Esfiltrazione di Dati

L'esfiltrazione di dati è il momento in cui un'intrusione si trasforma in danno reale. Un attaccante può passare settimane a ottenere accesso, a scalare privilegi e a muoversi in una rete, ma nulla di tutto questo costa qualcosa alla vittima finché i dati non escono davvero. Nel framework MITRE ATT&CK, l'esfiltrazione è una tattica a sé (TA0010): l'insieme di tecniche che gli avversari usano per rubare i dati una volta raccolti. Capire come funziona l'esfiltrazione è essenziale sia per i tester offensivi, che devono dimostrare l'impatto, sia per i difensori, che devono fermare i dati prima che varchino la porta.

Come funziona l'esfiltrazione

L'esfiltrazione raramente è una singola azione. Di solito è la fase finale di un'operazione più lunga. Dopo che il movimento laterale ha portato l'attaccante su sistemi che contengono dati di valore, i dati vengono raccolti, preparati in un unico punto, compressi per ridurne le dimensioni e cifrati per nasconderne il contenuto. Solo allora vengono trasferiti. Questo passaggio di preparazione è deliberato: spostare un singolo grande archivio è più silenzioso che copiare migliaia di file attraverso la rete.

Il trasferimento stesso viaggia quasi sempre su un canale di cui la rete si fida già. Il più delle volte è la connessione di comando e controllo esistente, ma gli attaccanti abusano anche di query DNS, HTTPS verso lo storage cloud, posta elettronica o protocolli alternativi che i controlli in uscita tendono a ignorare. L'obiettivo è sempre lo stesso: far sembrare il furto traffico normale.

Canali di esfiltrazione comuni

Gli attaccanti scelgono i canali in base a ciò che si confonde con l'ambiente bersaglio:

• Tramite il canale C2: riutilizzando il collegamento di comando e controllo che l'attaccante ha già stabilito.
• Tunneling DNS: codificando i dati dentro query DNS, che molte reti ispezionano appena.
• Servizi web e cloud: caricando su storage SaaS affidabile, siti di incollaggio o repository di codice.
• Protocolli alternativi: usando un protocollo diverso da quello del canale C2 per dividere la traccia.

Raccogliere i dati

→preparare

Preparare e comprimere

→cifrare

Cifrare

→tunnel

Esfiltrare via C2

Un esempio concreto di come questi passaggi vengano automatizzati dall'inizio alla fine lo trovi nella nostra analisi su come gli hacker usano l'IA, dove i modelli guidano raccolta e trasferimento con molto meno sforzo umano.

Rilevare e fermare l'esfiltrazione

Poiché l'esfiltrazione si nasconde nel traffico affidabile, la rilevazione dipende dal sapere cosa è normale. I difensori definiscono una linea di base del volume in uscita, delle destinazioni e del mix di protocolli, poi lanciano un allarme alle deviazioni: una postazione di lavoro che all'improvviso carica gigabyte, un volume DNS che si impenna o connessioni verso un host con cui nessuno aveva mai comunicato.

Il principio per i difensori è semplice, anche se l'esecuzione è difficile: un'intrusione è sopravvivibile finché i dati non escono. Ogni controllo che ritarda o rivela l'esfiltrazione recupera il tempo necessario a rilevare l'attaccante e tagliarlo fuori prima che una compromissione diventi una violazione di dati.