Data Exfiltration o Data breach – cos’è?

Secondo Techopedia, il data breach - o data exfiltration - avviene quando si verifica la copia, il trasferimento, o il recupero, non autorizzati, di dati da un server o da un computer. Aziende ed organizzazioni che conservano dati di valore, sono particolarmente a rischio per questo tipo di attacchi, sia che provengano dall'esterno, sia che avvengano dall'interno dell'azienda stessa.

Dispositivi a rischio di data breach

Gli incidenti causati dalle minacce interne all'azienda, accidentali o malevole che siano, costituiscono una delle cause principali di esfiltrazione dati. All'interno della rete aziendale, potrebbero agire dipendenti infedeli, che tentano di arrecare un danno all'organizzazione per perseguire i propri o altrui interessi. Tuttavia è importante notare che due incidenti interni su tre, sono causati accidentalmente, e può risultare altrettanto costoso per l'azienda, se tali problematiche non vengono risolte rapidamente.

La data exfiltration è una tra le preoccupazioni principali per la sicurezza delle aziende oggigiorno. Secondo un recente studio di McAfee, il 61% dei professionisti che operano nel campo della sicurezza informatica, hanno subìto un data breach nelle loro attuali aziende. Con le normative sempre più stringenti in tema di protezione dei dati, come il GDPR e il CCPA (California Consumer Privacy Act), la posta in gioco in caso di violazione di dati, è molto alta.

Tipi di data breach

Secondo lo studio McAfee appena citato, i metodi di esfiltrazione di dati più comuni includono:

  • Database leaks
  • Traffico di rete
  • Condivisione di file
  • Email aziendali

Applicazioni cloud e database

Un recente rapporto di CA Technologies sulle minacce interne alle aziende, ha messo in evidenza come i database costituiscano la risorsa più vulnerabile, prima ancora dei file server, delle applicazioni cloud, e dei dispositivi mobili. Essendo i dati contenuti in essi, così preziosi, i database vengono comunemente presi di mira sia da attacchi esterni, che interni all'azienda.

Dispositivi di memorizzazione removibili

I dispositivi removibili costituiscono un altro comune vettore di attacco. Anche nell'era dell'onnipresente cloud, i metodi di esfiltrazione vecchio stile, basati sulle chiavette USB, continuano a rappresentare una seria minaccia. Anche se è irrealistico vietare completamente l'utilizzo di chiavette USB all'interno dell'azienda, i dipendenti devono essere consapevoli dei rischi e devono rispettare le politiche aziendali riguardo l'accesso e la memorizzazione dei dati.

Mentre la condivisione di file costituisce il primo dei metodi di data exfiltration negli Stati Uniti, le chiavette USB costituiscono il primo vettore per l'esfiltrazione dei dati in Europa e Asia.

Minacce interne accidentali

Oltre agli utenti che agiscono mossi da cattive intenzioni, anche le minacce interne accidentali possono rivelarsi una grossa causa di data exfiltration. Le email di phishing e gli attacchi basati sul social engineering, rimangono per gli hackers, un metodo collaudato per accedere ai dati aziendali. Inoltre, la scelta o il riutilizzo di password deboli, e il mancato utilizzo di metodi di autenticazione a due fattori, costituiscono vulnerabilità che fanno gola agli hackers, per penetrare negli account delle vittime. In scenari del genere, la miglior difesa è diventare consapevoli delle minacce informatiche che ci circondano. Lo studio McAfee ha messo anche in luce come la divulgazione di dati riservati tramite email, si riveli spesso una comune minaccia interna, in ambito aziendale.

Portable computer protected by a computer security solution

Utilizzo improprio dei dati

Secondo un recente Rapporto Verizon sulle Minacce Interne, l’utilizzo improprio è un'altra delle cause più comuni di data exfiltration. A differenza delle minacce interne accidentali, dovute perlopiù alla mancanza di attenzione, parliamo di utilizzo improprio, quando l'utente cerca di bypassare, in maniera intenzionale o meno, i controlli e le politiche sulla sicurezza. Come ad esempio un dipendente che utilizza software non autorizzato per lavorare con un soggetto esterno, come un cliente o un fornitore, soltanto perché è più semplice da utilizzare e gli agevola il lavoro, mettendo però in questo modo a rischio di data exfiltration i dati aziendali.

I vostri dipendenti potrebbero però divulgare i dati aziendali in molti altri modi: tramite l'utilizzo dei propri account di posta privati sul lavoro, tramite il salvataggio di file sul cloud o sui siti per la condivisione di file, ma anche più semplicemente, tramite l'incauta stampa di dati aziendali, o tramite il salvataggio di scorciatoie sulla tastiera del proprio computer aziendale, che potrebbero rivelare informazioni riservate. Potrebbe rivelarsi difficile per un'azienda riuscire a distinguere un'attività legittima dell'utente all'interno della rete, da una malevola, ma in questi casi avere a disposizione un sistema in grado di far luce sul contesto in cui si svolgono le azioni dell'utente, può aiutare a capire se ci si trovi o meno, di fronte ad una minaccia per la sicurezza.

Come prevenire il data breach con il monitoraggio dei dati e dell'utente

Molte aziende e organizzazioni, si affidano a sistemi di difesa tradizionali, come gli strumenti di Data Loss Prevention (DLP), per tentare di prevenire il fenomeno della data exfiltration. Anche se tali strumenti possono risultare efficaci in certi casi, spesso non riescono a rilevare l'esfiltrazione dei dati dovuta alle minacce interne all'azienda.

Ad esempio, le soluzioni DLP di livello enterprise sono solitamente utilizzate da un'organizzazione per rilevare violazioni sulle politiche di utilizzo dei dati, per prevenire il data loss. L'implementazione comporta un approfondito lavoro di ricerca e classificazione, al fine di individuare, comprendere e categorizzare i dati sensibili. Questi strumenti vanno continuamente aggiornati e calibrati, in base alle specifiche esigenze, richiedendo dunque agli addetti del reparto IT, un gran lavoro di messa a punto per assicurare che le politiche di sicurezza siano sempre in grado di salvaguardare i dati ritenuti sensibili.

Nella realtà, questi strumenti DLP sono complicati da impostare e mantenere, pesano sui computer aziendali e sono tutt'altro che apprezzati dagli utenti. La ricerca estesa e la classificazione dei dati, può rivelarsi un'operazione onerosa per molte aziende dalle risorse piuttosto limitate, e man mano che nuove tecnologie vengono implementate all'interno dell'azienda, rischiano di arrivare ad un punto in cui non riescono più a gestire la propria rete, se gli strumenti DLP non vengono mantenuti a dovere. Quel che è peggio, è il fatto che gli utenti potrebbero bypassare il DLP, se lo considerano un impedimento alla propria produttività in ufficio. Tale strumento infatti, fa affidamento su chi sta al computer, per classificare dati e documenti, e alcuni dipendenti potrebbero intenzionalmente classificare certi file in maniera errata, così da poter mantenere la libertà e l'autorizzazione ad utilizzarli.

In alternativa, o in aggiunta ad una soluzione DLP, le aziende dovrebbero adottare una soluzione per la gestione delle minacce interne, al fine di prevenire l'esfiltrazione di dati. A differenza degli strumenti DLP, una piattaforma per la gestione delle minacce interne come quella di Proofpoint, si basa su una combinazione del monitoraggio dell'attività dell'utente e del monitoraggio dei dati. Mentre i DLP e altri strumenti si concentrano esclusivamente sui dati, il monitoraggio dell'attività dell'utente aiuta a fornire il contesto in cui chi sta facendo cosa, quando e perché.

Donna che utilizza un computer

Molti dei sistemi di difesa tradizionali, si concentrano sul rilevamento delle minacce esterne, perciò avere a disposizione uno strumento per il monitoraggio dell'attività dell'utente e dei dati, vi permetterà di rilevare azioni sospette da parte dell'utente, di cui, con le altre soluzioni, vi accorgereste soltanto quando è ormai troppo tardi. Dal momento che le minacce interne, come dice la parola stessa, si trovano già dentro il perimetro aziendale, passano spesso inosservate, a meno che gli addetti del reparto IT, non abbiano la possibilità di monitorare l'attività dell'utente, e il contesto in cui egli compie tali azioni, che permetterebbe loro di dimostrare se un incidente interno di sicurezza, sia intenzionale o accidentale. Una piattaforma come Insider Threat Management di Proofpoint, avviserà immediatamente gli addetti del reparto informatico, di ogni potenziale minaccia interna, e metterà loro a disposizione una timeline dell'attività dell'utente, con una dettagliata riproduzione video per facilitare e velocizzare le indagini.

Le aziende non possono più permettersi di lasciare il proprio patrimonio di dati a rischio. Devono imparare a bloccare le più comuni minacce che portano all'esfiltrazione di dati, implementando politiche di sicurezza adeguate, devono formare il personale per limitare le minacce accidentali, e predisporre una soluzione dedicata alla gestione delle minacce interne, per ottenere informazioni preziose sul contesto in cui nasce un potenziale incidente. Se desiderate testare l'ambiente sandbox di Proofpoint, potete farlo tranquillamente senza bisogno di scaricare o installare nulla. Vedrete quanto sarà semplice individuare e bloccare l'esfiltrazione di dati nella vostra azienda.

Prevenzione del Data Loss nelle Piccole e Medie Aziende

Proofpoint Email DLP data loss prevention previene la fuga di dati sensibili e garantisce la facile archiviazione e-mail tramite impronta digitale.

Report: Il Costo Dell'Insider Threat

Scopri l’impatto finanziario delle minacce interne. Scarica il report 2022 del Ponemon Institute sul costo delle minacce interne a livello mondiale.

Panoramica sullo Strumento Endpoint Data Loss Prevention di Proofpoint

Proofpoint Endpoint Data Loss Prevention (DLP) è una soluzione incentrata sulle persone con un design all’avanguardia che consente di proteggere i dati più sensibili della tua azienda.

Ebook: ridefinire la prevenzione delle perdite di dati

Questo eBook tratta le crescenti sfide associate agli odierni ambienti lavorativi e informatici, in rapida evoluzione.

Guida al mercato delle soluzioni di prevenzione delle perdite di dati 2021 di Gartner®

Questo report presenta le tendenze del mercato e fornisce indicazioni utili in fase di selezione di una soluzione DLP.