Como detectar vazamento de dados em 2023

Um vazamento de dados ocorre quando exposições de dados confidenciais são negligenciadas, seja devido a uma vulnerabilidade de segurança ou dados roubados publicados inadvertidamente na dark web. Como a transformação digital está expandindo rapidamente as superfícies de ataque, esses eventos estão ficando mais difíceis de detectar, impedindo que as organizações atinjam um estado de resiliência completa à violação de dados.

Neste post, descrevemos a estrutura de uma estratégia bem-sucedida de detecção de vazamento de dados.

A diferença entre vazamentos de dados e violações de dados

Um vazamento de dados é a exposição acidental de informações confidenciais. Esses eventos não são iniciados por um ímpeto externo. Eles são causados por vulnerabilidades nos controles de segurança que protegem dados confidenciais.

Quando dados confidenciais são roubados de uma violação de dados ou de um ataque de ransomware e publicados na dark web, esses eventos também são classificados como vazamentos de dados.

Uma violação de dados, por outro lado, é o resultado de um ataque cibernético planejado. Esses eventos são iniciados por um ímpeto externo. Os cibercriminosos precisam superar a segurança dos dados antes que a exfiltração possa ocorrer.

Perda de dados é outro termo comumente associado a vazamentos de dados. A perda de dados é a perda irreversível de dados confidenciais, seja por exclusão acidental ou roubo.

Esses eventos podem ser mitigados com estratégias de Prevenção contra Perda de Dados (DLP) que impedem a transferência de dados além dos limites especificados. No entanto, uma estratégia de DLP por si só não evitará vazamentos de dados; seu foco é muito estreito.

Os esforços de prevenção de vazamento de dados precisam considerar todos os processos que têm impacto direto e indireto na proteção de dados confidenciais. Esse esforço remonta até as práticas de codificação que desenvolvem uma solução.

Saiba mais sobre as diferenças entre vazamentos de dados, violações de dados e perda de dados.

Por que a prevenção de vazamento de dados é importante?

Os dados vazados são um achado precioso para um cibercriminoso. Esses eventos reduzem significativamente o esforço do crime cibernético, removendo todos os estágios trabalhosos que precedem os dados comprometidos na cadeia de eliminação cibernética.

Por tornarem a vida muito mais fácil para os cibercriminosos, as descobertas de vazamento de dados estão se tornando o foco principal no mundo do crime cibernético. Atender a essa métrica de desempenho não é difícil, dada a crescente prevalência de vazamentos de dados.

Um estudo da UpGuard de 2021 revelou que metade das empresas analisadas da Fortune 500 estavam vazando dados úteis para reconhecimento de cibercriminosos em seus documentos públicos.

Também em 2021, os pesquisadores da UpGuard descobriram que pelo menos 47 organizações estavam vazando dados sem saber por meio de uma configuração incorreta nas soluções PowerApp da Microsoft - um lapso que resultou na exposição de dezenas de milhões de registros privados.

Muitas organizações estão vazando inadvertidamente conjuntos de dados confidenciais, potencialmente expondo segredos comerciais, informações de identificação pessoal (PII) e até mesmo dados de cartão de crédito.

A normalização dos esforços de prevenção de violação de dados provavelmente terá um impacto positivo em todos os outros setores da segurança cibernética. O grau de exposição de dados confidenciais é proporcional ao sucesso de violações de dados e ataques de phishing. Ambos os eventos poderiam, portanto, ser reduzidos se os vazamentos de dados fossem corrigidos antes de serem descobertos pelos cibercriminosos.

Como detectar e prevenir vazamentos de dados

Uma estratégia abrangente de detecção de vazamento de dados requer uma abordagem de duas etapas.

Examine os recursos que normalmente hospedam despejos de vazamento de dados.
Corrija as vulnerabilidades que facilitam vazamentos de dados.

Essa estratégia não pode ser executada apenas com esforços manuais. As instâncias de vazamento de dados geralmente são muito numerosas e os vazamentos que surgiram precisam ser encerrados rapidamente antes de serem descobertos pelos cibercriminosos.

Para estender e acelerar os esforços das equipes de segurança internas, os recursos dos modelos de aprendizado de máquina e das soluções baseadas em IA devem ser integrados a essa estratégia de prevenção de vazamento de dados.

Host comum de despejos de vazamento de dados

Houve inteligência de violação de dados suficiente analisada para pintar um quadro do comportamento cibercriminoso comum. Graças a esses dados, agora podemos implantar controles de segurança ao longo de cada estágio do ciclo de vida do ataque cibernético.

A análise post-mortem de violação de dados também revelou um comportamento cibercriminoso comum além de uma violação bem-sucedida.

Depois de explorar os dados vazados, a próxima parada para os cibercriminosos geralmente são os fóruns da dark web, onde eles os colocam à venda ou os publicam livremente.

Esses fóruns precisam ser monitorados continuamente em uma estratégia de detecção de vazamento de dados.

Mesmo os vazamentos de dados vendidos ainda podem oferecer informações úteis. Essas listagens geralmente incluem uma amostra de dados comprometidos para provar a autenticidade do evento.

Ao cruzar as informações de amostra com sua lista de fornecedores terceirizados e um banco de dados de violações conhecidas, como Have I Been Pwnd, a origem do vazamento pode ser identificada.

Os seguintes fóruns populares da dark web devem ser monitorados quanto a vazamentos de dados:

Nulled
Pavor
Rei do Cracking
Cryptbb
Raidforums
Hacks livres
Cidade do hack
Xss.is
exploit.in
evilzone.org
4chan

Saiba como reduzir os falsos positivos de vazamento de dados.

Abordando a origem dos vazamentos de dados

As iniciativas de segurança cibernética mais eficazes e sustentáveis são aquelas que assumem uma abordagem proativa de proteção.

Os esforços de monitoramento de vazamento de dados são reduzidos se as vulnerabilidades que facilitam os vazamentos de dados forem resolvidas.

Isso é alcançado de forma mais eficiente com uma solução de monitoramento de superfície de ataque. Essa solução descobrirá todas as vulnerabilidades de segurança dentro do seu ecossistema e também aquelas em toda a sua rede de fornecedores terceirizados.

O monitoramento da superfície de ataque de terceiros é crucial, pois mais da metade dos eventos de violação de dados resultam de fornecedores terceirizados comprometidos.

Como a maioria das violações decorre de terceiros comprometidos, é seguro presumir que seus fornecedores não estão lidando com vazamentos de dados em suas práticas de segurança cibernética.

Por isso, o escopo de uma estratégia de detecção de vazamento de dados também deve se estender ao cenário de terceiros.

Como os vazamentos de dados geralmente precedem as violações de dados, esse esforço reduzirá as violações de terceiros e os ataques à cadeia de suprimentos e, portanto, a maioria de todos os eventos de violação de dados.