O que é Exfiltração de dados?
A exfiltração de dados é a transferência não autorizada de dados dos sistemas de uma organização para um local externo controlado por um atacante, seja por meio de técnicas baseadas em rede, mídias físicas ou contas comprometidas.
Também conhecido como: data theft, data leakage, data exfil
A exfiltração de dados costuma ser o objetivo final — ou uma fase-chave — de um ciberataque. Os atacantes que obtiveram acesso aos sistemas internos buscam dados de alto valor: registros de clientes, propriedade intelectual, credenciais, dados financeiros e segredos comerciais. A exfiltração em si pode ocorrer por muitos canais: túneis criptografados para servidores externos, canais ocultos por DNS ou HTTPS, regras de encaminhamento de e-mail, uploads para armazenamento em nuvem ou até pen drives físicos.
A exfiltração de dados moderna costuma ser lenta e deliberada. Os atacantes preparam os dados em arquivos comprimidos ou criptografados, os exfiltram em pequenos incrementos para evitar a detecção e usam serviços legítimos (armazenamento em nuvem, ferramentas de colaboração) como mecanismos de transferência. A crescente adoção do ransomware de dupla extorsão transformou a exfiltração em um precursor comum dos ataques de criptografia, usando os dados roubados como alavanca adicional para as exigências de resgate.
A prevenção exige uma estratégia de defesa em profundidade: monitoramento da rede e detecção de anomalias, ferramentas de prevenção de perda de dados (DLP), controles nos endpoints, políticas de acesso rigorosas e criptografia dos dados sensíveis em repouso. Igualmente importante é minimizar a quantidade de dados sensíveis que existem em forma extraível. As credenciais, as chaves de API e os segredos armazenados em texto simples por e-mails, wikis e unidades compartilhadas representam alvos facilmente capturáveis durante a exfiltração.
Como o Vaulted usa Exfiltração de dados
O Vaulted reduz diretamente o volume de dados sensíveis disponíveis para a exfiltração. Os segredos compartilhados por meio do Vaulted são criptografados no lado do cliente com AES-256-GCM antes de chegarem ao servidor, e o servidor nunca conserva as chaves de descriptografia (zero-knowledge). Os links se autodestroem após um número limitado de visualizações, de modo que, mesmo que um atacante exfiltre o armazenamento Redis do servidor, ele só obtém blocos criptografados com expiração automática baseada em TTL. Comparado aos segredos que permanecem em texto simples nos arquivos de e-mail ou no histórico do Slack, o Vaulted não deixa dados sensíveis persistentes para que os atacantes os extraiam.