Data exfiltration là gì? Cách ngăn chặn đánh cắp dữ liệu
BÀI LIÊN QUAN
Data In Use là gì? Cách bảo mật dữ liệu đang sử dụngData loss prevention (DLP) - Giải pháp chống thất thoát dữ liệuEndpoint là gì? Vai trò của Endpoint trong quản lý bảo mậtData exfiltration là gì?
Data exfiltration, hay còn được gọi là data extrusion, data exportation hay data theft. Tất cả các thuật ngữ này đều được sử dụng để mô tả việc truyền dữ liệu trái phép từ máy tính hoặc thiết bị khác ra ngoài.
Data exfiltration (data extrusion) có thể được thực hiện thủ công bởi một cá nhân có quyền truy cập vào máy tính, hoặc cũng có thể là quy trình tự động thông qua các chương trình độc hại.
Về cơ bản, data exfiltration là một hình thức vi phạm an ninh, xảy ra khi dữ liệu của một cá nhân hoặc công ty bị sao chép, truyền hoặc truy xuất trái phép. Mặc dù có nhiều kỹ thuật khác nhau, nhưng data exfiltration (data extrusion) thường được thực hiện bởi tội phạm mạng thông qua Internet hoặc mạng lưới (network). Các cuộc tấn công thường được nhắm mục tiêu, với mục đích chính là giành quyền truy cập để định vị và sao chép dữ liệu cụ thể.
Data exfiltration có thể khó phát hiện. Bởi nó liên quan đến việc truyền hoặc di chuyển dữ liệu bên trong và bên ngoài mạng của công ty, nên data exfiltration (data extrusion) thường gần giống như lưu lượng mạng thông thường - cho phép sự cố mất dữ liệu xảy ra ngoài tầm kiểm soát - cho đến khi việc đánh cắp hoàn tất. Và một khi dữ liệu quý giá nhất đã nằm trong tay hacker, thiệt hại có thể vô cùng lớn.
Data exfiltration xảy ra như thế nào?
Data exfiltration (data extrusion) có thể xảy ra theo hai cách: Thông qua tấn công từ bên ngoài và Thông qua mối đe dọa từ nội bộ. Cả hai đều là những rủi ro lớn và các tổ chức bảo vệ dữ liệu bằng cách cảnh giác và có biện pháp ngăn chặn khả năng dữ liệu bị đánh cắp mọi lúc.
Tấn công từ bên ngoài tổ chức là tình huống một cá nhân xâm nhập vào mạng để lấy cắp dữ liệu của công ty và thông tin xác thực của người dùng. Các tội phạm mạng thường thực hiện điều đó bằng cách “tiêm” những phần mềm độc hại vào thiết bị được kết nối với mạng công ty, chẳng hạn như máy tính hay điện thoại thông minh…
Một số chuỗi phần mềm độc hại được thiết kế có khả năng lây lan trên mạng tổ chức và xâm nhập vào nhiều thiết bị, tìm kiếm dữ liệu nhạy cảm và cố gắng lấy cắp thông tin. Một số khác không hoạt động trực tiếp trên mạng nhằm tránh bị hệ thống bảo mật phát hiện, để thu thập thông tin dần dần theo thời gian hoặc cho đến bị phát hiện.
Các cuộc tấn công cũng có thể xảy ra do những kẻ nội gián ác ý, cố gắng đánh cắp dữ liệu trong tổ chức và bán cho tội phạm mạng. Hoặc cũng có thể được gây ra bởi sự bất cẩn của nhân viên khiến dữ liệu của công ty rơi vào tay kẻ xấu.
Hacker truy cập vào máy của bạn như thế nào?
Thông thường, với những hệ thống dựa vào mật khẩu cài sẵn, phổ biến hoặc dễ bị bẻ khóa, hacker có thể đánh cắp dữ liệu. Thực tế, theo thống kê, các hệ thống này là những hệ thống bị rò rỉ dữ liệu nhiều nhất. Hacker có khả năng truy cập vào máy mục tiêu thông qua các ứng dụng từ xa hoặc bằng cách cài đặt thiết bị di động,nếu chúng có chạm được vào máy mục tiêu.
Advanced Persistent Threat (APT) là một dạng tấn công mạng, trong đó data exfiltration là mục tiêu chính. APT nhắm mục tiêu nhất quán vào các công ty hoặc tổ chức cụ thể với mục tiêu truy cập hoặc đánh cắp dữ liệu bị hạn chế. Mục tiêu của APT là giành quyền truy cập vào mạng mà không bị phát hiện, lén lút tìm kiếm dữ liệu mục tiêu hoặc có giá trị nhất, như bí mật thương mại, sở hữu trí tuệ, thông tin tài chính hoặc dữ liệu khách hàng nhạy cảm…
APT có thể dựa vào các kỹ thuật xã hội hoặc những email lừa đảo với nội dung thuyết phục người dùng mở email chứa tập lệnh độc hại, sử dụng tập lệnh này và vô tình cài đặt phần mềm độc hại vào mạng công ty. Sau bước khai thác này là giai đoạn khám phá dữ liệu, trong đó, hacker dựa vào các công cụ giám sát và thu thập dữ liệu để xác định thông tin mục tiêu. Khi phát hiện dữ liệu và nội dung mong muốn, các kỹ thuật data exfiltration được sử dụng để chuyển dữ liệu.
Khi tội phạm mạng thực hiện thành công data exfiltration (data extrusion), chúng có thể sử dụng dữ liệu đã lấy được để bôi nhọ danh tiếng công ty bạn, nhằm thu lợi hoặc đơn giản là để phá hoại.
Phân loại Data Exfiltration và Kỹ thuật tấn công
Data exfiltration xảy ra theo nhiều cách và phương thức tấn công.
Công nghệ mà các tội phạm mạng sử dụng để lấy cắp dữ liệu từ mạng và hệ thống của tổ chức ngày càng trở nên tinh vi và khó có thể phát giác. Một số công nghệ có thể kể đến như kết nối ẩn danh đến máy chủ, Hệ thống phân giải tên miền (DNS), Giao thức truyền tải siêu văn bản (HTTP), Giao thức truyền tải siêu văn bản bảo mật (HTTPS), địa chỉ IP trực tiếp, tấn công không dùng tệp hay mã code từ xa…
Dưới đây là các loại data exfiltration (data extrusion) phổ biến và kỹ thuật tấn công mạng:
1. Tấn công phi kỹ thuật và tấn công giả mạo
Các cuộc Tấn công giả mạo (Phishing Attacks) và Tấn công phi kỹ thuật (Social Engineering) phổ biến trong sử dụng để lừa nạn nhân tải phần mềm độc hại và đánh mất thông tin đăng nhập của họ.
Phishing Attacks bao gồm các email được thiết kế có vẻ hợp pháp và được gửi từ người có vẻ đáng tin cậy. Tuy nhiên, chúng chứa tệp đính kèm độc hại, tiêm phần mềm độc hại vào thiết bị của người dùng hoặc liên kết đến trang web, với hình thức hợp pháp nhưng thực tế là giả mạo để đánh cắp thông tin đăng nhập mà người dùng đã nhập.
Một số cuộc tấn công nhắm vào một người dùng cụ thể, như giám đốc điều hành cấp cao của công ty hoặc các cá nhân có ảnh hưởng như người nổi tiếng hoặc chính trị gia.
2. Email Outbound
Tội phạm mạng sử dụng email để trích xuất mọi dữ liệu có trên hệ thống email đã gửi đi của các tổ chức, chẳng hạn như lịch, cơ sở dữ liệu, hình ảnh và tài liệu lập kế hoạch. Dữ liệu này có thể bị đánh cắp từ hệ thống email với email, tin nhắn văn bản hoặc tệp đính kèm.
3. Tải xuống thiết bị không an toàn
Phương pháp data exfiltration này là một hình thức phổ biến của tai nạn gây rò rỉ thông tin từ nội bộ. Tác nhân độc hại truy cập thông tin nhạy cảm của công ty ngay trên thiết bị vốn được tin dùng, sau đó chuyển dữ liệu vào một thiết bị không an toàn. Thiết bị không an toàn đó có thể là máy ảnh, ổ đĩa ngoài hoặc điện thoại thông minh không được bảo vệ bởi các giải pháp hoặc chính sách bảo mật của công ty, điều này khiến thiết bị có nguy cơ bị rò rỉ dữ liệu cao.
Điện thoại thông minh cũng rất dễ bị đánh cắp dữ liệu, với các thiết bị dễ bị cài phần mềm độc hại như Android, hệ thống có thể bị chiếm quyền kiểm soát điện thoại để tải xuống ứng dụng mà không có sự đồng ý của người dùng.
4. Tải lên thiết bị gắn ngoài
Kiểu data exfiltration này thường đến từ nội gián. Kẻ tấn công từ bên trong có thể tải xuống thông tin từ thiết bị bảo mật, sau đó tải nó lên một thiết bị gắn ngoài (external device), đó có thể là máy tính xách tay, điện thoại thông minh, máy tính bảng hoặc ổ USB.
5. Lỗi do con người và Không an toàn trong đám mây
Đám mây mang đến cho người dùng và doanh nghiệp vô số lợi ích, nhưng đi kèm với đó là những rủi ro đáng kể về data exfiltration (data extrusion). Ví dụ: Khi người dùng được ủy quyền truy cập dịch vụ đám mây theo cách không an toàn, họ sẽ cho phép kẻ xấu thực hiện các thay đổi trên máy ảo, triển khai và cài đặt mã độc hại cũng như gửi yêu cầu độc hại đến dịch vụ đám mây. Lỗi do con người và các vấn đề về thủ tục cũng đóng một vai trò lớn trong data exfiltration.
Làm thế nào phát hiện Data Exfiltration?
Tùy vào phương thức tấn công, việc phát hiện data exfiltration có thể là một nhiệm vụ khó khăn. Thậm chí có những kỹ thuật khó phát hiện đến mức khiến chúng ta lầm tưởng với lưu lượng mạng thông thường. Điều này có nghĩa là chúng có thể ẩn nấp trong các mạng mà không bị phát giác trong nhiều tháng và thậm chí nhiều năm, bởi data exfiltration thường chỉ có thể được phát hiện khi tổ chức đã nhận thấy những thiệt hại cụ thể.
Để phát hiện sự data exfiltration (data extrusion), các tổ chức cần xem xét đến các công cụ có khả năng tự động phát hiện lưu lượng truy cập độc hại hay bất thường trong thời gian thực, như Hệ thống phát hiện xâm nhập (IDS), theo dõi mạng và truy tìm các mối đe dọa cũng như lưu lượng truy cập đáng ngờ hoặc độc hại. Khi phát hiện mối đe dọa có thể xảy ra, IDS sẽ gửi cảnh báo đến nhóm bảo mật và công nghệ thông tin của tổ chức.
Các công cụ này hoạt động bằng theo cách tìm kiếm các dấu hiệu tấn công đã biết và phát hiện các điểm bất thường so với hoạt động mạng thông thường. Sau đó, đưa ra cảnh báo hoặc báo cáo về sự bất thường.
Khi các rủi ro được phát hiện, các tổ chức có thể phân tích rủi ro bằng cách sử dụng các công cụ như phân tích phần mềm mã độc tĩnh (static malware analysis) và phân tích phần mềm mã độc động (dynamic malware analysis). Điều này cho phép các tổ chức hiểu được mối đe dọa và tác động tiềm tàng mà nó có thể gây ra đối với các thiết bị và mạng.
Cách ngăn chặn đánh cắp dữ liệu
Với xu hướng làm việc từ xa và di động của môi trường lao động hiện đại, việc ngăn chặn data exfiltration (data extrusion) càng khó khăn hơn bao giờ hết.
Do đó, trước tiên, các tổ chức phải ngăn không cho dữ liệu nhạy cảm truyền đến các máy chủ không xác định, ở những địa điểm có mức độ tấn công mạng cao. Nên ngăn chặn việc truyền dữ liệu trái phép đến các máy chủ của bên thứ ba - đây được coi là nguồn gốc của các cuộc tấn công mạng hiện đại.
Các tổ chức cũng có thể ngăn chặn data exfiltration bằng các giải pháp bảo mật đảm bảo ngăn ngừa mất mát và rò rỉ dữ liệu. Ví dụ: Tường lửa (firewall) có thể chặn truy cập trái phép vào tài nguyên và hệ thống lưu trữ thông tin nhạy cảm. Hay, Quản lý Log và Sự kiện tập trung (SIEM) có thể bảo mật data in motion (dữ liệu chuyển động), data in use (dữ liệu đang được sử dụng) và data at rest (dữ liệu ở trạng thái nghỉ), bảo mật các điểm cuối (endpoints) và xác định các hoạt động truyền dữ liệu đáng ngờ.
Tường lửa thế hệ tiếp theo (NGFW) cho phép các tổ chức bảo vệ mạng khỏi các đe dọa mạng bên trong và bên ngoài. NGFW duy trì các tính năng như IP mapping, IPsec và Lớp cổng bảo mật (SSL) Mạng riêng ảo (VPN) cũng như giám sát mạng. NGFW cũng cho phép kiểm tra lưu lượng sâu hơn, cho phép các tổ chức xác định và chặn các cuộc tấn công và phần mềm độc hại trên toàn bộ bề mặt tấn công (attack surface). NGFW tự động cập nhật để ngăn chặn data exfiltration (data extrusion) khỏi những cuộc tấn công mới và nâng cao, đồng thời bảo vệ mạng khỏi những đe dọa mới nổi.
Data exfiltration (data extrusion) có vẻ khá dễ để ngăn chặn, nhưng chúng đang ngày một nâng cao và xuất hiện thường xuyên, đòi hỏi các tổ chức cần có phương pháp bảo vệ dữ liệu toàn diện và mạnh mẽ, để theo dõi và ngăn chặn dữ liệu bị đánh cắp ra khỏi tổ chức của bạn.