In Teil 13 unserer Blogreihe zum MITRE ATT&CK Framework betrachten wir die Exfiltration-Phase. Diese Phase ist eine der beiden letzten Phasen im MITRE ATT&CK Framework und markiert den Übergang zu realem, finanziellen Schaden. Ab hier wird es teuer – sensible Daten werden aus dem Netzwerk geschleust, und ihre Rückholung ist nicht mehr möglich.

Mehr Informationen finden Sie im Übersichtsbeitrag und im MITRE ATT&CK Framework.

Was ist Exfiltration?

In der Exfiltration-Phase extrahieren Angreifer Daten aus dem kompromittierten Netzwerk. Ob Geschäftsgeheimnisse, Kundendaten oder Finanzinformationen – all diese Daten können in Double-Extortion-Angriffen genutzt werden, um Unternehmen zusätzlich zu erpressen. Durch die Drohung, DSGVO-relevante Daten zu veröffentlichen, werden Firmen mit erheblichen Strafen konfrontiert, was die Kosten dramatisch erhöht.

Beispiele für Exfiltration

1. Datenübertragung über Webprotokolle: Angreifer nutzen legitime Protokolle wie HTTP oder HTTPS, um die Datenübertragung unauffällig zu gestalten.
2. Verwenden von Cloud-Diensten: Durch die Nutzung von Cloud-Speichern können Daten extern gespeichert und später abgerufen werden.
3. Verpacken und Verschlüsseln von Daten: Um die Exfiltration zu beschleunigen und zu verschleiern, komprimieren und verschlüsseln Angreifer große Datenmengen.

Zeitlicher Verlauf und Bedeutung der Exfiltration-Phase

Die Exfiltration-Phase dauert meist nur wenige Minuten bis Stunden. Diese Phase ist oft die letzte Gelegenheit, einen Angriff zu erkennen und den Datenabfluss zu stoppen. Sobald die Daten gestohlen wurden, sind die Konsequenzen unumkehrbar – vom Verlust von Geschäftsgeheimnissen bis hin zu Bußgeldern durch Verstöße gegen den Datenschutz.

Verteidigungsmaßnahmen

• Überwachung des ausgehenden Datenverkehrs: Netzwerkverkehr, insbesondere zu unbekannten oder externen Servern, sollte kontinuierlich überwacht werden, um verdächtige Abflüsse zu erkennen.
• Datenverlustpräventionssysteme (DLP): DLP-Lösungen verhindern, dass sensible Daten das Netzwerk unautorisiert verlassen.
• Firewalls und XDR-Lösungen: Durch Firewalls und XDR-Systeme lassen sich verdächtige Bewegungen und ungewöhnliche Datenübertragungen erkennen und stoppen.

Fazit

Die Exfiltration-Phase ist einer der kritischsten Momente eines Angriffs, da hier realer Schaden verursacht wird, der durch Datensicherungen nicht behoben werden kann. Unternehmen müssen in dieser Phase vorbereitet sein, um den Datenverlust zu verhindern.

Im nächsten Beitrag unserer Blogreihe beschäftigen wir uns mit der letzten Phase, Impact, in der Angreifer versuchen, endgültigen Schaden anzurichten.

Schützen Sie Ihre Daten vor Abfluss und Erpressung! Kontaktieren Sie uns für eine umfassende Sicherheitsanalyse und Lösungen zur Prävention von Datenverlusten.

Rufen Sie uns an unter 06103 9707-500 oder schreiben Sie uns eine E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. – wir stehen bereit, Ihre Daten zu sichern!