lipercubo

Che cos’è una exfiltration

Scritto da

Salvatore

in

Exfiltration è uno di quei termini che è difficile da tradurre letteralmente in italiano: qualcuno ha proposto un improbabile esfiltrare, ma i termini trafugamento o estrazione sembra possano fare al caso nostro lo stesso. In ambito informatico, e di sicurezza informatica nello specifico, la exfiltration consiste in un furto di dati da fonti non autorizzate, ad esempio utilizzando una memoria USB oppure accedendo indebitamente ad una rete riservata. Secondo una definizione precisa quanto lapidaria del NIST (National Institute of Standards and Technology), la exfiltration (che preferiamo mantenere in inglese per lo stesso motivo per cui, ad esempio, scriviamo computer e non computatore) consiste nel trasferimento non autorizzato di informazioni da un sistema.

Come avviene la data exfiltration

La data exfiltration può avvenire attraverso diversi metodi, a seconda delle risorse e delle vulnerabilità del sistema bersaglio. Ecco alcune delle possibili modalità con cui può avvenire.

1. Trasferimento via rete

  • Tecniche utilizzate:
    • Canali nascosti: Mascherare i dati rubati come traffico legittimo (es. all’interno di immagini, file video o pacchetti HTTPS).
    • Command and Control (C&C): I dati vengono inviati a un server remoto controllato dall’attaccante.
    • Protocollo abusato: Uso improprio di protocolli come DNS, FTP o HTTP per trasferire informazioni.

2. Dispositivi fisici

  • Metodi comuni:
    • USB drive: Copiare manualmente i dati su chiavette USB o hard disk portatili.
    • Hardware Keyloggers: Catturare password o dati sensibili tramite dispositivi collegati fisicamente.
    • Mobile device: Fotografie o scansioni di dati da documenti fisici o schermate.

3. Phishing e tecniche di ingegneria sociale

  • Descrizione:
    • Gli attaccanti ingannano gli utenti per ottenere credenziali di accesso o trasferire volontariamente i dati.
    • Può avvenire attraverso e-mail fraudolente o falsi messaggi urgenti che simulano autorità aziendali.

4. Malware

  • Tipologie:
    • Keyloggers: Registrano ogni tasto premuto per carpire credenziali.
    • Trojan: Software che trasmettono file a server remoti.
    • Ransomware: Può includere una componente di esfiltrazione prima della crittografia.

5. Insider Threats

  • Attori interni:
    • Dipendenti infedeli o sottoposti a pressione esterna possono sottrarre dati direttamente.
    • Utilizzo di credenziali autentiche e autorizzazioni per accedere ai file.

6. Esfiltrazione a bassa frequenza

  • Descrizione:
    • Trasferire i dati lentamente per non destare sospetti, ad esempio inviando piccole quantità di informazioni via e-mail o messaggi.

7. Esfiltrazione con tecniche fisiche avanzate

  • Metodi sofisticati:
    • Side-channel attacks: Sottrarre informazioni osservando segnali elettronici, onde sonore o elettromagnetiche prodotte dal dispositivo.
    • Air-gapping exploitation: Estrarre dati da computer isolati tramite tecniche come LED blinking o segnali acustici.

Protezione contro la data exfiltration

Proteggere i dati dalla data exfiltration richiede un approccio globale che combina strumenti tecnici, formazione del personale e politiche aziendali. Molte indicazioni sono state fornite, negli anni, da esperti di sicurezza informatica come Mikko Hyppönen o Kevin Mitnick, mediante corsi aziendali, articoli specialistici e manuali dettagliati sul tema della sicurezza. In genere i furti di dati avvengono sulla base di una combinazione di presupposti, che non sono solo tecnologici e che riguardano eventuali cattive abitudini, bias cognitivi e leve manipolative di vario genere.

In genere non bisognerebbe meravigliarsi del numero di possibilità che vengono offerte ogni giorno, spesso inconsciamente, per consentire la exfiltration nella propria azienda o sul proprio computer, e vale spesso un principio di pragmatismo: possiamo avere installato i più recenti e costosi antivirus, utilizzare firewall avanzati ed avere a disposizione le risorse più preparate, ma spesso basta un semplice pennino USB per estrapolare o copiarsi dati molto riservati da computer con accessi temporaneamente disponibili (esempio classico: un impiegato che lascia il proprio PC incustodito e la sessione rimane aperta per estranei).

Tra le tante tecniche sfruttabili in questo ambito, senza pretesa di esaustività ovviamente, non possiamo non citare almeno le seguenti.

1. Monitoraggio del traffico di rete

  • Analisi del traffico anomalo:
    • Utilizzare strumenti come IDS/IPS (Intrusion Detection/Prevention Systems) per rilevare e bloccare tentativi sospetti.
    • Monitorare connessioni non autorizzate verso server esterni (es. C2 servers).
    • Analizzare l’uso anomalo di protocolli (es. DNS tunneling, HTTPS cifrato verso destinazioni sconosciute).
  • Strumenti suggeriti:
    • Wireshark, Zeek (Bro), Suricata, Snort.

2. Controllo delle autorizzazioni e segmentazione

  • Accesso basato sui privilegi minimi:
    • Limitare l’accesso ai dati sensibili solo agli utenti che ne hanno effettiva necessità.
  • Segmentazione della rete:
    • Isolare le reti che gestiscono dati critici da quelle meno sensibili.
  • Audit regolari:
    • Verificare periodicamente gli accessi e le modifiche ai file.

3. Protezione dei dispositivi

  • Bloccare porte USB e dispositivi esterni:
    • Usare soluzioni di Device Control per impedire l’uso di chiavette USB o hardware non autorizzati.
  • Encryption su dispositivi mobili:
    • Assicurarsi che tutti i dispositivi aziendali siano crittografati.
  • Gestione di dispositivi BYOD:
    • Implementare politiche chiare per i dispositivi personali usati per lavoro.

4. Monitoraggio e prevenzione degli endpoint

  • Endpoint Detection and Response (EDR):
    • Rilevare attività sospette come l’uso di keylogger, trojan o tentativi di trasferire file.
  • Antivirus e antimalware avanzati:
    • Aggiornare regolarmente i software per proteggersi da minacce note.
  • Application whitelisting:
    • Consentire solo l’esecuzione di software approvato.

5. Crittografia dei dati

  • Dati a riposo:
    • Assicurarsi che i dati sensibili siano crittografati sui dispositivi (es. BitLocker, VeraCrypt).
  • Dati in transito:
    • Usare protocolli sicuri (es. HTTPS, TLS, VPN).
  • Data Masking:
    • Offuscare i dati sensibili per ridurre il rischio in caso di furto.

6. DLP (Data Loss Prevention)

  • Implementare soluzioni DLP per:
    • Monitorare l’accesso ai dati e prevenire trasferimenti non autorizzati.
    • Bloccare automaticamente trasferimenti via email, FTP o cloud non autorizzati.
  • Strumenti consigliati: Symantec DLP, McAfee Total Protection for DLP.

7. Formazione e sensibilizzazione

  • Educare il personale:
    • Formare i dipendenti su come riconoscere e segnalare tentativi di phishing o comportamenti sospetti.
    • Creare simulazioni periodiche di attacchi (es. phishing simulation).
  • Policy aziendali:
    • Stabilire regole chiare sull’uso dei dati e su come proteggere le informazioni riservate.

8. Audit e logging

  • Audit regolari:
    • Controllare periodicamente chi accede ai dati e quando.
    • Verificare il rispetto delle policy aziendali.
  • Centralizzazione dei log:
    • Utilizzare sistemi SIEM (Security Information and Event Management) per analizzare i log in tempo reale e rilevare anomalie.

9. Tecniche avanzate

  • Honeytokens e honeypots:
    • Inserire dati fittizi che, se consultati o trasferiti, attivano un allarme.
  • Rilevamento di canali laterali:
    • Monitorare attività insolite come l’uso eccessivo del LED di rete o segnali acustici.
  • Controllo delle applicazioni cloud:
    • Monitorare l’uso di servizi come Google Drive o Dropbox tramite CASB (Cloud Access Security Broker).

10. Backup regolari e risposta agli incidenti

  • Backup:
    • Eseguire copie regolari dei dati critici per ridurre i danni in caso di perdita o furto.
  • Piano di risposta agli incidenti:
    • Preparare procedure per individuare, contenere e rispondere rapidamente agli attacchi.

Ti potrebbero interessare…

Mi spiace, non trovo altri articoli correlati. Se vuoi, puoi tornare alla homepage

Commenti

Lascia un commento

Altri articoli

Lipercubo.it is licensed under Attribution-ShareAlike 4.0 International - Le immagini presenti nel sito sono presentate a solo scopo illustrativo e di ricerca, citando sempre la fonte ove / quando possibile. Chi siamo | Contatti | Sitemap | Privacy e cookie - Questo sito contribuisce alla audience di sè stesso (quasi cit.)