Exfiltração de dados—também conhecida como extrusão de dados ou exportação de dados—é o roubo de dados: a transferência intencional, não autorizada e oculta de dados de um computador ou outro dispositivo. A exfiltração de dados pode ser realizada manualmente ou automatizada usando malware.
Para alvos que variam de usuários comuns a grandes empresas e agências governamentais, os ataques de exfiltração de dados se classificam entre as ameaças de segurança cibernética mais destrutivas e prejudiciais. Prevenir a exfiltração de dados e proteger os dados da empresa são cruciais por vários motivos:
Manutenção da continuidade dos negócios: a exfiltração de dados pode interromper operações, prejudicar a confiança dos clientes e causar perdas financeiras.
Cumprimento das regulamentações: muitos setores têm regulamentações específicas de privacidade e proteção de dados. A exfiltração de dados frequentemente resulta de, ou expõe, uma falha no cumprimento dessas regulamentações e pode causar penalidades severas e danos reputacionais duradouros.
Proteger a propriedade intelectual: a exfiltração de dados pode comprometer segredos comerciais, pesquisa e desenvolvimento e outras informações proprietárias essenciais para a lucratividade e vantagem competitiva de uma organização.
Para os cibercriminosos, dados sensíveis são alvos extremamente valiosos. Dados de clientes roubados, informação de identificação pessoal, números de seguridade social ou qualquer outro tipo de informação confidencial podem ser vendidos no mercado negro. Os dados roubados também podem ser usados para executar novos ataques cibernéticos ou serem mantidos como reféns em troca de taxas exorbitantes como parte de um ataque de ransomware.
Obtenha insights para se preparar e responder a ciberataques com maior velocidade e eficácia com o IBM Security X-Force Threat Intelligence Index.
Cadastre-se para obter o relatório do custo das violações de dados
Embora frequentemente usados de forma intercambiável, vazamento de dados, violação de dados e exfiltração de dados são conceitos diferentes, embora relacionados.
O vazamento de dados é a exposição acidental de dados confidenciais. O vazamento de dados pode resultar de uma vulnerabilidade técnica de segurança ou de um erro de segurança processual.
Uma violação de dados é qualquer incidente de segurança que resulte em acesso não autorizado a informações confidenciais ou sigilosas. Alguém que não deveria ter acesso a dados confidenciais obtém acesso a dados confidenciais.
A exfiltração de dados é o ato discreto de roubar dados. Toda exfiltração de dados requer um vazamento ou violação de dados, mas nem todo vazamento ou violação de dados leva à exfiltração de dados. Por exemplo, um agente malicioso pode escolher, em vez disso, criptografar os dados como parte de um ataque de ransomware ou usá-los para sequestrar a conta de e-mail de um executivo. Não é exfiltração de dados até que os dados sejam copiados ou movidos para algum outro dispositivo de armazenamento sob o controle do atacante.
A distinção é importante. Uma pesquisa no Google por "custos de exfiltração de dados" geralmente mostra informações gerais sobre os custos de violações de dados, mas não muito sobre os custos de exfiltração de dados. Esses custos geralmente incluem pagamentos de resgate substanciais para evitar a venda ou liberação de dados exfiltrados e novos resgates para evitar possíveis ataques subsequentes.
Normalmente, a exfiltração de dados é causada por:
Um atacante externo — um hacker, criminoso cibernético, adversário estrangeiro ou outro ator malicioso.
Agente interno descuidado: um funcionário, parceiro de negócios ou outro usuário autorizado que expõe inadvertidamente os dados por erro humano, mau julgamento (por exemplo, cair em um golpe de phishing) ou ignorância dos controles de segurança, políticas e melhores práticas. Por exemplo, um usuário transferindo dados sensíveis para um pen drive, disco rígido portátil ou outro dispositivo não seguro representa uma ameaça.
Em casos mais raros, a causa é uma ameaça maliciosa interna, um mau ator com acesso autorizado à rede, como um funcionário insatisfeito.
Atacantes externos e pessoas internas mal-intencionadas exploram pessoas internas descuidadas ou mal treinadas e vulnerabilidades técnicas de segurança para acessar e roubar dados confidenciais.
Os ataques de engenharia social exploram a psicologia humana para manipular ou enganar um indivíduo para comprometer a segurança do próprio indivíduo ou da organização.
O tipo mais comum de ataque de engenharia social é o phishing, que utiliza e-mails, mensagens de texto ou de voz que se passam por um remetente confiável e convencem os usuários a realizar as seguintes ações:
- Baixar malware (como ransomware)
- Clicar em links para sites maliciosos
- Fornecer informações pessoais (por exemplo, credenciais de login)
- Entregar diretamente os dados que o atacante deseja exfiltrar
Ataques de phishing: podem variar desde mensagens de phishing em massa, que parecem vir de marcas ou organizações confiáveis, até ataques altamente personalizados de spear phishing, whale phishing e comprometimento do e-mail corporativo (BEC). Os ataques BEC visam indivíduos específicos com mensagens que parecem vir de colegas próximos ou figuras de autoridade.
Mas a engenharia social pode ser muito menos técnica. Uma técnica de engenharia social, chamada baiting, é tão simples quanto deixar um pen drive infectado com malware onde um usuário o encontrará. Outra técnica, chamada tailgaiting, é simplesmente seguir um usuário autorizado até uma sala ou um local físico onde os dados são armazenados.
A exploração de vulnerabilidade aproveita uma falha ou abertura de segurança no hardware, software ou firmware de um sistema ou dispositivo. Vulnerabilidades de dia zero aproveitam as falhas de segurança que os hackers descobrem antes que os fornecedores de software ou dispositivos saibam sobre elas ou possam corrigi-las. A tunelamento de DNS usa solicitações de serviço de nome de domínio (DNS) para evadir defesas de firewall e criar um túnel virtual para exfiltrar informações sensíveis.
Para indivíduos, os dados roubados por meio de exfiltração podem resultar em consequências custosas, como roubo de identidade, fraude com cartão de crédito ou banco e chantagem ou extorsão. Para organizações—particularmente aquelas em setores altamente regulamentados, como saúde e finanças—as consequências são mais custosas em várias ordens de magnitude. As seguintes consequências são exemplos do que pode ocorrer:
Operações interrompidas resultantes da perda de dados críticos para os negócios
Perda de confiança ou negócios dos clientes
Segredos comerciais comprometidos, como desenvolvimentos/invenções de produtos, códigos de aplicação exclusivos ou processos de fabricação
Multas regulatórias severas, taxas e outras sanções para organizações que são obrigadas por lei a aderir a protocolos e precauções rigorosos de proteção de dados e privacidade ao lidar com dados sensíveis dos clientes.
Ataques subsequentes que são possibilitados pelos dados exfiltrados.
Relatórios ou estudos sobre os custos diretamente atribuíveis à exfiltração de dados são difíceis de encontrar, mas os incidentes de exfiltração de dados estão aumentando rapidamente. Hoje, a maioria dos ataques de ransomware são ataques de dupla extorsão—o cibercriminoso criptografa os dados da vítima e os exfiltra. Em seguida, o cibercriminoso exige um resgate para desbloquear os dados (para que a vítima possa retomar as operações comerciais) e resgates subsequentes para evitar a venda ou liberação dos dados para terceiros.
Em 2020, cibercriminosos exfiltraram centenas de milhões de registros de clientes da Microsoft e do Facebook. Em 2022, o grupo de hackers Lapsus$ exfiltrou um terabyte de dados sensíveis do fabricante de chips Nvidia e vazou o código-fonte da tecnologia de aprendizado profundo da empresa. Se os hackers seguem o dinheiro, o dinheiro na exfiltração de dados deve ser bom e está melhorando.
As organizações usam uma combinação de melhores práticas e soluções de segurança para evitar a exfiltração de dados.
Treinamento de conscientização sobre segurança. Como o phishing é um vetor de ataque de exfiltração de dados tão comum, treinar os usuários para reconhecer golpes de phishing pode ajudar a bloquear as tentativas de exfiltração de dados dos hackers. Instruir os usuários sobre as melhores práticas para trabalho remoto, higiene de senhas, uso de dispositivos pessoais no trabalho e manuseio/transferência/armazenamento de dados da empresa pode ajudar as organizações a reduzir seu risco de exfiltração de dados.
Gerenciamento de acesso e identidade (IAM). Os sistemas IAM permitem que as empresas atribuam e gerenciem uma única identidade digital e um único conjunto de privilégios de acesso para cada usuário na rede. Esses sistemas simplificam o acesso para usuários autorizados enquanto mantêm usuários não autorizados e hackers fora. O IAM pode combinar as seguintes tecnologias:
Autenticação multifator—exigindo uma ou mais credenciais de login além de um nome de usuário e senha.
Controle de acesso baseado em função (RBAC)—fornecendo permissões de acesso com base na função do usuário na organização.
Autenticação adaptativa—exigindo que os usuários se reautentiquem quando o contexto mudar (por exemplo, se mudarem de dispositivo ou tentarem acessar aplicações ou dados particularmente sensíveis).
Logon único—permitindo que os usuários façam login uma vez usando um único conjunto de credenciais de login, e acessem vários serviços relacionados locais ou na nuvem durante essa sessão sem precisar fazer login novamente.
Data loss prevention (DLP). As soluções de DLP monitoram e inspecionam dados sensíveis em qualquer estado—em repouso (armazenados), em movimento (através da rede) e em uso (sendo processados)—em busca de sinais de exfiltração, e bloqueiam a exfiltração conforme necessário. Por exemplo, a tecnologia DLP pode impedir que dados sejam copiados para um serviço de armazenamento em nuvem não autorizado, ou de serem processados por uma aplicação não autorizada (por exemplo, um aplicativo que um usuário baixa da web).
Tecnologias de detecção e resposta a ameaças. Uma classe crescente de tecnologias de cibersegurança monitora e analisa continuamente o tráfego da rede corporativa e a atividade dos usuários. Essas tecnologias ajudam equipes de segurança sobrecarregadas a detectar ameaças cibernéticas em tempo real ou quase em tempo real e responder com intervenção manual mínima. Essas tecnologias incluem:
Implementadas localmente ou em uma nuvem híbrida, as soluções de segurança de dados da IBM ajudam você a investigar e remediar ameaças cibernéticas, aplicar controles em tempo real e gerenciar a conformidade regulatória.
A caça a ameaças proativa, o monitoramento contínuo e uma investigação aprofundada das ameaças são apenas algumas das prioridades enfrentadas por um departamento de TI já ocupado. Uma equipe de resposta a incidentes confiável em prontidão pode reduzir seu tempo de resposta, minimizar o impacto de um ataque cibernético e ajudar você a se recuperar mais rapidamente.
Proteja proativamente os sistemas de armazenamento primário e secundário da sua organização contra ransomware, erro humano, desastres naturais, sabotagem, falhas de hardware e outros riscos de perda de dados.
Ransomware é uma forma de malware que ameaça destruir ou reter os dados ou arquivos da vítima, a menos que um resgate seja pago ao invasor para descriptografar e restaurar o acesso aos dados.
Agora, em seu 17º ano, este relatório compartilha os últimos insights sobre o cenário de ameaças em expansão e oferece recomendações para economizar tempo e limitar perdas.
CISOs, equipes de segurança e líderes de negócios: encontrem insights acionáveis para saber como os agentes de ameaças estão enfrentando ataques e como proteger sua organização de forma proativa.