數據泄露攻擊涉及未經授權將敏感數據(例如個人數據和知識產權)從目標系統轉移到單獨的位置。這些傳輸可以通過內部威脅在內部發生,也可以通過遠程命令和控制服務器在外部發生。每次以數據盜竊為目標的網絡攻擊都可以歸類為數據泄露攻擊。數據泄露通常發生在網絡攻擊殺傷鏈的第 6 階段,此時在受感染的系統遠程網絡犯罪服務器之間建立連接。
了解通常在數據泄露之前的惡意進程是緩解這些攻擊的關鍵。它們為實施導致最終數據丟失事件的安全控制提供了機會,從而顯著混淆了攻擊序列。盡管數據泄露通常伴隨著數據泄露,但由于有價值的數據已經在傳輸中,因此數據盜竊具有更高的安全嚴重性分類。一些入侵檢測和威脅情報系統可以在黑客入侵敏感資源之后和任何數據丟失之前攔截他們。這種攔截需要在權限升級之前發生,這是敏感資源訪問之前的一個階段,因此是數據泄露。
如何檢測數據泄露
數據泄露不易檢測,因為事件通常隱藏在合法的日常流程之后。下面的每個檢測選項都為網絡流量分析提供了獨特的優勢。共同使用時,可以實現多維分析,以提高安全操作的效率。
1. 使用 SIEM:安全信息和事件管理系統 (SIEM)可以實時監控網絡流量。一些 SIEM 解決方案甚至可以檢測用于與命令和控制服務器通信的惡意軟件。
2.監控所有網絡協議:監控所有開放端口流量以檢測可疑流量,通常為 50GB+。此類發現應導致更有針對性的分析,因為它們可能只是合法的與業務相關的連接。
3. 監控外部 IP 地址連接:與不常見 IP 地址的企業連接可能表明數據泄露。安全團隊應保留所有已批準 IP 地址連接的最新日志,以便與所有新連接進行比較。
4. 監控出站流量模式:惡意軟件需要定期與 C&C 服務器通信以保持一致的連接。這些定期爆發的通信(稱為信標)為檢測 HTTP:80 和 HTTPS:443 等常用端口內的數據泄露提供了機會。請記住,一些高級惡意軟件和勒索軟件菌株,如 SUNBURST,會隨機化 C&C 通信之間的延遲。
如何在 2022 年防止數據泄露
防止數據泄露的關鍵是實施安全解決方案,以解決數據泄露攻擊的所有常見向量 ANCHOR LINK TO BELOW。這可以通過以下控件列表來實現。
1. 實施下一代防火墻 (NGFW):如果沒有防火墻,則不會監控出站連接,從而可以無縫建立 C&C 連接。下一代防火墻可調節所有流量協議中的所有出站流量。這些過濾器有時還集成了來自防病毒軟件的基于簽名的惡意軟件檢測,允許攔截和阻止已知的 C&C 惡意軟件行為。
然而,基于簽名的威脅檢測需要注意的是,它需要防病毒軟件保持最新。如果更新丟失或延遲,新的惡意軟件變種可能會在此期間溜走,并在未檢測到的情況下建立 C2 服務器連接。正因為如此,簽名威脅檢測只能用作額外的安全網,以及實時分析流量的基于行為的阻止策略,例如 SIEM。
2. 實施 SIEM:SIEM 可以分析所有狀態的數據:
- 休息中
- 正在使用
- 在途中
- 這使得檢測和阻止未經授權的傳輸成為可能,甚至來自筆記本電腦等端點。
3. 實施零信任架構:零信任架構在允許任何數據傳輸之前強制執行嚴格的用戶驗證。然而,防火墻和零信任架構的缺點是端點性能可能會受到負面影響,因為在連接到筆記本電腦之前需要不斷檢查所有出站連接。但是敏感數據丟失的好處遠遠超過了這些暫時的不便。
4. 關閉所有可疑會話:當識別出可疑會話時,例如數據傳輸到未經批準的 IP 地址,應立即通過禁用用戶的 Active Directory 帳戶 ID 或斷開用戶的虛擬專用網絡會話來切斷連接。您還應該立即查看并關閉與受感染用戶帳戶相關聯的所有訪問控制,以防止威脅參與者在連接中斷后切換到另一個用戶帳戶。
5. 實施數據丟失預防解決方案:數據丟失防護 (DLP) 解決方案將所有數據傳輸映射到預先存在的策略以檢測可疑活動。DLP 技術還分析所有數據傳輸的內容以檢查敏感信息。
6. 檢測并關閉所有數據泄漏:數據泄露是被忽視的敏感資源暴露。當它們被網絡犯罪分子發現時,它們會使入侵 IT 邊界的過程變得更加容易和快速。數據泄漏檢測解決方案將幫助您在這些數據泄漏促進注入數據泄露惡意軟件之前發現并關閉它們。理想情況下,這樣的解決方案必須不僅能夠解決內部數據泄漏問題,而且還能夠解決所有第三方數據泄漏問題。
7.修復所有軟件漏洞:軟件漏洞有助于惡意軟件注入,但不斷擴大的攻擊面使這些暴露非常難以管理。所有網絡安全計劃都應包括攻擊面監控解決方案。這將幫助您在被網絡犯罪分子利用之前快速修復所有內部和第三方漏洞。能夠解決第三方供應商網絡的攻擊面監控解決方案將幫助安全團隊解決供應鏈中的風險,以減輕供應鏈攻擊造成的破壞。
數據泄露攻擊技術
數字化轉型正在擴大攻擊面,為網絡攻擊提供豐富的數據泄露載體選擇。在高層次上,這些選項可以分為兩類,內部和外部網絡威脅。
內部人員威脅——惡意內部人員通常是心懷不滿的員工,試圖對其雇主造成傷害。他們可以通過將網絡流量轉移到云存儲服務來通過物理載體(如閃存驅動器)或數字載體來泄露數據。
外部威脅——網絡犯罪分子更喜歡外部數據泄露方法,因為這些攻擊可以從世界任何地方遠程發起。這也允許數據傳輸攻擊自動化并快速擴展。
下面列出了前 6 大外部數據泄露威脅。
1. 命令和控制服務器
命令和控制服務器連接是最常見的外部數據導出威脅。遠程攻擊需要在受感染系統和攻擊者的服務器之間建立通信通道——稱為命令和控制服務器(也稱為 C&C 或 C2 服務器)。這種連接的建立通常是由來自受感染網絡內部的惡意軟件發起的。C&C 惡意軟件可以通過下面列出的任何其他攻擊媒介注入 - FIX UP。這些連接可以通過三種協議建立——DNS、HTTP 和 FTP。
域名系統 (DNS):DNS 協議將域名轉換為 IP 地址,以便可以區分和識別連接到 Internet 的每臺計算機、資源和服務。數據泄露通過稱為 DNS 隧道的過程與此協議一起工作。這是通過 DNS 查詢和響應將數據傳輸到 C2 服務器的時候。當監控所有其他端口時,DNS 隧道是一種流行的數據泄露技術。
超文本傳輸??協議 (HTTP):HTTP 應用程序協議用于將數據從用戶傳輸到 Internet。它是最常見的通信渠道,這使其成為數據擠壓的主要目標。當 HTTP 協議不安全時,威脅參與者可以在大量 HTTP 流量之間傳輸敏感數據而不會被檢測到。
文件傳輸協議 (FTP):FTP 協議用于通過 Internet 將大文件傳輸到 Web 服務器。為了讓網絡攻擊者破壞此協議,必須從公司網絡內部對外部 FTP 服務器進行身份驗證。
2. 網絡釣魚攻擊
在建立數據泄露后門之前,必須將使此連接成為可能的惡意軟件注入目標系統。這發生在網絡攻擊殺傷鏈的第 3 階段。長期以來,網絡釣魚一直是網絡犯罪分子最喜歡的惡意軟件注入初始攻擊媒介。網絡釣魚策略基于古老的木馬攻擊方法。
在這些攻擊期間,一封看似無害的帶有受感染鏈接的電子郵件被發送給受害者。當點擊這些鏈接時,受害者要么被發送到一個憑據竊取誘餌網站,要么啟動一個秘密的惡意軟件安裝過程。
這是一個網絡釣魚電子郵件的示例,該電子郵件偽裝成來自 CDC 的有關 COVID-19 的重要信息。社會工程是另一種形式的網絡釣魚,可以促進惡意軟件注入的外圍攻擊。這些攻擊可能通過電話、電子郵件或社交媒體發生。在這些攻擊中,惡意行為者會偽裝成熟人(如客戶或客戶)聯系目標。然后,他們試圖誘騙受害者泄露內部敏感信息以訪問組織的網絡。
3. 出站電子郵件
駐留在電子郵件系統上的任何敏感信息都可以通過出站電子郵件輕松泄露。
這些數據可能包括:
- 日歷事件
- 數據庫
- 圖片
- 知識產權文件
4. 軟件漏洞
數字化轉型將組織及其合作伙伴的數字化表面連接起來。因此,軟件漏洞會影響與受感染方聯網的所有實體。這種影響可能會滲透到第三方甚至第四方的攻擊面。受損的第三方供應商可能會導致其所有合作伙伴遭受數據泄露,這種攻擊策略稱為供應鏈攻擊。
