Un ataque de exfiltración de datos implica la transferencia no autorizada de datos confidenciales, como datos personales y propiedad intelectual, fuera de un sistema objetivo y en una ubicación separada.
Estas transferencias pueden ocurrir internamente, a través de amenazas internas , o externamente, a través de servidores remotos de Comando y Control.
Todo ciberataque con un objetivo de robo de datos podría clasificarse como un ataque de exfiltración de datos.
La exfiltración de datos generalmente ocurre durante la etapa 6 de la cadena de destrucción del ataque cibernético, cuando se establece una conexión entre los servidores ciberdelincuentes remotos de un sistema comprometido.
Comprender los procesos maliciosos que suelen preceder a la exfiltración de datos es la clave para mitigar estos ataques. Ofrecen oportunidades para la implementación de controles de seguridad que conducen a un evento final de pérdida de datos para ofuscar significativamente la secuencia de ataque.
Aunque la exfiltración de datos suele acompañar a una violación de datos, el robo de datos tiene una mayor clasificación de gravedad de seguridad porque los datos valiosos ya están en tránsito.
Algunos sistemas de detección de intrusos e inteligencia de amenazas pueden interceptar a los piratas después de que hayan violado recursos confidenciales y antes de cualquier pérdida de datos.
Dicha intercepción debería ocurrir antes de la escalada de permisos, una etapa anterior al acceso a recursos confidenciales y, por lo tanto, a la exfiltración de datos.
Aquí te contamos cómo detectar y prevenir una filtración de datos y las principales técnicas usadas en un ataque de exfiltración de datos.
Indice
Cómo detectar la filtración de datos
La exfiltración de datos no es fácil de detectar porque los eventos generalmente se esconden detrás de procesos diarios legítimos.
Cada una de las siguientes opciones de detección proporciona un punto de vista único para el análisis del tráfico de red. Cuando se usan colectivamente, se puede lograr un análisis multidimensional para aumentar la eficacia de las operaciones de seguridad.
Usa un SIEM
Un Sistema de gestión de eventos e información de seguridad (SIEM) puede monitorizar el tráfico de la red en tiempo real. Algunas soluciones SIEM pueden incluso detectar el malware que se utiliza para comunicarse con los servidores de comando y control.
Supervisa todos los protocolos de red
Supervisa todo el tráfico de puertos abiertos para detectar volúmenes de tráfico sospechosos, generalmente del orden de 50 GB o más.
Dichos descubrimientos deberían conducir a un análisis más específico, ya que podrían ser solo conexiones legítimas relacionadas con el negocio.
Supervisa las conexiones de direcciones IP extranjeras
Las conexiones corporativas a direcciones IP poco comunes podrían ser indicativas de exfiltración de datos. Los equipos de seguridad deben mantener un registro actualizado de todas las conexiones de direcciones IP aprobadas para compararlas con todas las conexiones nuevas.
Supervisa los patrones de tráfico saliente
El malware necesita comunicarse regularmente con los servidores de C&C para mantener una conexión constante. Estas ráfagas regulares de comunicaciones, conocidas como balizas, presentan una oportunidad para detectar la filtración de datos dentro de los puertos de uso común como HTTP: 80 y HTTPS: 443.
Ten en cuenta que algunas variedades avanzadas de malware y ransomware, como SUNBURST, aleatorizan los retrasos entre las comunicaciones de C&C.
Otras mejores prácticas incluyen:
- Supervisar el volumen y la frecuencia de transmisión de datos por parte de los usuarios de la organización a través del correo electrónico. Para hacer esto, primero debemos calcular la cantidad promedio de datos que los usuarios internos envían por día. Si se excede este tamaño promedio de datos (por ejemplo, 5 o 10 veces), se activa una alerta para que se investigue.
- Mantener un registro actualizado de todas las conexiones de direcciones IP aprobadas para compararlas con todas las conexiones nuevas . Junto con esto, se recomienda estar atento a grandes flujos de datos a direcciones IP inesperadas y picos importantes en el tráfico saliente anómalo.
La mayoría de estas prácticas requieren la búsqueda de anomalías y firmas de ataques conocidas. A partir de esta información, los analistas también pueden construir la secuencia completa de un evento y asignarlos a un marco de ataque conocido.
Cómo prevenir la filtración de datos
La clave para la prevención de la filtración de datos es implementar soluciones de seguridad que aborden todos los vectores comunes para un ataque de filtración de datos.
Esto se puede lograr con la siguiente lista de controles.
1. Implementar un cortafuegos de próxima generación (NGFW)
Sin un firewall, las conexiones salientes no se supervisan, lo que permite que las conexiones C&C se establezcan sin problemas.
Los cortafuegos de próxima generación moderan todo el tráfico saliente en todos los protocolos de tráfico. Estos filtros a veces también integran la detección de malware basada en firmas de un antivirus, lo que permite interceptar y bloquear el comportamiento conocido de C&C Malware.
Sin embargo, la advertencia de la detección de amenazas basada en firmas es que requiere que el software antivirus se mantenga actualizado. Si se pierde o se retrasa una actualización, una nueva variante de malware podría filtrarse durante este tiempo y establecer una conexión con el servidor C2 sin ser detectada.
Debido a esto, la detección de amenazas exclusivas solo debe usarse como una red de seguridad adicional junto con las estrategias de bloqueo basadas en el comportamiento que analizan el tráfico en tiempo real, como un SIEM.
2. Implementar un SIEM
Un SIEM puede analizar datos en todos los estados: en descanso, en uso y en tránsito.
Esto hace posible detectar y bloquear transmisiones no autorizadas, incluso desde puntos finales como computadoras portátiles.
3. Implementar una arquitectura de confianza cero
Una arquitectura de confianza cero impone una verificación estricta del usuario antes de permitir cualquier transferencia de datos.
Sin embargo, la desventaja de los firewalls y las arquitecturas Zero Trust es que el rendimiento del punto final podría verse afectado negativamente porque todas las conexiones salientes deben inspeccionarse continuamente antes de conectarse a las computadoras portátiles. Pero los beneficios de la pérdida de datos confidenciales superan con creces estos inconvenientes temporales.
4. Cierra todas las sesiones sospechosas
Cuando se identifica una sesión sospechosa, como la transferencia de datos a una dirección IP no aprobada, las conexiones deben cortarse de inmediato ya sea deshabilitando la ID de cuenta de Active Directory para el usuario o desconectando la sesión VPN del usuario.
También debes revisar y cerrar de inmediato todos los controles de acceso vinculados a la cuenta de usuario comprometida para evitar que el actor de amenazas cambie a otra cuenta de usuario después de que se interrumpa su conexión.
5. Implementar soluciones de prevención de pérdida de datos
Las soluciones de prevención de pérdida de datos (DLP) mapean todas las transferencias de datos contra políticas preexistentes para detectar actividades sospechosas. La tecnología DLP también analiza el contenido de todas las transferencias de datos para verificar si hay información confidencial.
6. Detectar y apagar todas las fugas de datos
Las fugas de datos son exposiciones de recursos confidenciales que se pasan por alto. Cuando son descubiertos por ciberdelincuentes, hacen que el proceso de vulneración de un perímetro de TI sea mucho más fácil y rápido.
Una solución de detección de fugas de datos te ayudará a descubrir y cerrar cada una de estas fugas de datos antes de que faciliten la inyección de malware de extracción de datos.
Idealmente, dicha solución debe ser capaz de abordar no solo las fugas de datos internas , sino también todas las de terceros.
7. Remediar todas las vulnerabilidades de software
Las vulnerabilidades del software facilitan las inyecciones de malware, pero la superficie de ataque en constante expansión hace que estas exposiciones sean muy difíciles de administrar.
Todos los programas de ciberseguridad deben incluir una solución de monitorización de superficie de ataque. Esto ayudará a remediar rápidamente todas las vulnerabilidades internas y de terceros antes de que los ciberdelincuentes las exploten.
Una solución de monitorización de superficie de ataque capaz de abordar también la red de proveedores externos ayudará a los equipos de seguridad a abordar las exposiciones en la cadena de suministro para mitigar las infracciones de los ataques a la cadena de suministro.
8. Implementar procesos de copia de seguridad y encriptación de datos
Aunque la mayoría de las organizaciones suelen utilizar procesos de encriptación de datos y copias de seguridad de datos para ayudar a preservar los datos contra atacantes o contratiempos internos, es esencial garantizar que estas medidas estén optimizadas en caso de amenazas como la exfiltración de datos.
El cifrado de datos protege los datos confidenciales almacenados en los sistemas internos al transformar la información en texto cifrado. Sin una clave, los atacantes no tienen forma de comprender y utilizar los datos. El respaldo de datos garantiza que su organización pueda restaurar los datos perdidos y reanudar las operaciones mientras se investiga el ataque de exfiltración de datos.
9. Educar a los empleados
Finalmente, las organizaciones necesitan minimizar el riesgo de error humano. Los empleados pueden cometer errores que los atacantes pueden aprovechar para su beneficio. Un usuario podría descargar sin sospechar un archivo de malware obtenido, transmitir sus credenciales a través de una campaña de phishing o, de lo contrario, descuidar la protección de su computadora personal u otros dispositivos.
Es esencial capacitar y educar regularmente a los empleados sobre las últimas medidas de seguridad para evitar errores humanos. Por ejemplo, las organizaciones deben asegurarse de que cada persona comprenda cómo identificar un correo electrónico sospechoso. También deben asegurarse de que los empleados sepan cómo denunciar un correo electrónico sospechoso para que el equipo de seguridad pueda investigar y tomar las medidas necesarias de inmediato.
Cuando las máquinas y las personas trabajan juntas, las empresas pueden mantener sus datos seguros y protegidos.
Técnicas de ataque de exfiltración de datos
La transformación digital está ampliando la superficie de ataque, ofreciendo a los ciberataques una abundante selección de vectores para la exfiltración de datos.
A un alto nivel, estas opciones se pueden separar en dos categorías, ciberamenazas internas y externas.
- Amenazas internas: las personas internas malintencionadas suelen ser empleados descontentos que buscan causar daño a su empleador. Podrían filtrar datos a través de vectores físicos, como unidades flash, o vectores digitales, desviando el tráfico de la red a los servicios de almacenamiento en la nube.
- Amenazas externas: los ciberdelincuentes prefieren métodos de exfiltración de datos externos porque estos ataques se pueden lanzar de forma remota desde cualquier parte del mundo. Esto también permite automatizar y escalar rápidamente los ataques de transferencia de datos.
Las 6 principales amenazas de exfiltración de datos externos se enumeran a continuación.
Servidores de Comando y Control
Las conexiones del servidor de comando y control son la amenaza de exportación de datos externos más común.
Los ataques remotos requieren el establecimiento de un canal de comunicación entre el sistema comprometido y el servidor del atacante, conocido como servidor de comando y control (también llamado servidor C&C o C2).
El establecimiento de dicha conexión generalmente lo inicia un malware desde el interior de la red comprometida.
El malware de C&C podría inyectarse a través de cualquiera de los otros vectores de ataque enumerados a continuación: FIX UP.
Estas conexiones se pueden establecer a través de tres protocolos: DNS, HTTP y FTP.
Sistema de nombres de dominio (DNS)
Los protocolos DNS convierten los nombres de dominio en direcciones IP para que cada computadora, recurso y conexión de servicio a Internet se pueda diferenciar e identificar.
La exfiltración de datos funciona con este protocolo a través de un proceso conocido como tunelización DNS. Aquí es cuando los datos se transfieren a los servidores C2 a través de consultas y respuestas de DNS.
La tunelización de DNS es una técnica popular de exfiltración de datos cuando todos los demás puertos están siendo monitorizados.
Protocolo de transferencia de hipertexto (HTTP)
El protocolo de aplicación HTTP se utiliza para transferir datos de los usuarios a Internet. Es el canal de comunicación más común, lo que lo convierte en un objetivo principal para la extrusión de datos.
Cuando el protocolo HTTP no está protegido, los actores de amenazas pueden transferir datos confidenciales entre el tráfico HTTP voluminoso sin ser detectados.
Protocolo de transferencia de archivos (FTP)
El protocolo FTP se utiliza para transferir archivos de gran tamaño a un servidor web a través de Internet. Para que un atacante cibernético comprometa este protocolo, la autenticación en un servidor FTP externo debe ocurrir desde dentro de la red corporativa.
Ataques de phishing
Antes de que se pueda establecer una puerta trasera de exfiltración de datos, el malware que hace posible esta conexión debe inyectarse en el sistema de destino.
Esto ocurre durante la etapa 3 en la cadena de eliminación de ataques cibernéticos.
El phishing ha sido durante mucho tiempo un vector de ataque inicial favorito para la inyección de malware entre los ciberdelincuentes.
La estrategia de phishing se basa en el antiguo método de ataque del caballo de Troya.
Durante estos ataques, se envía a la víctima un correo electrónico aparentemente inocuo con enlaces infectados. Cuando se hace clic en estos enlaces, las víctimas son enviadas a un sitio web de señuelo para el robo de credenciales o se inicia un proceso clandestino de instalación de malware.
La ingeniería social es otra forma de phishing que podría facilitar el compromiso del perímetro para la inyección de malware.
Estos ataques pueden ocurrir por teléfono, correo electrónico o redes sociales.
Durante estos ataques, los actores malintencionados se ponen en contacto con un objetivo que finge ser un conocido, como un cliente. Luego intentan engañar a la víctima para que divulgue información confidencial interna para acceder a la red de una organización.
Correos electrónicos salientes
Cualquier información confidencial que resida en los sistemas de correo electrónico se puede filtrar fácilmente a través de un correo electrónico saliente.
Estos datos podrían incluir:
- Eventos del calendario
- Bases de datos
- Imágenes
- Documentación de propiedad intelectual
Vulnerabilidades del software
La transformación digital conecta las superficies digitales de las organizaciones y sus socios. Debido a esto, las vulnerabilidades de software afectan a todas las entidades conectadas en red con una parte comprometida. Este impacto podría penetrar en superficies de ataque de terceros e incluso de cuartos.
Un proveedor externo comprometido podría provocar que todos sus socios sufrieran una violación de datos, una estrategia de ataque conocida como ataque a la cadena de suministro .
Descargas a dispositivos inseguros
Estos escenarios ocurren cuando un usuario accede a la información a través de un canal autorizado y mueve los datos a un dispositivo local no seguro. Por ejemplo, alguien puede usar cámaras, computadoras, teléfonos inteligentes u otros dispositivos especializados para capturar datos para exfiltración, ya sea descargando archivos existentes de servicios en la nube o copiando la información en archivos nuevos. Todos los archivos transferidos a un dispositivo no seguro corren un alto riesgo de filtración de datos.
Subidas a servicios externos
Al igual que la técnica anterior, este método suele incluir la descarga de información confidencial a la infraestructura local. Luego, un usuario carga esos datos a un tercero a través de un cliente de navegador web o algún otro software no supervisado. El servicio de terceros podría parecer inofensivo, como una red social, donde alguien podría pegar accidentalmente el texto incorrecto o cargar la imagen incorrecta.
Comportamiento seguro de la nube
Los servicios en la nube presentan riesgos de exfiltración adicionales a tener en cuenta, incluidos los casos en los que los empleados o utilizan las funciones del proveedor de manera segura. Cualquier actor con la capacidad de implementar código, modificar máquinas virtuales (VM) o realizar solicitudes de almacenamiento en la nube tiene el potencial de filtrar datos. Además, los actores con permisos necesarios pueden transmitir datos de contenedores seguros a contenedores no seguros, o crear servicios no autorizados en nombre de la empresa.
Consecuencias de la exfiltración de datos
Hemos visto cómo la exfiltración de datos y, en general, los delitos cibernéticos se están volviendo más comunes. Pero incluso si una empresa experimenta un ataque de exfiltración de datos, las consecuencias pueden ser devastadoras. Hay mucho en juego cuando se trata de los datos bajo el control de su empresa.
Aquí hay algunas estadísticas sobre el coste de una violación de datos:
- La violación de datos promedio cuesta $ 3.6 millones
- El coste es más alto para las empresas estadounidenses, con $ 8,6 millones.
- El cuidado de la salud es el sector más afectado, con empresas que enfrentan una pérdida promedio de $ 7.1 millones.
¿Cuáles son las causas de estos enormes costes? Aquí hay tres factores:
- Contención: contratar empresas de ciberseguridad y fraude de identidad para contener una filtración de datos es un negocio costoso, sin mencionar las millas de horas que se pueden perder tratando de determinar la causa de una filtración.
- Demandas: muchas empresas se enfrentan a enormes demandas por perder datos de clientes. Las tendencias sugieren un aumento continuo en los casos de demanda colectiva por violación de datos hasta 2021.
- Sanciones: Leyes como el Reglamento General de Protección de Datos (GDPR) y la Ley de Privacidad del Consumidor de California (CCPA) permiten a los reguladores imponer multas significativas por violaciones de datos personales.
La prevención de la exfiltración de datos requiere una combinación sólida de herramientas de prevención de pérdida de datos, capacitación en seguridad, monitorización de la actividad del usuario y un conocimiento profundo de las vulnerabilidades internas. Siguiendo los consejos de este artículo, puedes mitigar los riesgos de exfiltración de datos más comunes.