Vaulted
Słownik

Czym jest Eksfiltracja danych?

Eksfiltracja danych to nieautoryzowany transfer danych z systemów organizacji do zewnętrznej lokalizacji kontrolowanej przez atakującego — przez techniki sieciowe, nośniki fizyczne lub skompromitowane konta.

Znane również jako: data theft, data leakage, data exfil

Eksfiltracja danych jest często ostatecznym celem — lub kluczową fazą — cyberataku. Atakujący, którzy uzyskali dostęp do systemów wewnętrznych, szukają wartościowych danych: rekordów klientów, własności intelektualnej, poświadczeń, danych finansowych i tajemnic handlowych. Sama eksfiltracja może odbywać się przez wiele kanałów: zaszyfrowane tunele do zewnętrznych serwerów, ukryte kanały przez DNS lub HTTPS, reguły przekazywania e-mail, przesyłanie do przechowalni chmurowej, a nawet fizyczne pendrive'y.

Nowoczesna eksfiltracja danych jest często powolna i celowa. Atakujący przygotowują dane w skompresowanych lub zaszyfrowanych archiwach, eksfiltrują je małymi porcjami, aby uniknąć wykrycia, i używają legalnych usług (pamięć w chmurze, narzędzia do współpracy) jako mechanizmów transferu. Rosnące rozpowszechnienie ransomware z podwójnym wymuszeniem sprawiło, że eksfiltracja stała się częstym prekursorem ataków szyfrujących, a skradzione dane służą jako dodatkowa dźwignia do żądań okupu.

Zapobieganie wymaga strategii obrony wielowarstwowej: monitorowania sieci i wykrywania anomalii, narzędzi Data Loss Prevention (DLP), kontroli punktów końcowych, rygorystycznych zasad dostępu i szyfrowania wrażliwych danych w spoczynku. Równie ważne jest minimalizowanie ilości wrażliwych danych istniejących w ekstrahowalnej postaci. Poświadczenia, klucze API i sekrety przechowywane jako jawny tekst w e-mailach, wiki i udostępnionych dyskach są łatwo dostępnymi celami podczas eksfiltracji.

Jak Vaulted używa Eksfiltracja danych

Vaulted bezpośrednio zmniejsza wolumen wrażliwych danych dostępnych do eksfiltracji. Sekrety udostępniane przez Vaulted są szyfrowane po stronie klienta za pomocą AES-256-GCM, zanim dotrą do serwera, a serwer nigdy nie przechowuje kluczy deszyfrujących (zero-knowledge). Linki niszczą się same po ograniczonej liczbie wyświetleń, więc nawet jeśli atakujący eksfiltruje pamięć Redis serwera, otrzymuje tylko zaszyfrowane bloby z automatycznym wygaśnięciem TTL. W porównaniu z sekretami pozostającymi jako jawny tekst w archiwach e-mail lub historiach Slack, Vaulted nie pozostawia trwałych wrażliwych danych, które atakujący mógłby wydobyć.

Udostępnij sekret →