Tudo sobre Cibersegurança, Segurança da Informação e Proteção Digital.

Na língua portuguesa, a palavra ‘exfiltração’ é definida como um vazamento (de líquido, gás ou fluido) do interior de um espaço fechado.

No universo militar, se refere à conclusão da missão de um agente infiltrado.

E no cibermundo, o termo é sinônimo de terrorismo!

Você sabe o porquê do terror?

Neste artigo, falaremos tudo sobre a exfiltração de dados — seu significado, as medidas para combatê-la e os motivos pelos quais ela aterroriza tantos empreendedores por aí.

Bora lá?!

O que é exfiltração de dados?

No campo da cibersegurança, uma exfiltração (ou extrusão) diz respeito ao ato de extrair e transferir informações confidenciais ilegalmente.

Segundo o pentester Rafael Capucho, a exfiltração de dados nada mais é do que a arte de roubar elementos informativos de uma conta sem que o seu administrador por direito perceba.

É o furto cibernético!

Em geral, corresponde às partes finais de um ciberataque; o estágio em que os cibercriminosos extorquem as informações do dispositivo, database, ou qualquer que seja o local de armazenamento digital invadido, e as transferem para um lugar onde terceiros não autorizados consigam acessar.

O processo de exfiltração é um dos modos mais comuns de vazamento de dados, e pode ser extremamente prejudicial a empresas; o que faz dele, o terror delas.

Mas por que a exfiltração de dados aterroriza tanto as corporações?

O mundo hoje é tech, não é mesmo?

Dentre todas as esferas desse mundo, a corporativa é uma das mais impactadas pelos avanços tecnológicos.

Nessa era digital, as empresas estão coletando mais informações do que nunca!

Por conta disso, os dados se tornaram o componente mais crítico de um negócio, os bens mais preciosos de um empreendedor.

É atrás dessas preciosidades que bandidos e gente maldosa de todo tipo correm atualmente. E essa verdadeira corrida ao tesouro é muitas vezes vencida pelos criminosos por causa dos vazamentos oriundos de exfiltrações.

Dentre os materiais mais vazados pelos exfiltradores, informações privadas de funcionários (como nomes de usuário, senhas e e-mails) são as mais recorrentes.

E as consequências desses vazamentos podem ser horrorosas para as corporações — sejam elas grandes, médias ou pequenas.

Segundo o mais recente relatório da Verizon, cerca de 90% dos ataques cibernéticos contra empresas se iniciam por conta de credenciais de funcionários vazadas.

Mas é às PMEs que as exfiltrações de dados mais aterrorizam.

Os horríveis prejuízos de um vazamento podem levar companhias de menor porte a fecharem suas portas!

Conforme recente pesquisa da Cibercrime Magazine, 60% das pequenas e médias empresas “quebram” em até 6 meses após serem atacadas por cibercriminosos.

Que empreendedor não é aterrorizado pelo terrível risco de falir?

A maldita exfiltração de dados faz com que esse risco seja assustadoramente real.

E como as exfiltrações ocorrem?

Uma exfiltração de dados pode ocorrer de duas formas: por meio de ameaças internas ou externas.

Ameaças internas

Quando o assunto é exfiltração corporativa, o exfiltrador pode estar, literalmente, ao lado. Sim!

Qualquer tipo de empresa está sujeita a ter seus preciosos dados vazados internamente, pelos seus próprios prestadores.

Funcionários insatisfeitos, que possuem acesso aos sistemas da organização, podem funcionar como verdadeiros informantes criminosos, vazando os dados da companhia com o objetivo de prejudicá-la.

Assustador, não?

Mas são as ameaças de fora que mais assustam os empreendedores.

Ameaças externas

A maioria dos processos externos de exfiltração começa com um vetor de ataque inicial simples, como um e-mail de phishing carregado com malware, por exemplo.

Se um trabalhador, que armazena documentos corporativos no seu dispositivo, clica no link ou anexo malicioso, ele abre as portas para os atores de ameaça invadirem o aparelho.

Uma vez que o dispositivo é invadido e tem o seu sistema acessado, a fase de descoberta de dados é estabelecida — durante a qual os hackers escalam privilégios e se movem lateralmente pela rede, procurando por informações valiosas.

Quando elas são descobertas, o procedimento de exfiltração é então iniciado para que os invasores extraiam os dados do seu local de origem e os transfiram.

E embora existam várias técnicas de transferência, a mais comum entre os meliantes cibernéticos é a de estabelecer um shell — um canal de comunicação que permite a interação remota entre o host invadido e uma espécie de servidor “fantasma” do atacante, conhecido como C2.

Esse C2 é geralmente configurado para estabelecer uma conexão com a rede da vítima por meio de um protocolo pré determinado. Ele pode ser um Protocolo de Transferência de Hipertexto (o HTTP), um Protocolo de Transferência de Arquivos (o FTP), ou um Sistema de Nomes de Domínio (o DNS).

Para concluir a exfiltração, os cibercriminosos desconectam o servidor para evitar a detecção e, por fim, movem os dados furtados para um repositório offline.

Após finalizarem a extrusão, os atacantes podem fazer o que bem entenderem com o material exfiltrado. E nós sabemos que as intenções de criminosos são sempre as mais malignas possíveis, correto?

Eles podem, por exemplo, sequestrar as informações da corporação exfiltrada, exigindo quantias assombrosas como resgate (o famoso ataque ransomware), e até mesmo vendê-las a outros atacantes vazando-as na dark web, a porção tenebrosa da internet.

Mas, e aí?

Como identificar exfiltrações e se proteger delas?

A identificação de uma exfiltração de dados pode ser bem difícil a olho nu, pois esse ato terrorista envolve mover dados de dentro para fora da rede de uma empresa. O desafio é distinguir esse movimento criminoso do tráfego de rede natural, que já ocorre normalmente no cotidiano corporativo.

Contudo, se você for um empreendedor, existem algumas medidas poderosíssimas de prevenção para se tomar a fim de proteger seu empreendimento dessa extração ilegítima, tais como:

  • Monitorar a conexão de rede dos colaboradores: Nessa nova realidade de trabalho remoto imposta pela pandemia, invasões de redes Wi-Fi privadas têm se tornado cada vez mais frequentes. Isso pode ocorrer devido ao fato de que muitos funcionários em home-office mantêm suas conexões residenciais sem uma senha de acesso, ou com a senha de fábrica, fraca. Isso praticamente abre o caminho para que cibercriminosos invadam sua rede e exfiltrem as informações sensíveis com as quais lidam diariamente;
  • Gerenciar os acessos a dados confidenciais: Logicamente, quanto mais importante é uma informação, mais inacessível ela deve ser. Além de armazenar o dado confidencial em um local seguro, é fundamental restringir drasticamente o acesso a ele dependendo do seu nível de confidencialidade;
  • Suspender o acesso de ex-funcionários: É crucial que o acesso de um ex-colaborador aos sistemas da empresa seja suspenso assim que ele seja desligado das suas funções. O mesmo vale para ex-parceiros e fornecedores que também possam acessar algum sistema ou banco de dados da corporação. Uma boa medida seria automatizar o processo;
  • Criptografar dados e fazer um backup: A criptografia é uma maneira de proteger as informações sigilosas que são armazenadas nos sistemas internos da empresa, pois “embaralha” os dados e os transforma em um texto cifrado. Desta forma, ainda que um cibercriminoso obtenha acesso às informações da corporação, ele precisará de uma chave única para decifrá-las. Porém, ainda sim, é recomendável realizar o backup (uma cópia de segurança) dos dados para se prevenir das consequências de uma exfiltração caso o roubo das informações seja realizado internamente;
  • Desativar serviços não utilizados: Desabilite todos os canais de comunicação não autorizados, como portas e protocolos, habilitando-os somente caso forem utilizados, e apenas na hora da utilização. Quando essas entradas permanecem ativadas por padrão, podem dar vazão a exposições acidentais de dados na internet por colaboradores que se esquecem de desligar o serviço HTTP de um servidor, por exemplo;
  • Investir em cibersegurança: Utilize boas ferramentas antivírus nos dispositivos dos colaboradores, um robusto firewall para proteger a rede, e VPNs para cuidar do acesso remoto. Soluções de defesa corporativas, como o DLP (o Data Loss Prevention), por exemplo, que realizam avaliações de risco abrangentes, identificam todos os ativos de dados valiosos, fazem um inventário dos pontos finais onde esses dados residem, e estimam o impacto comercial da exfiltração de cada um deles, também são armas muito poderosas no combate às exfiltrações.
  • Criar uma política de segurança da informação: soluções de segurança e outras ações de proteção de sistemas são muito eficientes, mas há maneiras de exfiltrações de dados que podem ser causadas por descuidos de funcionários bem intencionados. Por isso, é importante educar os seus colaboradores a seguirem certos cuidados no uso de dispositivos pessoais ou da empresa para o trabalho, assim como orientar sobre as formas adequadas de acesso, compartilhamento e armazenamento de informações da corporação.

Conclusão

Exfiltração de dados consiste na apropriação e deslocamento não autorizados de informações confidenciais.

Uma vez exfiltrados, esses dados podem cair nas mãos de verdadeiros terroristas cibernéticos, que têm o poder de destruir qualquer empreendimento desprotegido.

Mas felizmente, da mesma forma que existem motivos para se viver aterrorizado no cibermundo, há também soluções de defesa anti-terrorismo para que este terror não te impeça de ser um empreendedor.

Gostou do conteúdo? Quer ficar por dentro de tudo que rola no mundo da cibersegurança e conhecer outras armas para o combate a ciberataques?

Acompanhe-nos nas redes sociais e tenha acesso a conteúdos semanais:

Fontes:

PSafe |  ThreatPost | Neotel