数据泄露攻击涉及未经授权将敏感数据(例如个人数据和知识产权)从目标系统转移到单独的位置。这些传输可以通过内部威胁在内部发生,也可以通过远程命令和控制服务器在外部发生。每次以数据盗窃为目标的网络攻击都可以归类为数据泄露攻击。数据泄露通常发生在网络攻击杀伤链的第 6 阶段,此时在受感染的系统远程网络犯罪服务器之间建立连接。
了解通常在数据泄露之前的恶意进程是缓解这些攻击的关键。它们为实施导致最终数据丢失事件的安全控制提供了机会,从而显着混淆了攻击序列。尽管数据泄露通常伴随着数据泄露,但由于有价值的数据已经在传输中,因此数据盗窃具有更高的安全严重性分类。一些入侵检测和威胁情报系统可以在黑客入侵敏感资源之后和任何数据丢失之前拦截他们。这种拦截需要在权限升级之前发生,这是敏感资源访问之前的一个阶段,因此是数据泄露。
如何检测数据泄露
数据泄露不易检测,因为事件通常隐藏在合法的日常流程之后。下面的每个检测选项都为网络流量分析提供了独特的优势。共同使用时,可以实现多维分析,以提高安全操作的效率。
1. 使用 SIEM:安全信息和事件管理系统 (SIEM)可以实时监控网络流量。一些 SIEM 解决方案甚至可以检测用于与命令和控制服务器通信的恶意软件。
2.监控所有网络协议:监控所有开放端口流量以检测可疑流量,通常为 50GB+。此类发现应导致更有针对性的分析,因为它们可能只是合法的与业务相关的连接。
3. 监控外部 IP 地址连接:与不常见 IP 地址的企业连接可能表明数据泄露。安全团队应保留所有已批准 IP 地址连接的最新日志,以便与所有新连接进行比较。
4. 监控出站流量模式:恶意软件需要定期与 C&C 服务器通信以保持一致的连接。这些定期爆发的通信(称为信标)为检测 HTTP:80 和 HTTPS:443 等常用端口内的数据泄露提供了机会。请记住,一些高级恶意软件和勒索软件菌株,如 SUNBURST,会随机化 C&C 通信之间的延迟。
如何在 2022 年防止数据泄露
防止数据泄露的关键是实施安全解决方案,以解决数据泄露攻击的所有常见向量 ANCHOR LINK TO BELOW。这可以通过以下控件列表来实现。
1. 实施下一代防火墙 (NGFW):如果没有防火墙,则不会监控出站连接,从而可以无缝建立 C&C 连接。下一代防火墙可调节所有流量协议中的所有出站流量。这些过滤器有时还集成了来自防病毒软件的基于签名的恶意软件检测,允许拦截和阻止已知的 C&C 恶意软件行为。
然而,基于签名的威胁检测需要注意的是,它需要防病毒软件保持最新。如果更新丢失或延迟,新的恶意软件变种可能会在此期间溜走,并在未检测到的情况下建立 C2 服务器连接。正因为如此,签名威胁检测只能用作额外的安全网,以及实时分析流量的基于行为的阻止策略,例如 SIEM。
2. 实施 SIEM:SIEM 可以分析所有状态的数据:
- 休息中
- 正在使用
- 在途中
- 这使得检测和阻止未经授权的传输成为可能,甚至来自笔记本电脑等端点。
3. 实施零信任架构:零信任架构在允许任何数据传输之前强制执行严格的用户验证。然而,防火墙和零信任架构的缺点是端点性能可能会受到负面影响,因为在连接到笔记本电脑之前需要不断检查所有出站连接。但是敏感数据丢失的好处远远超过了这些暂时的不便。
4. 关闭所有可疑会话:当识别出可疑会话时,例如数据传输到未经批准的 IP 地址,应立即通过禁用用户的 Active Directory 帐户 ID 或断开用户的虚拟专用网络会话来切断连接。您还应该立即查看并关闭与受感染用户帐户相关联的所有访问控制,以防止威胁参与者在连接中断后切换到另一个用户帐户。
5. 实施数据丢失预防解决方案:数据丢失防护 (DLP) 解决方案将所有数据传输映射到预先存在的策略以检测可疑活动。DLP 技术还分析所有数据传输的内容以检查敏感信息。
6. 检测并关闭所有数据泄漏:数据泄露是被忽视的敏感资源暴露。当它们被网络犯罪分子发现时,它们会使入侵 IT 边界的过程变得更加容易和快速。数据泄漏检测解决方案将帮助您在这些数据泄漏促进注入数据泄露恶意软件之前发现并关闭它们。理想情况下,这样的解决方案必须不仅能够解决内部数据泄漏问题,而且还能够解决所有第三方数据泄漏问题。
7.修复所有软件漏洞:软件漏洞有助于恶意软件注入,但不断扩大的攻击面使这些暴露非常难以管理。所有网络安全计划都应包括攻击面监控解决方案。这将帮助您在被网络犯罪分子利用之前快速修复所有内部和第三方漏洞。能够解决第三方供应商网络的攻击面监控解决方案将帮助安全团队解决供应链中的风险,以减轻供应链攻击造成的破坏。
数据泄露攻击技术
数字化转型正在扩大攻击面,为网络攻击提供丰富的数据泄露载体选择。在高层次上,这些选项可以分为两类,内部和外部网络威胁。
内部人员威胁——恶意内部人员通常是心怀不满的员工,试图对其雇主造成伤害。他们可以通过将网络流量转移到云存储服务来通过物理载体(如闪存驱动器)或数字载体来泄露数据。
外部威胁——网络犯罪分子更喜欢外部数据泄露方法,因为这些攻击可以从世界任何地方远程发起。这也允许数据传输攻击自动化并快速扩展。
下面列出了前 6 大外部数据泄露威胁。
1. 命令和控制服务器
命令和控制服务器连接是最常见的外部数据导出威胁。远程攻击需要在受感染系统和攻击者的服务器之间建立通信通道——称为命令和控制服务器(也称为 C&C 或 C2 服务器)。这种连接的建立通常是由来自受感染网络内部的恶意软件发起的。C&C 恶意软件可以通过下面列出的任何其他攻击媒介注入 - FIX UP。这些连接可以通过三种协议建立——DNS、HTTP 和 FTP。
域名系统 (DNS):DNS 协议将域名转换为 IP 地址,以便可以区分和识别连接到 Internet 的每台计算机、资源和服务。数据泄露通过称为 DNS 隧道的过程与此协议一起工作。这是通过 DNS 查询和响应将数据传输到 C2 服务器的时候。当监控所有其他端口时,DNS 隧道是一种流行的数据泄露技术。
超文本传输??协议 (HTTP):HTTP 应用程序协议用于将数据从用户传输到 Internet。它是最常见的通信渠道,这使其成为数据挤压的主要目标。当 HTTP 协议不安全时,威胁参与者可以在大量 HTTP 流量之间传输敏感数据而不会被检测到。
文件传输协议 (FTP):FTP 协议用于通过 Internet 将大文件传输到 Web 服务器。为了让网络攻击者破坏此协议,必须从公司网络内部对外部 FTP 服务器进行身份验证。
2. 网络钓鱼攻击
在建立数据泄露后门之前,必须将使此连接成为可能的恶意软件注入目标系统。这发生在网络攻击杀伤链的第 3 阶段。长期以来,网络钓鱼一直是网络犯罪分子最喜欢的恶意软件注入初始攻击媒介。网络钓鱼策略基于古老的木马攻击方法。
在这些攻击期间,一封看似无害的带有受感染链接的电子邮件被发送给受害者。当点击这些链接时,受害者要么被发送到一个凭据窃取诱饵网站,要么启动一个秘密的恶意软件安装过程。
这是一个网络钓鱼电子邮件的示例,该电子邮件伪装成来自 CDC 的有关 COVID-19 的重要信息。社会工程是另一种形式的网络钓鱼,可以促进恶意软件注入的外围攻击。这些攻击可能通过电话、电子邮件或社交媒体发生。在这些攻击中,恶意行为者会伪装成熟人(如客户或客户)联系目标。然后,他们试图诱骗受害者泄露内部敏感信息以访问组织的网络。
3. 出站电子邮件
驻留在电子邮件系统上的任何敏感信息都可以通过出站电子邮件轻松泄露。
这些数据可能包括:
- 日历事件
- 数据库
- 图片
- 知识产权文件
4. 软件漏洞
数字化转型将组织及其合作伙伴的数字化表面连接起来。因此,软件漏洞会影响与受感染方联网的所有实体。这种影响可能会渗透到第三方甚至第四方的攻击面。受损的第三方供应商可能会导致其所有合作伙伴遭受数据泄露,这种攻击策略称为供应链攻击。
