L'esfiltrazione dei dati, nota anche come estrusione o esportazione dei dati, consiste nel furto di dati: il trasferimento intenzionale, non autorizzato e occulto di dati da un computer o altro dispositivo. L'esfiltrazione dei dati può essere condotta manualmente o automatizzata tramite malware.
Per obiettivi che vanno dagli utenti medi alle grandi aziende e alle agenzie governative, gli attacchi di esfiltrazione di dati si collocano tra le minacce alla sicurezza informatica più distruttive e dannose. Prevenire l’esfiltrazione dei dati e proteggere i dati aziendali sono cruciali per diversi motivi:
Mantenimento della continuità aziendale: l'esfiltrazione dei dati può interrompere delle operazioni, compromettere la fiducia dei clienti e causare perdite finanziarie.
Conformità alle normative: numerosi settori presentano normative specifiche in materia di protezione e privacy dei dati. L'esfiltrazione dei dati spesso deriva o rivela il mancato rispetto di tali normative e può portare a severe sanzioni nonché a danni alla reputazione duraturi.
Protezione della proprietà intellettuale: l'esfiltrazione dei dati può compromettere i segreti commerciali, la ricerca e lo sviluppo e altre informazioni proprietarie essenziali per la redditività e il vantaggio competitivo di un'organizzazione.
Per i criminali informatici, i dati sensibili sono un obiettivo estremamente prezioso. I dati dei clienti rubati, le informazioni di identificazione personale (PII), i numeri di previdenza sociale o qualsiasi altro tipo di informazione riservata potrebbero essere venduti sul mercato nero. I dati rubati possono essere utilizzati anche per sferrare ulteriori attacchi informatici o essere ostaggio in cambio di somme esorbitanti nell'ambito di un attacco ransomware.
Ottieni gli insight necessari per prevenire e reagire agli attacchi informatici con maggiore rapidità ed efficacia con IBM Security X-Force Threat Intelligence Index.
Registrati per il report Cost of a Data Breach
Sebbene spesso utilizzati in modo intercambiabile, la fuga di dati, la violazione dei dati e l'esfiltrazione dei dati sono concetti diversi, seppur correlati.
La perdita di dati è l'esposizione accidentale di dati sensibili. La perdita di dati può derivare da una vulnerabilità di sicurezza tecnica o da un errore di sicurezza procedurale.
Una violazione dei dati è un qualsiasi incidente di sicurezza che comporta l'accesso non autorizzato a informazioni riservate o sensibili. Qualcuno che non dovrebbe avere accesso a dati sensibili, riesce ad accedere.
L'esfiltrazione dei dati è l'atto discreto di rubare i dati. Tutte le fughe di dati richiedono una fuga o una violazione dei dati, ma non tutte le fughe o le violazioni dei dati portano all'esfiltrazione dei dati. Ad esempio, un aggressore può scegliere invece di crittografare i dati come parte di un attacco ransomware o utilizzarli per dirottare l'account e-mail di un dirigente. Non si tratta di esfiltrazione dei dati finché i dati non vengono copiati o spostati su un altro dispositivo di archiviazione sotto il controllo dell'autore dell'attacco.
La distinzione è però importante. Una ricerca su Google per "costi di esfiltrazione dei dati" in genere mostra le informazioni generali sui costi delle violazioni dei dati, ma non dice molto sui costi dell'esfiltrazione dei dati. Questi includono spesso il pagamenti ingenti di riscatti per impedire la vendita o il rilascio di dati esfiltrati e il pagamento di ulteriori riscatti per prevenire possibili attacchi successivi.
Di solito, l'esfiltrazione dei dati è causata da
un aggressore esterno, che può essere un hacker, un criminale informatico, un intruso o un altro soggetto malintenzionato.
Una minaccia interna dovuta a negligenza: un dipendente, un business partner o un altro utente autorizzato che espone inavvertitamente i dati attraverso l'errore umano, scarsa capacità di giudizio (ad esempio, cadendo in una truffa di phishing) o mancata conoscenza dei controlli di sicurezza, delle politiche e delle best practice. Ad esempio, un utente che trasferisce dati sensibili su un'unità flash USB, su un disco rigido portatile o un altro dispositivo non protetto rappresenta una minaccia.
In casi più rari, la causa è una minaccia malevola interna, ovvero un malintenzionato con accesso autorizzato alla rete, come un dipendente scontento.
Gli aggressori esterni e gli insider malevoli sfruttano insider imprudenti o scarsamente addestrati e vulnerabilità tecniche della sicurezza per accedere e rubare dati sensibili.
Gli attacchi di ingegneria sociale sfruttano la psicologia umana per manipolare o indurre un individuo a compromettere la sicurezza personale o quella della propria organizzazione.
Il tipo più comune di attacco di ingegneria sociale è il phishing, l'uso di e-mail, messaggi di testo o vocali che impersonano un mittente attendibile e convincono gli utenti a eseguire una delle seguenti azioni:
- Scaricare malware (come il ransomware)
- Fare clic su collegamenti a siti Web dannosi
- Fornire informazioni personali (ad esempio le credenziali di accesso)
- Consegnare direttamente i dati che l'aggressore vuole esfiltrare
Gli attacchi di phishing possono variare da quelli impersonali di phishing in blocco che sembrano provenire da marchi o organizzazioni attendibili ad attacchi altamente personalizzati di spear phishing, whale phishing e business email compromise (BEC). Gli attacchi BEC mirano a individui specifici con messaggi che sembrano provenire da colleghi stretti o figure di autorità.
Tuttavia, l'ingegneria sociale può essere molto meno tecnica. Una tecnica di ingegneria sociale, chiamata "baiting", consiste semplicemente nel lasciare da qualche parte una chiavetta USB infetta da malware che un utente poi utilizzerà inconsapevolmente. Un'altra tecnica, chiamata tailgaiting, consiste semplicemente nel seguire un utente autorizzato all'interno di una stanza o di un luogo fisico in cui sono memorizzati i dati.
Un exploit di vulnerabilità utilizza al meglio una falla nella sicurezza o un'apertura a livello hardware, software o firmware di un sistema o dispositivo. Gli exploit zero-day utilizzano al meglio le falle nella sicurezza che gli hacker scoprono prima che i fornitori di software o dispositivi ne vengano a conoscenza o siano in grado di risolverle. Il tunneling DNS utilizza le richieste DNS (Domain Name Service, servizio dei nomi di dominio) per evadere le difese firewall e creare un tunnel virtuale per esfiltrare le informazioni sensibili.
Per quanto riguarda i privati, i dati rubati tramite esfiltrazione possono comportare conseguenze gravi come il furto di identità, le frodi su carte di credito o bancarie, ricatti o estorsioni. Per quanto riguarda le organizzazioni, in particolare quelle che operano in settori altamente regolamentati come quello sanitario e finanziario, le conseguenze sono un po' più gravi. Le conseguenze riportate di seguito sono esempi di quello che può accadere:
Interruzioni delle operazioni dovute alla perdita di dati aziendali critici
Perdita della fiducia dei clienti o di opportunità commerciali
Segreti commerciali compromessi, come sviluppi/invenzioni di prodotti, codici applicativi univoci o processi di produzione
Multe, commissioni e altre sanzioni normative rigorose per le organizzazioni obbligate per legge ad aderire a rigorosi protocolli e precauzioni in materia di protezione dei dati e sulla privacy quando trattano i dati sensibili dei clienti
Attacchi successivi resi possibili dai dati esfiltrati
Report o studi sui costi attribuibili direttamente all'esfiltrazione dei dati sono difficili da trovare, ma gli incidenti di esfiltrazione di dati stanno aumentando rapidamente. Ad oggi, la maggior parte degli attacchi ransomware sono attacchi a doppia estorsione: il criminale informatico cripta i dati della vittima e li esfiltra. Successivamente, il criminale informatico chiede un riscatto per sbloccare i dati (in modo che la vittima possa riprendere le operazioni commerciali) per poi chiedere un riscatto per impedire la vendita o il rilascio dei dati a terze parti.
Nel 2020, i criminali informatici hanno esfiltrato centinaia di milioni di record di clienti solo da Microsoft e Facebook. Nel 2022, il gruppo di hacker Lapsus$ ha esfiltrato un terabyte di dati sensibili dal chipmaker Nvidia e ha fatto trapelare il codice sorgente per la tecnologia di deep learning dell'azienda. Se gli hacker seguono i soldi, allora il denaro che deriva dall'esfiltrazione dei dati deve essere molto e in aumento.
Le organizzazioni utilizzano una combinazione di best practice e soluzioni di sicurezza per prevenire l'esfiltrazione dei dati.
Formazione sulla sensibilizzazione alla sicurezza. Poiché il phishing è un vettore di attacco di esfiltrazione dei dati molto comune, formare gli utenti a riconoscere le truffe di phishing può aiutare a bloccare i tentativi di esfiltrazione dei dati da parte degli hacker. Insegnare agli utenti le best practice per il lavoro da remoto, l'igiene delle password, l'uso dei dispositivi personali al lavoro e la gestione/trasferimento/memorizzazione dei dati aziendali può aiutare le organizzazioni a ridurre il rischio di esfiltrazione dei dati.
Gestione delle identità e degli accessi (IAM). I sistemi di gestione delle identità e degli accessi (IAM) consentono alle aziende di assegnare e gestire un'unica identità digitale e un unico set di privilegi di accesso per ciascun utente sulla rete. Questi sistemi semplificano l'accesso per gli utenti autorizzati tenendo lontani utenti non autorizzati e hacker. I sistemi IAM possono combinare le seguenti tecnologie:
Controllo degli accessi basato sui ruoli (RBAC): fornisce autorizzazioni di accesso basate sul ruolo dell'utente nell'organizzazione.
Autenticazione adattiva: richiede agli utenti di eseguire nuovamente l'autenticazione quando il contesto cambia (ad esempio se si cambia dispositivo o si tenta di accedere ad applicazioni o dati particolarmente sensibili)
Single Sign-On: consente agli utenti di accedere a una sessione una sola volta utilizzando un singolo set di credenziali di accesso e di accedere a più servizi locali o cloud correlati durante la sessione senza eseguire nuovamente l'accesso.
Prevenzione della perdita di dati (DLP). Le soluzioni DLP monitorano e ispezionano i dati sensibili in qualsiasi stato, a riposo (in fase di storage), in movimento (attraverso la rete) e in uso (in fase di elaborazione), alla ricerca di segni di esfiltrazione e bloccano di conseguenza l'esfiltrazione. Ad esempio, la tecnologia DLP può impedire che i dati vengano copiati su un servizio di storage cloud non autorizzato o elaborati da un'applicazione non autorizzata (ad esempio un'app che un utente scarica dal web).
Tecnologie di risposta e rilevamento delle minacce. Una classe crescente di tecnologie di cybersecurity monitora e analizza costantemente il traffico di rete aziendale e l'attività degli utenti. Queste tecnologie aiutano i team addetti alla sicurezza sovraccarichi a rilevare le minacce informatiche in tempo reale o quasi e a rispondere con un intervento manuale minimo. Queste tecnologie includono quanto segue:
Implementate on-premise o in un cloud ibrido, le soluzioni per la sicurezza dei dati di IBM consentono di indagare sulle minacce informatiche e di arginarle, eseguono controlli in tempo reale e gestiscono la conformità normativa.
Il rilevamento delle minacce proattivo, il monitoraggio costante e un'analisi approfondita delle minacce sono solo alcune delle priorità che deve affrontare un reparto IT già impegnato. Un team di risposta agli incidenti affidabile in standby può ridurre i tempi di risposta, ridurre al minimo l'impatto di un attacco informatico e aiutarti a recuperare più velocemente.
Proteggi in modo proattivo i sistemi di storage primari e secondari della tua organizzazione da ransomware, errori umani, disastri naturali, sabotaggi, guasti hardware e altri rischi di perdita di dati.
Il ransomware è una forma di malware che minaccia di distruggere o trattenere i dati o i file della vittima a meno che non venga pagato un riscatto all'aggressore per decodificare e ripristinare l'accesso ai dati.
Giunto alla sua 17esima edizione, questo report condivide gli insight più recenti sul panorama delle minacce in espansione e offre consigli per risparmiare tempo e limitare le perdite.
CISO, team di sicurezza e leader aziendali: scopri come gli attori delle minacce conducono gli attacchi e come proteggere in modo proattivo la tua organizzazione.