A simple guide to data exfiltration

In der heutigen Welt, in der Daten alles sind, hat die Datensicherheit für Unternehmen höchste Priorität. Eine der größten Sicherheitsbedrohungen für die sensiblen und vertraulichen Informationen eines Unternehmens ist die Datenexfiltration. Sie stellt ein erhebliches Risiko für Organisationen dar, die mit sensiblen Daten umgehen, und kann durch verschiedene Faktoren verursacht werden, wie z. B. externe Angriffe, Bedrohungen durch Insider und Phishing-Angriffe.

Was ist Datenexfiltration?

Unter Datenexfiltration, auch Datendiebstahl oder Datenleck genannt, versteht man die unbefugte Übertragung von Daten aus dem internen Netzwerk einer Organisation in ein externes Netzwerk. Dies kann mit einer Vielzahl von Techniken erfolgen und ist oft schwer zu erkennen. Bei den gestohlenen Daten kann es sich um Finanzinformationen, Kundendaten, geistiges Eigentum oder andere vertrauliche Informationen handeln.
In den letzten Jahren hat die Zahl der Datenpannen, die auf Datenexfiltration zurückzuführen sind, zugenommen, was für die betroffenen Organisationen zu erheblichen finanziellen Verlusten und Rufschädigungen geführt hat. Einer der bekanntesten Fälle von Datenextraktion ist die Datenpanne bei Target im Jahr 2013. Laut Slate stahlen die Angreifer Daten, darunter detaillierte Informationen zu 40 Millionen Kredit- und Debitkartenkonten sowie die persönlichen Daten von über 70 Millionen Kunden, aus den Kassensystemen von Target.

Die Angreifer verschafften sich über einen Drittanbieter, der über den Zugang verfügte, Zugang zum Netzwerk von Target. Anschließend installierten sie Malware in den Kassensystemen von Target, wodurch sie Daten auf einen externen Server exfiltrieren konnten. Die Auswirkungen des Datenlecks bei Target waren massiv. Der Aktienkurs von Target fiel und das Unternehmen erlitt einen erheblichen Reputationsschaden, geriet unter behördliche Aufsicht und musste finanzielle Kosten im Zusammenhang mit dem Datenleck tragen, darunter Geldstrafen und Anwaltskosten. Dies verdeutlicht die Schwere der Datenexfiltration und ihre Auswirkungen auf Unternehmen und Kunden.

Arten der Datenexfiltration

Datenexfiltration kann auf viele verschiedene Arten erfolgen. Zu den häufigsten Arten der Datenexfiltration gehören:

• Netzwerkbasierte Exfiltration: Hierbei werden Daten über ein Netzwerk an einen externen Ort (d. h. den Server des Angreifers) übertragen, wobei Protokolle wie HTTP, FTP und DNS verwendet werden. Angreifer können Schwachstellen im Netzwerk ausnutzen, um Zugriff auf sensible Informationen zu erhalten.
• Physische Exfiltration: Hierbei werden die Daten physisch aus dem Netzwerk entfernt. Diese Methode kann den Diebstahl physischer Geräte wie Laptops, Festplatten oder USB-Sticks beinhalten, die sensible Daten enthalten. Alternativ kann der Angreifer Wechselmedien wie USB-Sticks, externe Festplatten oder Speicherkarten verwenden, um die Daten zu kopieren.
• Insider-Exfiltration: Hierbei stehlen Mitarbeiter oder Auftragnehmer mit autorisiertem Zugriff auf sensible Daten diese und verkaufen sie an Unbefugte.
• Cloud-based exfiltration: Hierbei werden Daten an nicht autorisierte Cloud-Speicherkonten übertragen. Bei dieser Methode werden Daten aus cloudbasierten Diensten wie AWS, Microsoft Azure oder Google Cloud exfiltriert. Der Angreifer kann sich Zugriff auf die Cloud-Dienste verschaffen, indem er Schwachstellen ausnutzt oder Anmeldedaten stiehlt.
• Anwendungsbasierte Exfiltration:Hierbei werden Daten über Schwachstellen in Anwendungen oder bösartigen Code innerhalb einer Anwendung übertragen.

Möglichkeiten zur Verhinderung und Eindämmung von Datenexfiltration

Organisationen können verschiedene Maßnahmen ergreifen, um die Datenextraktion zu verhindern und zu mindern, darunter:

• Umsetzung einer starken Sicherheitsrichtlinie: Dies hilft, die Datenextraktion zu verhindern. Die Richtlinie sollte Maßnahmen wie Zugriffskontrollen, Verschlüsselung und regelmäßige Sicherheitsprüfungen umfassen.
• Durchführung regelmäßiger Sicherheitsprüfungen: Mithilfe von Prüfungen können Organisationen Schwachstellen im Netzwerk erkennen und Angriffe verhindern, bevor sie auftreten.
• Verwendung von Data Loss Prevention (DLP)-Lösungen: DLP-Lösungen helfen, Datenexfiltration zu verhindern, indem sie die Daten überwachen, die das Netzwerk verlassen, und verdächtige Aktivitäten identifizieren.
• Einsatz von Endpunktsicherheitslösungen: Diese Lösungen helfen, Datenexfiltration zu verhindern, indem sie Endpunkte wie Laptops, Desktops und mobile Geräte überwachen.
• Einrichtung von Zugriffskontrollen: Dadurch wird sichergestellt, dass nur autorisiertes Personal auf sensible Daten zugreifen kann. Der Zugriff sollte auf einer „Need-to-know“-Basis erfolgen.
• Überwachung des Netzwerkverkehrs: Dies hilft Organisationen, unbefugte Datenübertragungen zu erkennen.
• Einsatz einer Multi-Faktor-Authentifizierung (MFA): MFA sollte implementiert werden, um sicherzustellen, dass nur autorisiertes Personal auf sensible Daten zugreifen kann.

Darüber hinaus können Organisationen die Hilfe von Cybersicherheitsexperten in Anspruch nehmen, um SIEM- und UEBA-Lösungen wie ManageEngine Log360 zu implementieren, die bei diesen bewährten Verfahren und mehr helfen.

Darüber hinaus können Organisationen ihre Mitarbeiter darin schulen, verdächtige Aktivitäten zu erkennen und zu melden und Sicherheitsprotokolle strikt einzuhalten. Außerdem sollten Organisationen Daten sowohl im Ruhezustand als auch während der Übertragung verschlüsseln, um unbefugten Zugriff zu verhindern.

Datenexfiltration in MITRE ATT&CK®

MITRE ATT&CK ist ein Framework, das einen umfassenden Ansatz zur Identifizierung, Erkennung und Reaktion auf Cyberangriffe, einschließlich Datenexfiltrationsangriffe, bietet. Durch die Nutzung von MITRE ATT&CK können Organisationen die Taktiken und Techniken von Bedrohungsakteuren bei der Datenextraktion besser verstehen. Dadurch können Organisationen entsprechende Präventivmaßnahmen ergreifen.

Im MITRE ATT&CK-Rahmenwerk wird die Datenextraktion als eine der Taktiken oder Ziele von Bedrohungsakteuren eingestuft. Das Rahmenwerk listet mehrere Techniken auf, die Angreifer für die Datenextraktion verwenden können, darunter:

• Exfiltration über ein alternatives Protokoll: Bei dieser Technik wird ein anderes Protokoll als HTTP oder HTTPS verwendet, um Daten zu exfiltrieren, z. B. DNS, FTP oder SMTP. Angreifer können nicht standardisierte Protokolle zur Datenübertragung verwenden, wodurch die Exfiltration schwieriger zu erkennen ist.
• Exfiltration über einen C2-Kanal: Bei dieser Technik wird ein Befehls- und Steuerungskanal (C2) verwendet, z. B. eine Backdoor oder ein Fernzugriffstool, um Daten zu exfiltrieren.
• Exfiltration über physische Medien: Angreifer können ein physisches Medium wie eine externe Festplatte, ein USB-Laufwerk oder ein Mobiltelefon verwenden, um Daten zu exfiltrieren.
• Größenbeschränkungen für die Datenübertragung: Angreifer exfiltrieren Daten in kleineren Paketgrößen statt in ganzen Dateien, um die Auslösung von Warnmeldungen zu Datenübertragungsbeschränkungen zu vermeiden.
• Geplante Übertragung: Angreifer entscheiden sich dafür, Daten zu bestimmten Zeiten oder in bestimmten Intervallen zu exfiltrieren, um ihre Aktivitäten an den regulären Verkehrs- und Verfügbarkeitsmustern auszurichten.

Zusammenfassend lässt sich sagen, dass die Datenextraktion eine erhebliche Bedrohung für Organisationen darstellt und einen umsichtigen, umfassenden Ansatz erfordert, um ihre Auswirkungen zu verhindern und zu mindern. Organisationen müssen der Implementierung robuster Sicherheitslösungen und Mitarbeiterschulungen Priorität einräumen, um sich vor Datenextraktionsangriffen zu schützen. Der Einsatz von Frameworks wie MITRE ATT&CK kann Organisationen auch dabei helfen, der sich entwickelnden Bedrohungslandschaft immer einen Schritt voraus zu sein.