Sicurezza e cyber securityEsfiltrazione dei dati: l’ultima frontiera delle minacce informatiche

Di cosa si tratta?

La Cyber Security è oggi la più grande sfida alla sicurezza che utenti privati, imprese ed istituzioni si siano mai trovati ad affrontare. L’epidemia di ransomware e le violazioni dei dati sono al primo posto nella classifica delle loro preoccupazioni, con eventi di “data breach” che hanno raggiunto cifre iperboliche nella media dei $ 4.24 milioni di Dollari Americani (AON’s 2021 Global Risk Management Survey, 2021). L’ultima frontiera nelle violazioni informatiche è rappresentata dall’esfiltrazione dei dati, particolare tipo di minaccia che può avere una moltitudine di ripercussioni diverse e devastanti, a livello tecnico, economico e reputazionale di ogni tipologia di soggetto coinvolto. Essa è per definizione la rimozione od estrazione non autorizzata di dati da un dispositivo, sia esso un endpoint come un PC, smartphone o server. Questo tipo di violazione può arrivare ad essere la forma più distruttiva, in quanto estremamente subdola e difficoltosa da individuare e fermare, permettendo in molti casi ad hacker criminali di trasferire enormi quantità di dati ed accumularli in database per mesi. In alcuni casi è stato scoperto che l’esfiltrazione dei dati stava protraendosi da anni, in maniera lenta, silenziosa ma inesorabile. Le forme di difesa più sofisticate si sono concentrate sulla protezione del perimetro della rete e sul non permettere agli hacker di penetrarlo con qualsivoglia mezzo. Questo è certamente auspicabile, ma non è realisticamente implementabile nel 100% dei casi o delle occasioni. Ogni giorno, nuove vulnerabilità di tipo “zero-day” vengono scoperte e sfruttate da hacker criminali per attaccare decine di migliaia di endpoint. Nonostante le contromisure standard presenti in molte imprese ed enti governativi, l’errore umano e la noncuranza sono variabili difficilmente prevedibili, ne arginabili.

Come funziona?

L’esfiltrazione di dati comprende alcune modalità di funzionamento, ma essenzialmente può essere ridotta a due vettori d’attacco chiave: assalitori dall’esterno e minacce dirette dall’interno. Gli attacchi provenienti dall’esterno sfruttano tipicamente mezzi come l’iniezione di malware o attacchi di phishing per rubare credenziali d’accesso e dati sensibili o criptati. Una volta all’interno, sono in grado di copiare le informazioni e di ritrasferirle verso chi ha perpetrato l’attacco, a comando o autonomamente. Non è raro che ci si accorga di un’esfiltrazione di dati dopo mesi o addirittura anni. Le “insider threats”, minacce dirette dall’interno, originano invece dall’interno della propria organizzazione attraverso il proprio stesso personale, sia in maniera non intenzionale per non curanza che per condotta fraudolenta. In questi casi, un insider malevolo può copiare e rimuovere dei dati che possono essere successivamente venduti ad organizzazioni criminali o recapitate ad un competitor. È sempre più comune che queste gang informatiche cerchino di reclutare attivamente “infiltrati” al fine di essere aiutati nel colpire le loro reti e infrastrutture.

Perché esfiltrare informazioni?

Oltre al classico scopo del furto di dati personali per essere utilizzati poi successivamente per commettere reati finanziari o truffe, l’estrazione silente di informazioni confidenziali e di interesse critico per un’organizzazione, come ad esempio segreti commerciali, possono essere impiegate per compiere dei veri e propri spionaggi industriali o addirittura a livello governativo. Infatti, un nuovo tipo di servizio denominato “Industrial Spy”, è stato sviluppato per mettere a disposizione un vero e proprio “mercato delle informazioni” dove poter acquistare i segreti tecnici e commerciali del proprio competitor, per cifre che possono andare dai pochi dollari a cifre ben più importanti, nell’ordine di milioni di dollari. Altra piaga oggi tristemente diffusa, è l’elevato rischio di cyber estorsione, dove l’organizzazione criminale minaccia di rivelare pubblicamente online dati e dettagli critici di un’organizzazione, spesso anche in combinazione con un massiccio attacco ransomware, con il lucrativo risultato di una doppia estorsione. Se si pensa poi al danno economico che potrebbe essere subito a causa delle salatissime multe in caso di mancata compliance alle severe norme del G.D.P.R. (fino al 4% del fatturato annuo o fino ad un massimo di $20.000.000 di dollari). Ultimo punto, ma non per questo meno critico, un’azienda non in grado di proteggere i propri dati perde completamente la fiducia delle imprese che glie li hanno affidati, creando un danno d’immagine incalcolabile.

Dove finiscono le tue informazioni?

Secondo una ricerca autonoma di un’impresa leader nella Corporate Cyber Security, circa il 19% delle informazioni è risultato inviato verso la Russia. Altri paesi degni di nota in questa lista di “Rogue States”, sono la Cina, La Corea del Nord, l’Iran, l’India, per citarne alcune. Il dark web poi, è un altro “luogo di scambio” dove fare affari d’oro, solitamente dati commerciali o tecnici proprietari e di vitale importanza per una corporate, la quale si troverebbe a perdere tutti i vantaggi su eventuali competitors o addirittura favorendoli su nuovi prodotti o sviluppi futuri.

Le contromisure impiegabili

La miglior difesa contro il furto di dati è che essa venga messa in atto bloccando l’evento prima ancora accada. Una volta che i dati sono stati estratti da una network, il danno è già stato fatto; quindi, strategie di mitigazione del rischio e di risposta agli incidenti possono avere uno scarso impatto. Risulta implicito il bisogno di un sistema di anti esfiltrazione (ADX), in grado di interrompere il processo per cui il proprio business cadrebbe vittima al primo colpo.

A cura di: Ferretto Marcello