Что такое эксфильтрация данных? (Плюс как это предотвратить)

15 июля 2021 г.

Предприятия, поставщики медицинских услуг и государственные учреждения — все это обычные цели для кражи данных. Для таких организаций предотвращение эксфильтрации важно для защиты прибыли и конфиденциальных данных. Если вы являетесь сетевым администратором или иным образом связаны с кибербезопасностью вашей организации, понимание кражи данных может помочь вам поддерживать безопасность сети и предотвращать потерю данных. В этой статье мы даем определение кражи данных, объясняем, как это происходит, и даем советы о том, как это предотвратить.

Что такое эксфильтрация данных?

Эксфильтрация данных, также известная как экструзия или экспорт данных, представляет собой любую несанкционированную передачу, копирование или экспорт данных с вычислительного устройства. Считается формой кражи данных, при этом часто человек вручную получает доступ к компьютеру или сети или автоматизирует процесс, загружая вредоносное ПО. Часто целями кражи данных являются:

  • Пароли и другие учетные данные для входа

  • Информация о банковском счете или платежной карте

  • Личная идентифицирующая информация, такая как номера социального страхования и медицинские записи

  • Другие конфиденциальные данные, такие как защищенные файлы

Попытки эксфильтрации данных часто остаются незамеченными, поскольку они могут напоминать обычные сетевые действия, такие как копирование и загрузка данных во внешний источник или доступ к учетным записям в сети. Подобные действия могут привести к нарушению безопасности сети, потере денег и интеллектуальной собственности и снижению доверия потребителей.

Как происходит эксфильтрация данных?

Эксфильтрация данных может происходить извне или изнутри. Внешняя эксфильтрация данных включает в себя объект из-за пределов организации, получающий доступ к ее компьютерной сети, в то время как внутренняя эксфильтрация происходит, когда член внутри организации использует данные организации несанкционированным образом. Как правило, существует три типа субъектов, которые могут совершить эксфильтрацию:

  • Преднамеренные посторонние лица. Преднамеренные посторонние лица — это лица, не являющиеся членами организации, которые пытаются получить доступ к данным организации, часто удаленно. Хакеры являются примером преднамеренных аутсайдеров.

  • Намеренные инсайдеры: Намеренные инсайдеры являются частью организации, чьи данные они пытаются эксфильтровать. Часто это бывшие или нынешние сотрудники, которые хотят извлечь выгоду, используя или продавая данные.

  • Случайные инсайдеры: это члены организации, которые санкционировали доступ к данным, но случайно скомпрометировали их своими действиями. Примером случайного инсайдера является сотрудник, который передает данные на личное устройство с целью выполнения работы вне офиса.

Методы эксфильтрации

Существуют также различные методы, с помощью которых происходит эксфильтрация данных. Общие методы включают в себя:

Социальная инженерия

Социальная инженерия — это практика убеждения других выполнять желаемые действия или предоставлять желаемую информацию. Часто это принимает форму мошеннических, но кажущихся законными сообщений. Например, намеренный посторонний, выдавая себя за сотрудника ИТ-отдела, может отправить электронные письма сотрудникам корпорации с просьбой загрузить приложение безопасности, которое на самом деле является вредоносным ПО. С помощью этой вредоносной программы посторонний может получить доступ к сети, собирать конфиденциальные данные и извлекать данные из сети.

Для предотвращения социальной инженерии хорошей практикой является игнорирование сообщений от незнакомых аккаунтов до тех пор, пока вы не сможете проверить их легитимность. Воздерживаясь от открытия таких сообщений, вы не инициируете процедуру, которая может установить вредоносное ПО на ваше устройство.

Крекинг

Взлом — это попытка определить учетные данные для входа или найти скрытые данные методом проб и ошибок. Это распространенный метод среди хакеров, чтобы получить доступ к секретной информации. Когда члены организации используют пароли с низким уровнем безопасности для своих учетных записей, это делает учетные записи более уязвимыми для взлома. Таким образом, рекомендуется использовать пароли, которые труднее угадать, и часто менять пароли.

Передача физических данных

Форма внутренней кражи, передача физических данных — это случаи, когда член организации передает конфиденциальные данные из сети на внешнее устройство. Например, сотрудник розничной корпорации может получить доступ к информации о платежной карте и скопировать эти данные на флэш-накопитель или свое персональное вычислительное устройство. Затем они могут использовать данные непосредственно для собственной выгоды или продавать их другим.

Один из способов предотвратить физическую передачу данных — наложить ограничения на определенные данные, чтобы их могли видеть только определенные высокопоставленные члены организации. Любая попытка неавторизованного пользователя получить доступ к этим данным может предупредить администратора сети, который может остановить попытку доступа.

Переводы на незащищенные устройства

Это случайная форма эксфильтрации, которая происходит, когда сотрудник организации копирует конфиденциальные данные на внешнее устройство, не имеющее защиты. Хотя сотрудник не хочет компрометировать данные, они, следовательно, становятся уязвимыми для эксфильтрации. Поскольку копия данных теперь существует на незащищенном устройстве, хакерам будет легче получить к ней доступ. Сотрудники могут предотвратить эту практику, следуя протоколам безопасности своей организации и подтверждая, что определенные данные можно копировать, прежде чем передавать их на незащищенное устройство.

Как предотвратить утечку данных

Вот несколько способов предотвратить утечку данных:

1. Обучайте сотрудников

Один из наиболее эффективных способов предотвратить утечку данных — обучить сотрудников организации передовым методам использования данных и предотвращения угроз. Понимая, как злоумышленники используют фишинг и другие методы для получения доступа к данным, сотрудники могут лучше идентифицировать эти методы, когда они возникают, и не допустить их успеха.

Обучение также должно включать в себя установку политики «принеси свое собственное устройство» или BYOD, которая позволяет сотрудникам использовать свои собственные вычислительные устройства для работы. Важно разъяснить сотрудникам, что они не должны передавать конфиденциальные данные на свои личные устройства.

2. Используйте программное обеспечение для обнаружения

Часто организация не подозревает об эксфильтрации до тех пор, пока не испытает последствия эксфильтрации своих данных. Таким образом, внедрение программного обеспечения, которое может обнаруживать угрозы, может помешать эксфильтраторам добиться успеха в своих усилиях. Общими функциями программного обеспечения для обнаружения утечки данных являются способность идентифицировать подозрительных пользователей, помечать подозрительные действия, классифицировать устройства и проверять активность электронной почты.

3. Классифицируйте свои данные

Классификация — это практика маркировки фрагментов данных в соответствии с их характеристиками, такими как конфиденциальность и важность. Классификация данных позволяет организации накладывать ограничения на использование и реализовывать политики, предотвращающие утечку. Например, ограничения на данные с высокой степенью конфиденциальности, такие как личная идентифицирующая информация, могут ограничивать авторизованный доступ только определенными пользователями, а любая попытка неавторизованного пользователя получить доступ, переместить или дублировать данные может предупредить администратора сети.

4. Черный список подозрительных сайтов

Занесение в черный список — это практика блокировки доступа к доменам, связанным с подозрительной активностью или потенциально опасным программным обеспечением. Например, если сотрудник случайно открывает подозрительную ссылку, блокировка сайта может предотвратить успешное подключение к сайту и, таким образом, предотвратить заражение конечной точки и сети вредоносным содержимым. Хотя чрезмерная блокировка может повлиять на способность пользователей выполнять работу, умеренное использование этого метода может предотвратить дорогостоящие случаи кражи данных.

5. Отозвать разрешения

ИТ-отдел должен отозвать разрешения любого члена, который больше не работает в организации или с ней. Сюда входят бывшие сотрудники, бывшие руководители и третьи лица, прошедшие службу в организации. Немедленное удаление доступа этих объектов к вашей сети может снизить вероятность утечки учетных данных и событий эксфильтрации.

6. Зашифруйте свои данные

Шифрование данных является одним из наиболее часто используемых и безопасных методов, с помощью которых организации защищают свою информацию. Шифрование преобразует данные в код, называемый зашифрованным текстом, который невозможно прочитать, если у вас нет ключа или пароля для его разблокировки. Это добавляет уровень защиты вашим данным, делая их непригодными для использования.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *