Data Exfiltration. Combatterla con ObserveIT.
Recentemente, la NSA ha scoperto che uno dei suoi specialisti sulla sicurezza informatica, Harold Martin III, ha rubato dati top secret per un totale di 50 terabyte nel corso di vent’anni. Ha utilizzato dispositivi multimediali rimovibili. Ha rubato più dati di quelli che Edward Snowden è riuscito a rubare anni prima.
Come dimostra questa storia, anche nell’era del cloud storage, i supporti rimovibili della vecchia scuola come i dispositivi USB sono ancora popolari sia per scopi legittimi che illegittimi di estrazione dei dati. Addetti ai lavori come Harold Martin si affidano spesso a supporti rimovibili come unità flash e scorciatoie da tastiera come copia/incolla e print screen per estrarre dati da posizioni sensibili, indipendentemente dalle loro motivazioni. Queste attività di solito si verificano sull’endpoint e non toccano la rete, il che significa che sono difficili da monitorare e contrastare.
Eventi come questo hanno messo in luce la necessità di definire un nuovo approccio alla gestione delle minacce interne in un mondo post-DLP affrontando le lacune in termini di visibilità e contesto.
La Risk Dashboard sopra evidenzia un esempio di avviso che può apparire quando un utente tenta di estrarre i dati attraverso un dispositivo rimovibile non approvato.
Data Exfiltration. Nuovi strumenti.
Poiché non è realistico bloccare completamente i supporti rimovibili nella maggior parte delle aziende, i tentativi di estrusione dei dati possono essere difficili da prevenire. Scorciatoie da tastiera e print jobs sono allo stesso modo impossibili da eliminare.
Dal momento che i nostri clienti si scontrano continuamente con gli addetti ai lavori che utilizzano questi vettori di minacce, il nostro team si è impegnato a sviluppare nuove funzionalità in ObserveIT.
ObserveIT 7.7 include funzionalità di gestione delle minacce interne per fornire un approccio moderno alla prevenzione della perdita dei dati (DLP). Offre maggiori capacità di estrazione dei dati e ulteriore protezione contro le minacce interne. Riduce in particolare il rischio di perdita di dati e consentendo al contempo indagini semplificate.
Gli utenti avranno nuovi strumenti a disposizione per ridurre il rischio di estrapolazione dei dati attraverso i canali degli endpoint (compresi i supporti rimovibili e le scorciatoie da tastiera) e per semplificare le indagini su questi incident.
Data Exfiltration. Riduci il rischio.
ObserveIT ora rileva gli utenti che filtrano i dati attraverso supporti rimovibili e utilizzano scorciatoie da tastiera come:
- Copia/incolla
- Taglia/Incolla
- Print screen
- Diverse combinazioni di tasti specifiche dell’applicazione
Lo screenshot qui sopra mostra cosa accade quando un utente riceve più avvisi a causa di attività sospette. L’utente avrà visto gli avvisi sul suo schermo e l’amministratore IT o di sicurezza sarà in grado di visualizzarli sul dashboard in alto.
Lo screenshot qui sopra illustra le varie scorciatoie da tastiera e tasti di scelta rapida che possono essere indicatori di estrazione dei dati (attraverso casi d’uso sia PC che Mac).
Queste nuove funzionalità, rafforzeranno la libreria ObserveIT di oltre 350 indicatori di insider threat, creati con la guida dell’Insider Threat Center di CERT. L’obiettivo finale è aiutare le aziende a ridurre il rischio di data exfiltration, in particolare tramite gli endpoint dell’utente. Ecco come queste funzionalità possono essere utilizzate.
Data Exfiltration. Escalate Risk Level.
Le aziende saranno ora in grado di aumentare il livello di rischio degli utenti che tentano di estrarre i file utilizzando le scorciatoie da tastiera o i supporti rimovibili. Ciò consentirà di monitorare attentamente gli utenti che hanno mostrato comportamenti rischiosi correlati a questi vettori in passato. Anche se non tutti gli utenti che collegano un dispositivo USB rubano segreti aziendali, questo può essere un prezioso aiuto in un’indagine più ampia.
Data Exfiltration. Risk-Based Priorization.
Come sanno bene i professionisti della sicurezza, può essere difficile distinguere il segnale dal rumore quando si tratta di alert, il che può portare a un affaticamento eccessivo per i team. ObserveIT 7.7 ti aiuta. Sia che si tratti di ricerche proattive di minacce interne o di indagini reattive, si ha accesso a una visione prioritaria delle attività degli utenti. Saranno indicati supporti sospetti, tasti di scelta rapida o print jobs sospetti utilizzati su endpoint specifici. In questo modo gli analisti sanno esattamente da dove iniziare e possono controllare prima i comportamenti più rischiosi.
Data Exfiltration. Mitigate Insider Threats.
Gli utenti saranno inoltre in grado di scegliere varie strategie di mitigazione delle minacce interne relative a questi vettori di data exfiltration:
- Registrazione dell’utente da una sessione discutibile
- Educare l’utente in tempo reale tramite avvisi sulle violazioni delle norme
- Fornire visibilità al team di sicurezza man mano che la minaccia progredisce
Le aziende possono decidere autonomamente quali di queste strategie di mitigazione hanno più senso in una determinata istanza o applicare una determinata tattica a tutto campo, a seconda delle loro esigenze e preferenze di sicurezza uniche.
Data Exfiltration. Indagini veloci e più accurate.
ObserveIT 7.7 offre miglioramenti nella dashboard, offrendo una analisi più approfondita delle azioni degli utenti e dei movimenti di dati rischiosi. Ciò consentirà agli investigatori di ottenere risposte anche più rapidamente e con un alto grado di precisione.
Frequentemente, l’estrazione dei dati attraverso i canali endpoint implica che i file vengano spostati da posizioni sensibili, modificati per evitare strumenti di monitoraggio esistenti e, infine, espulsi dall’azienda tramite supporti rimovibili.
Con ObserveIT 7.7, gli analisti di sicurezza hanno accesso a un contesto ancora più ampio intorno a chi, cosa, dove, quando e perché del file, della cronologia dei dispositivi e degli utenti in una timeline di eventi di sicurezza, sia all’interno della nostra console che attraverso le nostre API. Ciò significa che possono individuare rapidamente le istanze del tipo di estrazione dei dati sopra descritto e agire per mitigare i rischi.
L’immagine in alto mostra i dettagli di un alert per un insider threat relativo a una operazione di copia/incolla. In questo caso, l’utente ha controllato chiaramente in Github, ha esaminato la cartella/file dei veicoli AI, quindi ha copiato/incollato una porzione di testo (potenzialmente informazioni proprietarie) in una conversazione Slack. In altre parole, le informazioni sensibili sono state trasferite a un’app potenzialmente non approvata.
Sopra, si vede come lo stesso utente ha poi copiato i file più sensibili relativi all’IP proprietario su un’unità USB non elencata e poi ha visitato un browser Tor (che è privato e anonimo e spesso associato alle attività di Dark Web). Si tratta di azioni dell’utente molto rischiose e probabili indicatori di una minaccia interna in corso.
Data Exfiltration. Decrease Insider Threat Risk.
Le soluzioni tradizionali di data exfiltration (comprese le soluzioni di data loss prevention) forniscono scarsa visibilità sulle interazioni utente rischiose (come copia/incolla, screenshots e utilizzo di unità USB) con dati sensibili sull’endpoint e richiedono spesso molto tempo per l’impostazione e la manutenzione . Anche i team di sicurezza esperti che utilizzano le tecnologie di data loss prevention in genere richiedono una visibilità utente più profonda per bilanciare operazioni aziendali efficienti e sicurezza efficace.
ObserveIT 7.7: le nuove funzionalità di prevenzione del data exfiltration consentono di ridurre efficacemente il rischio di insider threat tramite i vettori relativi agli endpoint. Mantengono allo stesso tempo la facilità d’uso e gli agent leggeri che i clienti di ObserveIT apprezzano maggiormente!
Per avere maggiori dettagli sulla soluzione consulta la pagina: http://www.bludis.it/p/observeit/
Se invece vuoi informazioni di carattere tecnico o commerciale contatta gli specialisti di Bludis allo 0643230077 o invia una e-mail a sales@bludis.it
Canale Sicurezza è il blog di approfondimento sulle tematiche di sicurezza informatica di Bludis S.r.l.
Pensato e strutturato come servizio e strumento per mantenere sempre aggiornati gli utenti sia professionali che domestici sulle ultime novità.