o da figure autorevoli.
Tuttavia, l’ingegneria sociale può essere molto meno tecnica. Una tecnica di ingegneria sociale, chiamata "baiting", consiste semplicemente nel lasciare da qualche parte una chiavetta USB infetta da malware che un utente utilizzerà inconsapevolmente. Un'altra tecnica, chiamata "tailgaiting", non è più complessa che seguire un utente autorizzato in una stanza fisica in cui vengono archiviati i dati.
Un exploit di vulnerabilità sfrutta un errore di sicurezza o un'apertura nell'hardware, nel software o nel firmware di un sistema o di un dispositivo. Gli exploit zero-day sfruttano gli errori di sicurezza che gli hacker scoprono prima che i fornitori di software o dispositivi ne vengano a conoscenza o siano in grado di risolverli. DNS tunneling utilizza le richieste DNS (servizi nome dominio) per evadere le difese firewall e creare un tunnel virtuale per escludere le informazioni sensibili.
Per le persone, i dati rubati tramite l’esfiltrazione possono comportare conseguenze costose come il furto di identità, frodi su carte di credito o banche, ricatti o estorsioni. Per le organizzazioni, in particolare per quelle che operano in settori altamente regolamentati come quello sanitario e finanziario, le conseguenze sono più costose in ordini di grandezza. Eccone alcune:
Interruzioni delle operazioni dovute alla perdita di dati aziendali critici;
Perdita della fiducia dei clienti o di opportunità commerciali;
Compromissione di preziosi segreti commerciali, come sviluppi/invenzioni di prodotti, codici applicativi univoci o processi di produzione;
Multe, commissioni e altre sanzioni normative severe per le organizzazioni obbligate dalla legge ad aderire a rigorosi protocolli e precauzioni sulla protezione dei dati e sulla privacy quando trattano i dati sensibili dei clienti;
Attacchi successivi resi possibili dai dati esfiltrati.
È difficile trovare report o studi sui costi attribuibili direttamente all'esfiltrazione dei dati, ma nonostante ciò la sua incidenza è in rapido aumento. Oggi la maggior parte degli attacchi ransomware sono attacchi a doppia estorsione: il criminale informatico crittografa i dati della vittima e li esfiltra, quindi richiede un riscatto per sbloccare i dati (in modo che la vittima possa riprendere le operazioni commerciali) e un successivo riscatto per impedire la vendita o il rilascio dei dati a terzi.
Nel 2020, i criminali informatici hanno esfiltrato centinaia di milioni di record cliente solo da Microsoft e Facebook. Nel 2022, il gruppo di hacker Lapsus$ ha esfiltrato 1 terabyte di dati sensibili dal chipmaker Nvidia e ha fatto trapelare il codice sorgente per la tecnologia di apprendimento profondo dell'azienda. Se gli hacker seguono il denaro, allora il denaro che deriva dall’esfiltrazione dei dati deve essere molto e in aumento.
Le organizzazioni utilizzano una combinazione di best practice e soluzioni di sicurezza per prevenire l'esfiltrazione dei dati.
Formazione sulla sensibilizzazione alla sicurezza. Poiché il phishing è un vettore di attacco di esfiltrazione di dati molto comune, addestrare gli utenti a riconoscere le truffe di phishing può aiutare a bloccare i tentativi di esfiltrazione di dati da parte degli hacker. Insegnare agli utenti le migliori pratiche per il lavoro da remoto, l'igiene delle password, l’uso dei dispositivi personali al lavoro e la gestione/trasferimento/archiviazione dei dati aziendali può aiutare le organizzazioni a ridurre il rischio di esfiltrazione dei dati.
Gestione identità e accessi (IAM). I sistemi IAM consentono alle aziende di assegnare e gestire un'unica identità digitale e un unico set di privilegi di accesso per ciascun utente della rete, in modo da semplificare l'accesso agli utenti autorizzati e tenere fuori gli utenti non autorizzati, compresi gli hacker. IAM può combinare tecnologie come:
Autenticazione a più fattori: richiede una o più credenziali di accesso oltre a nome utente e password
Controllo degli accessi basato sui ruoli (RBAC): autorizzazioni di accesso basate sul ruolo dell'utente nell'organizzazione
Autenticazione adattiva: richiede agli utenti di eseguire nuovamente l'autenticazione quando il contesto cambia (ad es. se si cambia dispositivo o si tenta di accedere ad applicazioni o dati particolarmente sensibili)
Single Sign-On: uno schema di autenticazione che consente agli utenti di accedere a una sessione una sola volta utilizzando un singolo set di credenziali di accesso e di accedere a più servizi locali o cloud correlati durante la sessione senza eseguire nuovamente l'accesso.
Prevenzione della perdita di dati (DLP). Le soluzioni DLP monitorano e ispezionano i dati sensibili in qualsiasi stato, a riposo (in fase di archiviazione), in movimento (attraverso la rete) e in uso (in fase di elaborazione), alla ricerca di segni di esfiltrazione e bloccano l'esfiltrazione se tali segni vengono rilevati. Ad esempio, la tecnologia DLP può impedire che i dati vengano copiati su un servizio di archiviazione cloud non autorizzato o elaborati da un'applicazione non autorizzata (ad es. un'app che un utente scarica dal web).
Tecnologie di rilevamento delle minacce e di risposta. Una classe crescente di tecnologie di sicurezza informatica monitora e analizza continuamente il traffico di rete aziendale e l'attività degli utenti e aiuta i team di sicurezza sovraccarichi a rilevare le minacce informatiche in tempo reale o quasi reale e a rispondere con un intervento manuale minimo. Queste tecnologie includono sistemi di rilevamento delle intrusioni (IDS), sistemi di prevenzione delle intrusioni (IPS), software di gestione delle informazioni e degli eventi di sicurezza (SIEM) e di orchestrazione, automazione e risposta della sicurezza (SOAR), nonché soluzioni di rilevamento e risposta degli endpoint (EDR) e di rilevamento e risposta estesa (XDR).
Outsmart attacca con una suite di sicurezza connessa e modernizzata. Il portfolio QRadar è dotato di AI di grado aziendale e offre prodotti integrati per la sicurezza degli endpoint, la gestione dei log, il SIEM e il SOAR, il tutto con un'interfaccia utente comune, insight condivisi e flussi di lavoro connessi.
Implementate on-premises o in un cloud ibrido, le soluzioni IBM per la sicurezza dei dati aiutano a acquisire maggiore visibilità e insight per indagare e porre rimedio alle minacce informatiche, applicare controlli in tempo reale e gestire la conformità normativa.
L'individuazione proattiva, il monitoraggio continuo e un'analisi approfondita delle minacce sono solo alcune delle priorità che un reparto IT già molto impegnato deve affrontare. Disporre di un team di risposta agli incidenti affidabile e pronto a intervenire può ridurre i tempi di risposta, minimizzare l'impatto di un attacco informatico e aiutarti a recuperare con maggior rapidità.
Il ransomware è una forma di malware che minaccia di distruggere o trattenere i dati o i file della vittima a meno che non venga pagato un riscatto all'aggressore per decodificare e ripristinare l'accesso ai dati.
Giunto alla sua 17a edizione, questo report condivide le ultime informazioni sul dilagante panorama delle minacce e offre consigli per risparmiare tempo e limitare le perdite.
CISO, team di sicurezza e leader aziendali: scopri come gli attori delle minacce conducono gli attacchi e come proteggere in modo proattivo la tua organizzazione.