Nozioni fondamentali sulla sicurezza informatica

Significato di "esfiltrazione dei dati": definizione, rilevamento e guida alla prevenzione

Approfondimenti chiave

L'esfiltrazione dei dati avviene ora nel 93% degli attacchi ransomware, con gli aggressori che rubano i dati in media in soli due giorni, o entro la prima ora nel 20% dei casi.
MITRE ATT&CK nove tecniche di esfiltrazione distinte, tra cui cloud (T1567) in rapida crescita poiché gli hacker abusano di servizi legittimi come Google Drive e MEGA
Rclone domina il panorama degli strumenti di exfiltrazione con il 57% degli incidenti ransomware; il rilevamento richiede il monitoraggio della creazione dei processi con argomenti della riga di comando cloud .
È essenziale un rilevamento a più livelli che combini DLP, NDR, UEBA ed EDR: nel terzo trimestre del 2025 le organizzazioni hanno impedito solo il 3% dei tentativi di esfiltrazione.
Il settore sanitario, quello manifatturiero e quello dei servizi finanziari sono esposti al rischio più elevato di esfiltrazione, con costi medi per incidente superiori a 5 milioni di dollari.

L'esfiltrazione dei dati è diventata l'elemento distintivo dei moderni attacchi informatici. Secondo una ricerca condotta da BlackFog, il 93% degli attacchi ransomware nella prima metà del 2024 ha comportato l'esfiltrazione dei dati, con gli aggressori che hanno rubato informazioni sensibili prima di procedere alla crittografia. Ciò rappresenta un cambiamento fondamentale nel modo in cui operano gli autori delle minacce e richiede un corrispondente cambiamento nel modo in cui i team di sicurezza rilevano e rispondono agli attacchi.

La rapidità di questi attacchi lascia poco spazio agli errori. Il rapporto 2025 Incident Response Report di Unit 42 ha rilevato che il tempo medio necessario per l'esfiltrazione è ora di soli due giorni, con quasi un caso su cinque in cui i dati vengono rubati entro la prima ora dalla compromissione. Per i professionisti della sicurezza, comprendere come funziona l'esfiltrazione e come fermarla non è mai stato così importante.

Questa guida offre un'analisi completa dell'esfiltrazione dei dati: cos'è, come viene eseguita dagli aggressori, quali strumenti utilizzano e quali strategie di rilevamento e prevenzione funzionano effettivamente nel 2025.

Il mercato dell'esfiltrazione dei dati riflette questa minaccia crescente. Le organizzazioni stanno investendo massicciamente in tecnologie di protezione dall'esfiltrazione dei dati, con un mercato globale della prevenzione della perdita di dati che dovrebbe superare i 6 miliardi di dollari entro il 2026. Questo investimento è guidato dall'aumento delle sanzioni normative, dall'aumento dei costi delle violazioni e dal passaggio all'estorsione basata sull'esfiltrazione, che rende insufficienti le strategie di backup tradizionali.

Che cos'è l'esfiltrazione dei dati?

L'esfiltrazione dei dati è il trasferimento non autorizzato di dati dalla rete di un'organizzazione a una posizione esterna controllata da un autore di minacce. A differenza dell'esposizione accidentale dei dati, l'esfiltrazione comporta un furto deliberato: gli aggressori individuano, raccolgono ed estraggono in modo mirato informazioni sensibili a scopo di lucro, spionaggio o estorsione. Secondo il NIST Computer Security Resource Center, l'esfiltrazione è definita come "il trasferimento non autorizzato di informazioni da un sistema informativo".

Questa distinzione è importante per i team di sicurezza. Quando si verifica una violazione dei dati, spesso il metodo utilizzato è l'esfiltrazione, mentre la violazione stessa è il risultato. Comprendere questa relazione aiuta le organizzazioni a concentrare i propri sforzi di rilevamento sui meccanismi di trasferimento effettivamente utilizzati dagli aggressori.

La portata del problema è significativa. La ricerca condotta da BlackFog indica che il 94% degli attacchi informatici riusciti nel 2024 ha comportato l'esfiltrazione dei dati insieme alla crittografia o al posto di essa. Gli aggressori hanno capito che i dati rubati offrono un vantaggio che la crittografia da sola non può garantire: la minaccia di divulgazione pubblica o vendita ai concorrenti crea una pressione che persiste anche dopo il ripristino dei sistemi dai backup.

I tipi di dati comunemente oggetto di esfiltrazione includono:

Informazioni di identificazione personale (PII): nomi, indirizzi, numeri di previdenza sociale, patenti di guida: questi dati sensibili raggiungono prezzi elevati sui mercati del dark web.
Informazioni sanitarie protette (PHI): cartelle cliniche, informazioni assicurative, anamnesi terapeutiche
Credenziali: nomi utente, password, chiavi API, token di autenticazione
Proprietà intellettuale: codice sorgente, progetti di prodotti, dati di ricerca, segreti commerciali
Dati finanziari: numeri di carte di credito, dettagli dei conti bancari, registrazioni delle transazioni

Esfiltrazione dei dati vs violazione dei dati vs fuga di dati

Comprendere la terminologia aiuta i team di sicurezza a comunicare in modo più preciso gli incidenti e a concentrare gli sforzi di rilevamento in modo appropriato.

Tabella 1: Distinzione tra esfiltrazione, violazione e fuga di dati Confronto tra intenzioni, cause ed esempi per ciascun tipo di incidente relativo alla sicurezza dei dati

Termine	Definizione	Intento	Causa tipica	Esempio
Esfiltrazione dei dati	Trasferimento non autorizzato di dati verso una sede esterna	Furto intenzionale	Attività degli autori delle minacce	L'autore dell'attacco utilizza Rclone per copiare il database sul cloud MEGA.
Violazione dei dati	Incidente di sicurezza in cui si accede ai dati senza autorizzazione	Variabile	Può trattarsi di esfiltrazione, accesso non autorizzato o esposizione.	L'autore dell'attacco ottiene l'accesso al database dei clienti e visualizza i record.
Fuga di dati	Esposizione involontaria dei dati	Accidentale	Configurazione errata, errore umano	Il bucket S3 lasciato accessibile pubblicamente espone i file dei clienti

Le minacce interne possono rientrare in una qualsiasi di queste categorie. Un insider malintenzionato che sottrae deliberatamente dati commette un furto intenzionale. Un dipendente negligente che invia accidentalmente file sensibili al destinatario sbagliato provoca una fuga di dati. Entrambi i casi comportano un rischio, ma richiedono approcci di rilevamento e procedure di risposta diversi.

Come funziona l'esfiltrazione dei dati

La moderna esfiltrazione dei dati segue un ciclo di vita dell'attacco prevedibile, anche se la velocità con cui gli aggressori passano da una fase all'altra è aumentata notevolmente. Comprendere questo ciclo di vita aiuta i team di sicurezza a identificare le opportunità di rilevamento in ogni fase.

Il ciclo di vita di un attacco di exfiltrazione:

Accesso iniziale: l'autore dell'attacco ottiene un punto d'appoggio tramite phishing, furto di credenziali o sfruttamento di vulnerabilità.
Scoperta: l'autore dell'attacco mappa l'ambiente per identificare gli archivi di dati di alto valore
Movimento laterale: l'autore dell'attacco espande l'accesso per raggiungere i sistemi di destinazione
Raccolta: l'autore dell'attacco prepara i dati per il trasferimento, spesso comprimendoli o crittografandoli.
Stabilimento di comando e controllo: l'aggressore instaura un canale di comunicazione per l'estrazione
Esfiltrazione: l'autore dell'attacco trasferisce i dati a un'infrastruttura esterna
Pulizia: l'autore dell'attacco rimuove le prove della sua attività (facoltativo)

Il rapporto sull'incidente dell'Unità 42 documenta che il tempo di permanenza è sceso a sette giorni nel 2024, rispetto ai 13 giorni del 2023. Ancora più grave è il fatto che, secondo Help Net Security, l'esfiltrazione dei dati avviene in media entro due giorni e, in un caso su cinque, entro la prima ora dalla compromissione.

Questa tempistica compressa significa che gli approcci di rilevamento tradizionali, che si basano sull'identificazione di anomalie su periodi prolungati, potrebbero non rilevare affatto l'esfiltrazione. I team di sicurezza hanno bisogno di analisi comportamentali in tempo reale in grado di identificare i furti di dati in corso.

Gli aggressori utilizzano diversi canali per l'esfiltrazione, scelti in base ai requisiti di invisibilità e al volume dei dati:

HTTPS: traffico web crittografato che si confonde con le comunicazioni aziendali legittime
Tunneling DNS: dati codificati all'interno delle query e delle risposte DNS
Cloud : piattaforme legittime come Google Drive, Dropbox, OneDrive e MEGA
Canali di comando e controllo: protocolli personalizzati o tunnel crittografati
E-mail: allegati o regole di inoltro per set di dati più piccoli
Supporti fisici: chiavette USB o altri dispositivi di archiviazione rimovibili

Tunneling DNS per l'esfiltrazione dei dati

Il tunneling DNS rappresenta uno dei metodi di esfiltrazione più furtivi perché il traffico DNS è spesso considerato affidabile e raramente viene sottoposto a controlli approfonditi. Secondo il centro risorse per la sicurezza DNS di Infoblox, gli aggressori codificano i dati rubati all'interno delle query e delle risposte DNS, aggirando i tradizionali controlli di sicurezza che si concentrano sul traffico web o e-mail.

La tecnica funziona suddividendo i dati in piccoli blocchi e codificandoli come query di sottodominio a un dominio controllato dall'autore dell'attacco. Il server DNS dell'autore dell'attacco riceve queste query, estrae i dati e li ricompone. I record di risposta possono riportare comandi o dati aggiuntivi al sistema compromesso.

Il rilevamento richiede l'analisi dei modelli di query DNS alla ricerca di anomalie:

Volumi di query insolitamente elevati verso domini specifici
Stringhe di sottodomini lunghe che possono contenere dati codificati
Richieste a domini appena registrati o sospetti
Analisi dell'entropia che rivela distribuzioni di caratteri non standard
Query che si discostano dalla baseline DNS normale dell'organizzazione

Il movimento laterale spesso precede l'esfiltrazione dei DNS, poiché gli aggressori si posizionano su sistemi con accesso ad archivi di dati sensibili. Comprendere questa relazione aiuta i team di sicurezza a correlare l'attività di rete durante tutto il ciclo di vita dell'attacco.

Esfiltrazione tramite servizi cloud

L'abuso dei servizi Cloud è diventato uno dei metodi preferiti per l'esfiltrazione dei dati perché si confonde con il traffico aziendale legittimo. I gruppi APT e gli operatori di ransomware utilizzano sempre più spesso servizi cloud come Google Drive, Dropbox, OneDrive e MEGA per estrarre i dati rubati.

La campagna Earth Kurma, rivolta ai governi del Sud-Est asiatico, ha dimostrato l'efficacia di questa tecnica, utilizzando Dropbox e OneDrive per l'esfiltrazione dei dati e mantenendo un accesso persistente tramite i rootkit KRNRAT e MORIYA. Il traffico appare legittimo perché questi servizi sono ampiamente utilizzati per scopi aziendali.

Anche le infrastrutture di comando e controllo sfruttano sempre più spesso cloud , con gruppi come Fog ransomware che utilizzano Google Sheets per le comunicazioni C2, una tecnica difficile da distinguere dal normale utilizzo degli strumenti di produttività.

Il rilevamento richiede:

Integrazione del broker di sicurezza Cloud (CASB) per la visibilità sull'utilizzo autorizzato e non autorizzato cloud
Monitoraggio di volumi o modelli di upload insoliti
Identificazione delle connessioni ai cloud da sistemi imprevisti
Monitoraggio dell'utilizzo cloud al di fuori del normale orario di lavoro
Correlazione tra cloud e anomalie nell'autenticazione degli utenti

Il social engineering come strumento di esfiltrazione

Gli attacchi di ingegneria sociale fungono spesso da vettore di accesso iniziale che consente la successiva sottrazione di dati. Gli aggressori manipolano la psicologia umana piuttosto che le vulnerabilità tecniche per ottenere le credenziali e l'accesso necessari per il furto di dati.

Tecniche comuni di ingegneria sociale che portano all'esfiltrazione:

Phishing : e-mail di raccolta credenziali che forniscono agli aggressori un accesso legittimo ai sistemi di dati. La violazione di Snowflake ha avuto origine dal furto di credenziali tramite malware infostealer malware tramite phishing.
Spear phishing: attacchi mirati contro individui specifici che hanno accesso a dati sensibili, spesso impersonando dirigenti o partner di fiducia.
Pretexting: Creazione di scenari fittizi per manipolare i dipendenti affinché forniscano l'accesso o trasferiscano direttamente i dati.
Business Email Compromise (BEC): Fingersi dirigenti per autorizzare trasferimenti di dati o richieste di accesso

I controlli di sicurezza devono affrontare l'elemento umano insieme alle difese tecniche. La formazione sulla consapevolezza della sicurezza riduce la vulnerabilità al social engineering, mentre l'autenticazione a più fattori limita l'impatto delle credenziali rubate. Le organizzazioni dovrebbero implementare procedure di verifica per le richieste di dati sensibili e modelli di accesso insoliti.

Tipi di esfiltrazione dei dati

L'esfiltrazione dei dati può essere classificata in base all'autore della minaccia coinvolto, al vettore utilizzato o alla tecnica impiegata. Comprendere queste categorie aiuta le organizzazioni a stabilire le priorità dei propri investimenti nella rilevazione in base al proprio specifico panorama delle minacce.

Esfiltrazione da parte di attori esterni

I gruppi di minaccia persistente avanzata degli Stati nazionali e le organizzazioni criminali informatiche rappresentano le minacce di esfiltrazione esterne più sofisticate.

Gruppi APT attivi che conducono esfiltrazione di dati nel 2024-2025:

Salt Typhoon Cina): secondo un avviso congiunto di CISA/NSA/FBI, Salt Typhoon esteso le proprie operazioni a oltre 80 paesi e 600 organizzazioni, prendendo di mira principalmente i settori delle telecomunicazioni e governativo per la raccolta di dati e metadati intercettati.
APT31 (Cina): utilizzo cloud , tra cui Yandex Cloud il C2 e l'esfiltrazione da appaltatori governativi e obiettivi del settore IT.
Kimsuky (Corea del Nord): Distribuzione del keylogger KLogEXE e della backdoor FPSpy per l'esfiltrazione a lungo termine di credenziali e dati attraverso la campagna Sparkling Pisces.
Earth Kurma: attacco ai governi e alle società di telecomunicazioni del Sud-Est asiatico utilizzando Dropbox e OneDrive per l'esfiltrazione con i rootkit KRNRAT e MORIYA
Cl0p/FIN11: Passaggio all'esfiltrazione di dati di massa tramite zero-day nel software aziendale, inclusa la recente campagna Oracle EBS

Gli operatori di ransomware hanno reso l'esfiltrazione dei dati una pratica standard. BlackFog riferisce che il 96% degli attacchi ransomware nel terzo trimestre del 2025 ha comportato l'esfiltrazione, il tasso più alto mai registrato, con un volume medio di esfiltrazione di 527,65 GB per vittima.

Esfiltrazione delle minacce interne

Le minacce interne presentano sfide di rilevamento uniche perché gli insider hanno accesso legittimo ai sistemi e ai dati.

Gli insider malintenzionati rubano deliberatamente dati per guadagno personale, vantaggio competitivo o sabotaggio. Il caso di furto interno a Google del 2024 dimostra il potenziale impatto: secondo l'analisi di Syteca sulle violazioni interne, l'ingegnere informatico Linwei Ding ha sottratto 500 file riservati contenenti oltre 10 anni di progetti proprietari di chip AI e architettura di supercalcolo.

Gli addetti ai lavori negligenti espongono involontariamente i dati attraverso:

Invio di file sensibili a indirizzi e-mail personali
Caricamento di dati su cloud non autorizzati
Configurazione errata dei sistemi che espone i dati al pubblico
Cadere vittima di phishing che consentono l'accesso esterno

Il rilevamento richiede analisi comportamentali che stabiliscano modelli di riferimento e identifichino le deviazioni: un dipendente che improvvisamente accede a grandi volumi di file che non ha mai toccato prima o che copia dati su unità USB quando normalmente non lo fa.

Tabella 2: Tipi di esfiltrazione dei dati per vettore e attore Categorizzazione dei metodi di esfiltrazione che mostra il vettore, l'autore tipico della minaccia e il focus di rilevamento

Tipo	Vettore	Attore tipico	Esempio di tecnica	Focus sul rilevamento
Esterno basato su rete	HTTPS, DNS	APT, ransomware	Caricamento crittografato su cloud	Analisi comportamentale NDR
Esterno Cloud	Piattaforme SaaS	APT, ransomware	Rclone a MEGA	CASB, monitoraggio cloud
Esterno basato su e-mail	SMTP	Ransomware, insider	Regole di inoltro automatico	Sicurezza delle e-mail, DLP
Supporti fisici	chiavette USB	Insider malintenzionato	Copia diretta dei file	Endpoint , controllo dei dispositivi
Insider malintenzionato	Multiplo	Addetto ai lavori	Download in blocco su dispositivo personale	UEBA, monitoraggio degli accessi
Insider negligente	E-mail, cloud	Addetto ai lavori	Condivisione accidentale	Ispezione dei contenuti DLP

Tecniche MITRE ATT&CK

Il MITRE ATT&CK fornisce un approccio strutturato per comprendere e rilevare l'esfiltrazione. La tattica di esfiltrazione (TA0010) comprende nove tecniche e otto sottotecniche che i team di sicurezza dovrebbero monitorare.

Secondo l'analisi dei dati Coveware condotta da Fidelis Security, nel quarto trimestre del 2024 l'esfiltrazione è stata rilevata nell'87% dei casi osservati, classificandosi al primo posto. MITRE ATT&CK , davanti a Command and Control, Evasione della difesa ed Esecuzione.

Tabella 3: Matrice delle tecniche MITRE ATT&CK Principali tecniche di esfiltrazione con ID, sottotecniche e raccomandazioni per il rilevamento

ID tecnica	Nome della tecnica	Sottotecniche	Descrizione	Focus sul rilevamento
T1041	Esfiltrazione tramite canale C2	Nessuno	Dati codificati nelle comunicazioni C2 esistenti	Volumi di dati insoliti nel traffico C2, analisi dei modelli di crittografia
T1048	Esfiltrazione tramite protocollo alternativo	T1048.001 (Crittografia simmetrica), T1048.002 (Crittografia asimmetrica), T1048.003 (Non crittografato)	Utilizzo dei protocolli FTP, SMTP, DNS o SMB	Anomalie di protocollo, analisi dei modelli di query DNS, ispezione dei contenuti
T1567	Esfiltrazione tramite servizio Web	T1567.001 (Repository codice), T1567.002 (Cloud ), T1567.003 (Esfiltrazione verso archiviazione testo), T1567.004 (Esfiltrazione tramite Webhook)	Cloud , repository di codice, webhook	Monitoraggio Cloud , integrazione CASB, volumi di upload insoliti
T1052	Esfiltrazione tramite supporto fisico	T1052.001 (USB)	Unità USB o supporti di memorizzazione rimovibili	Endpoint , criteri di controllo dei dispositivi
T1020	Esfiltrazione automatizzata	T1020.001 (Duplicazione del traffico)	Raccolta e trasferimento di dati automatizzati o basati su script	Monitoraggio dei processi, analisi comportamentale, attività pianificate insolite
T1030	Limiti di dimensione del trasferimento dati	Nessuno	Suddivisione dei dati in blocchi di dimensioni fisse	Allerta soglia, analisi dei modelli di connessione
T1029	Trasferimento programmato	Nessuno	Sincronizzazione dei trasferimenti per integrarsi con il traffico normale	Monitoraggio delle attività fuori orario, deviazione dalla linea di base
T1011	Esfiltrazione su altri mezzi di rete	T1011.001 (Bluetooth)	WiFi, cellulare, Bluetooth, canali RF	Monitoraggio Endpoint , rilevamento di protocolli non autorizzati
T1537	Trasferisci i dati all Cloud	Nessuno	Trasferimento dei dati su cloud controllato dall'avversario	Monitoraggio dell'accesso Cloud , cloud insolita

Raccomandazioni per il rilevamento in base alla tecnica

Per i team addetti al rilevamento e alla ricerca delle minacce, le seguenti strategie di rilevamento sono in linea con specifiche tecniche MITRE:

T1041 - Esfiltrazione tramite canale C2:

Volumi e modelli di comunicazione C2 normali di riferimento
Avviso in caso di deviazioni significative nella dimensione o nella frequenza del trasferimento dei dati
Monitorare i modelli di crittografia che differiscono dai profili C2 stabiliti

T1048 - Esfiltrazione tramite protocollo alternativo:

Analizza i volumi delle query DNS e l'entropia per individuare indicatori di tunneling
Controllare il traffico FTP e SMTP alla ricerca di modelli di dati sensibili
Monitorare l'utilizzo dei protocolli da parte dei sistemi che normalmente non li utilizzano.

T1567 - Esfiltrazione tramite servizio Web:

Integra CASB per ottenere visibilità sulle cloud autorizzate e non autorizzate
Traccia le chiamate API cloud per volumi o modelli di accesso insoliti
Correlare cloud con l'autenticazione degli utenti e le linee guida di comportamento

T1052 - Esfiltrazione tramite supporto fisico:

Implementare endpoint con il monitoraggio USB
Applicare criteri di controllo dei dispositivi per i supporti rimovibili
Avviso sui modelli di accesso ai file seguiti da connessioni di dispositivi USB

Strumenti di esfiltrazione utilizzati dagli autori delle minacce

Comprendere gli strumenti specifici utilizzati dagli aggressori consente di definire regole di rilevamento e query di ricerca delle minacce più efficaci. Il panorama degli strumenti di esfiltrazione è dominato da utility legittime che gli aggressori riutilizzano, una tecnica che aiuta a eludere il rilevamento mimetizzandosi con le normali operazioni aziendali.

Secondo l'analisi condotta da ReliaQuest sugli strumenti di esfiltrazione, Rclone è stato utilizzato nel 57% degli incidenti ransomware verificatisi tra settembre 2023 e luglio 2024, risultando lo strumento di esfiltrazione dominante nell'attuale panorama delle minacce.

Rclone e strumenti cloud

Rclone è un programma open source a riga di comando progettato per sincronizzare i file con i servizi cloud . Supporta oltre 40 cloud , tra cui Google Drive, Amazon S3, Dropbox e MEGA, gli stessi servizi preferiti dagli hacker per ricevere i dati rubati.

Perché gli hacker preferiscono Rclone:

Trasferimenti rapidi e affidabili di file di grandi dimensioni
Supporto nativo per la crittografia
Si integra con servizi preferiti dagli hacker come MEGA
Il funzionamento da riga di comando consente lo scripting e l'automazione
Open source e ampiamente disponibile

Indicatori di rilevamento per Rclone:

Creazione di processi per rclone.exe o rclone
Argomenti della riga di comando contenenti mega, gdrive, s3, o altri nomi cloud
Argomenti contenenti --no-verifica-certificato (comunemente utilizzato per aggirare l'ispezione SSL)
Argomenti contenenti copia, sincronizzazione, oppure muovere con destinazioni esterne
Trasferimenti di dati di grandi dimensioni a seguito dell'esecuzione del processo Rclone

Le soluzioni Endpoint e rispostaEndpoint dovrebbero includere una logica di rilevamento specifica per i modelli della riga di comando Rclone.

WinSCP, cURL e strumenti legittimi per il trasferimento di file

Oltre a Rclone, gli aggressori sfruttano una serie di utilità legittime per il trasferimento di file:

WinSCP: un client SFTP e FTP per Windows ampiamente utilizzato negli ambienti aziendali. Trattandosi di uno strumento affidabile, le sessioni WinSCP con host esterni potrebbero non generare avvisi in ambienti che non hanno configurato specificatamente il rilevamento.

cURL: integrato in Windows 10 e versioni successive, cURL non richiede alcuna implementazione: gli aggressori possono utilizzarlo immediatamente su qualsiasi sistema Windows moderno. Questo approccio "living-off-the-land" evita di rilasciare eseguibili aggiuntivi che potrebbero attivare malware .

Azure Storage Explorer e AzCopy: BleepingComputer riferisce che i gruppi di ransomware, tra cui BianLian e Rhysida, utilizzano sempre più spesso gli strumenti Azure per l'esfiltrazione, sfruttando la velocità dell'archiviazione Azure Blob e la legittimità dell'infrastruttura Microsoft.

Software RMM: strumenti di monitoraggio e gestione remota come AnyDesk, Splashtop e Atera offrono sia funzionalità di comando e controllo che di trasferimento dati. Il ransomware Fog utilizza in particolare una combinazione di questi strumenti insieme a Google Sheets per C2.

Tabella 4: Confronto tra strumenti di esfiltrazione e metodi di rilevamento Diffusione degli strumenti sulla base dei dati relativi agli incidenti con approcci di rilevamento specifici

Strumento	Prevalenza	Uso principale	Metodo di rilevamento
Rclone	Il 57% degli incidenti ransomware	Sincronizzazione Cloud	Creazione di processi, argomenti CLI con nomi cloud
WinSCP	Comune	Trasferimenti SFTP/FTP	Connessioni host esterne insolite, correlazione dell'accesso ai file
cURL	In crescita (nativo di Windows 10+)	Vivere della terra	curl.exe con destinazioni esterne, richieste POST di grandi dimensioni
Esplora archiviazione Azure/AzCopy	In aumento	Esfiltrazione di blob Azure	Connessioni Azure Blob, attività cloud insolita
MEGAsync	Comune	cloud MEGA	Query DNS MEGA.io, installazione client MEGAsync
FileZilla	Occasionale	Trasferimenti FTP	Connessioni FTP a host esterni
Strumenti RMM (AnyDesk, Splashtop)	Crescente	C2 ed esfiltrazione	Installazione RMM inaspettata, attività di sessione insolita

L'esfiltrazione dei dati nella pratica

Casi di studio reali illustrano come si svolgono gli attacchi di esfiltrazione e quali insegnamenti possono trarne le organizzazioni. Gli impatti finanziari e operativi documentati negli incidenti del 2024-2025 dimostrano perché l'esfiltrazione è diventata la principale preoccupazione dei team di sicurezza.

Secondo il rapporto IBM Cost of a Data Breach Report 2024, il costo medio dell'estorsione per esfiltrazione di dati ha raggiunto i 5,21 milioni di dollari per incidente, superando il costo medio globale delle violazioni pari a 4,88 milioni di dollari. Questo sovrapprezzo riflette il vantaggio aggiuntivo che gli aggressori ottengono dai dati rubati e la necessità di un intervento di riparazione più esteso quando le informazioni sensibili esulano dal controllo dell'organizzazione. Le organizzazioni che operano nel settore della sicurezza informatica sanitaria e dei servizi finanziari devono affrontare i costi più elevati a causa delle sanzioni normative e della sensibilità dei dati protetti.

Casi di studio 2024-2025

Violazione dei dati Snowflake (2024)

La violazione di Snowflake ha dimostrato come la compromissione delle credenziali presso un fornitore di tecnologia possa avere ripercussioni a catena su centinaia di organizzazioni clienti. Secondo l'analisi dellaCloud Alliance:

Metodo di attacco: l'autore della minaccia UNC5537 ha sfruttato gli account dei clienti Snowflake privi di autenticazione a più fattori, utilizzando credenziali ottenute tramite malware infostealer.
Impatto: miliardi di registrazioni di chiamate sottratte da AT&T, dati personali rubati da Ticketmaster e Santander Bank, oltre a dati provenienti da circa 165 altre organizzazioni.
Causa principale: compromissione delle credenziali combinata con l'assenza di MFA sugli account controllati dai clienti
Lezione: l'autenticazione a più fattori (MFA) non è facoltativa per cloud . La gestione delle credenziali di terze parti influisce direttamente sulla sicurezza dei dati dei clienti. Le organizzazioni devono verificare che cloud applichino o abilitino un'autenticazione forte.

Attacco a Change Healthcare (2024)

L'attacco a Change Healthcare è diventato uno dei più grandi casi di violazione dei dati sanitari della storia, dimostrando l'impatto amplificato dell'esfiltrazione nei sistemi interconnessi. I documenti di analisi di ERM Protect:

Metodo di attacco: gli operatori del ransomware BlackCat (ALPHV) hanno sottratto dati sanitari sensibili prima di procedere alla crittografia.
Impatto: 192,7 milioni di persone colpite, costi di risposta stimati in 2,87 miliardi di dollari, grave interruzione del sistema sanitario
Causa principale: accesso iniziale tramite phishing o compromissione delle credenziali, seguito da movimento laterale verso sistemi ricchi di dati
Lezione: i dati sanitari rappresentano un obiettivo primario per la doppia estorsione. La natura interconnessa dei sistemi sanitari amplifica l'impatto di ogni singola violazione. Le organizzazioni sanitarie devono dare priorità sia alla prevenzione che al rilevamento delle fughe di dati.

Attacco a Ingram Micro SafePay (2025)

L'attacco a Ingram Micro dimostra come la compromissione delle credenziali VPN consenta il furto massiccio di dati:

Metodo di attacco: il gruppo ransomware SafePay ha avuto accesso ai sistemi tramite credenziali VPN compromesse, quindi ha utilizzato il movimento laterale e PowerShell per l'individuazione prima di esfiltrare i dati tramite HTTPS crittografato.
Impatto: oltre 3,5 TB di dati sottratti, inclusi dati finanziari, legali e relativi alla proprietà intellettuale. Perdite giornaliere di fatturato stimate in 136 milioni di dollari durante l'incidente.
Causa principale: compromissione delle credenziali VPN senza applicazione dell'autenticazione a più fattori (MFA)
Lezione: la sicurezza VPN richiede lo stesso rigore di qualsiasi altro meccanismo di accesso remoto. L'esfiltrazione HTTPS crittografata elude le ispezioni tradizionali, richiedendo analisi comportamentali per il rilevamento.

Modelli di esfiltrazione specifici per settore

Secondo il Kroll Data Breach Outlook 2025 e una ricerca IBM, alcuni settori industriali sono esposti a un rischio elevato di esfiltrazione:

Tabella 5: Confronto dell'impatto delle fughe di dati nel settore industriale Metriche chiave che mostrano la prevalenza delle violazioni, i costi e i tipi di dati presi di mira per settore

Industria	Percentuale di violazioni	Costo medio	Obiettivi primari dei dati	Eventi degni di nota nel periodo 2024-2025
Assistenza sanitaria	23%	9,8 milioni di dollari	PHI, dati assicurativi, cartelle cliniche	Change Healthcare (risposta da 2,87 miliardi di dollari)
Produzione	Il 26% degli attacchi informatici	Riscatto medio di 1 milione di dollari	IP, progetti di prodotti, dati di processo	377 attacchi confermati nel primo semestre del 2024
Servizi finanziari	~22%	5,9 milioni di dollari	Dati dell'account, informazioni personali identificabili, registrazioni delle transazioni	Violazione di Marquis (788.000 clienti, 74 banche)
Tecnologia	Significativo	Variabile	Codice sorgente, dati dei clienti, credenziali	Ingram Micro (3,5 TB)
Governo/Telecomunicazioni	Obiettivo in crescita	Variabile	Dati delle intercettazioni telefoniche, metadati, informazioni riservate	Salt Typhoon oltre 600 organizzazioni)

Il settore manifatturiero è stato il più colpito per quattro anni consecutivi, con il 51% delle aziende manifatturiere che ha pagato riscatti medi pari a 1 milione di dollari. La dipendenza del settore dalla tecnologia operativa e dalla proprietà intellettuale lo rende particolarmente vulnerabile agli attacchi basati sull'estorsione.

Rilevamento dell'esfiltrazione dei dati

Un rilevamento efficace richiede un approccio stratificato che combini più tecnologie. Nessuna soluzione singola è in grado di intercettare tutti i tentativi di esfiltrazione: gli aggressori utilizzano deliberatamente strumenti legittimi e canali crittografati per eludere il rilevamento.

Il Blue Report 2025 pubblicato da BleepingComputer ha rilevato che nel terzo trimestre del 2025 le organizzazioni hanno impedito solo il 3% dei tentativi di esfiltrazione, il tasso di prevenzione più basso mai registrato. Questa statistica sottolinea l'importanza fondamentale degli investimenti nella rilevazione.

Prevenzione della perdita di dati (DLP)

Le soluzioni DLP forniscono un'ispezione basata sul contenuto e l'applicazione delle politiche per il trasferimento dei dati:

Capacità:

Ispezione dei contenuti alla ricerca di modelli di dati sensibili (numeri di previdenza sociale, numeri di carte di credito, informazioni personali identificabili)
Applicazione delle politiche per il trasferimento dei dati tramite USB, e-mail, cloud e rete
Classificazione ed etichettatura dei contenuti sensibili
Monitoraggio dell'attività degli utenti e avvisi

Limitazioni:

Non è possibile ispezionare il traffico crittografato senza l'intercettazione SSL/TLS
Potrebbe mancare l'esfiltrazione tramite strumenti legittimi con valida giustificazione aziendale
Richiede una manutenzione e una messa a punto continua delle politiche
Il rilevamento basato sui file ha difficoltà con il copia/incolla negli strumenti di IA

Rilevamento e risposta di rete (NDR)

Le soluzioni di rilevamento e risposta di rete utilizzano l'analisi comportamentale per rilevare le minacce attraverso l'analisi del traffico di rete. Secondo la panoramica NDR di IBM, l'NDR offre diversi vantaggi per il rilevamento delle esfiltrazioni:

Capacità:

Analisi comportamentale dei modelli di traffico di rete
Analisi del traffico crittografato senza decrittografia: rilevamento delle anomalie in base a metadati, tempistiche e volume
Rilevamento delle anomalie rispetto al traffico di riferimento stabilito
Ispezione approfondita dei pacchetti per firme di minacce note
Rilevamento dei movimenti laterali come precursore dell'esfiltrazione

Punti di forza per il rilevamento delle esfiltrazioni:

Visibilità nei canali crittografati che il DLP non è in grado di ispezionare
Rilevamento di tecniche di living-off-the-land che eludono endpoint
Correlazione tra comportamento della rete e informazioni sulle minacce

Analisi del comportamento degli utenti e delle entità (UEBA)

UEBA stabilisce i parametri di riferimento del comportamento normale degli utenti e identifica le deviazioni che potrebbero indicare una compromissione o una minaccia interna:

Capacità di rilevamento:

Accesso fuori orario a sistemi sensibili
Volumi o modelli di accesso ai dati insoliti
Accesso a file o sistemi al di fuori del normale ruolo
Cambiamenti comportamentali che precedono le dimissioni o il licenziamento
Indicatori di condivisione dell'account o abuso delle credenziali

Endpoint e risposta Endpoint (EDR)

Endpoint e la risposta Endpoint forniscono visibilità sulle attività a livello di host fondamentali per rilevare l'utilizzo di strumenti di esfiltrazione:

Capacità di rilevamento:

Monitoraggio dei processi per strumenti di esfiltrazione (Rclone, WinSCP, cURL)
Registrazione dell'accesso ai file e dei trasferimenti
Analisi degli argomenti della riga di comando
Rilevamento delle tecniche di sopravvivenza con i prodotti della terra
Attività USB e supporti rimovibili

Indicatori chiave di esfiltrazione dei dati

Riconoscere tempestivamente gli indicatori di esfiltrazione dei dati consente di reagire più rapidamente e ridurre la perdita di dati. I team di sicurezza dovrebbero monitorare questi segnali di allarme:

Indicatori basati sulla rete:

Volumi di dati in uscita insoliti, specialmente durante le ore non lavorative
Connessioni a domini appena registrati o intervalli IP sospetti
Anomalie nelle query DNS, inclusi volumi elevati verso singoli domini o stringhe di sottodomini codificate
Trasferimenti crittografati di grandi dimensioni verso servizi cloud
Anomalie di protocollo come traffico HTTP/HTTPS su porte non standard

Un' efficace analisi del traffico di rete è essenziale per identificare questi modelli prima che i dati lascino l'organizzazione.

Indicatori Endpoint:

Esecuzione di strumenti di esfiltrazione noti (Rclone, WinSCP, cURL con destinazioni esterne)
Compressione o crittografia dei file prima dei trasferimenti di rete
Modelli di accesso ai file di massa non coerenti con il ruolo dell'utente
Connessioni di dispositivi USB seguite da operazioni su file di grandi dimensioni
Attività pianificate o script che eseguono la raccolta automatizzata dei dati

Indicatori del comportamento degli utenti:

Accesso a file sensibili al di fuori dei normali schemi di lavoro
Scaricare o copiare volumi di dati insoliti
Accesso a sistemi o dati al di fuori delle normali mansioni lavorative
Diversi tentativi di autenticazione falliti seguiti da accesso riuscito
Regole di inoltro delle e-mail a indirizzi esterni

Monitoraggio continuo dell'esfiltrazione dei dati

Una protezione efficace contro l'esfiltrazione dei dati richiede un monitoraggio continuo su reti, endpoint e cloud . Le valutazioni puntuali non rilevano gli indicatori in tempo reale che segnalano un furto di dati in corso.

Priorità di monitoraggio:

Analisi in tempo reale del traffico di rete per anomalie di volume e pattern
Monitoraggio continuo cloud per l'accesso non autorizzato ai dati
Raccolta e analisi dei endpoint 24 ore su 24, 7 giorni su 7
Correlazione automatizzata degli indicatori tra le diverse fonti di dati
Integrazione con informazioni sulle minacce per infrastrutture di esfiltrazione note

Le organizzazioni dovrebbero stabilire comportamenti di riferimento per utenti, dispositivi e traffico di rete. Le deviazioni da tali comportamenti di riferimento attivano avvisi che richiedono un'indagine, consentendo il rilevamento di sofisticate operazioni di esfiltrazione che eludono i controlli basati sulle firme.

Tabella 6: Confronto tra le tecnologie di rilevamento per l'esfiltrazione Capacità, punti di forza e limiti di ciascun approccio di rilevamento

Tecnologia	Cosa rileva	Punti di forza	Limitazioni
DLP	Modelli di dati sensibili, violazioni delle politiche	Applicazione delle politiche in base al contenuto	Impossibile ispezionare il traffico crittografato, difficoltà con il copia/incolla
NDR	Anomalie di rete, modelli di traffico crittografato	Analisi del traffico crittografato, correlazione comportamentale	Richiede la definizione di una linea di base, può generare falsi positivi
UEBA	Anomalie nel comportamento degli utenti, minacce interne	Sensibile al contesto, apprende modelli normali	Richiede un periodo di formazione, potrebbe non essere al passo con le tecniche più innovative
EDR	Attività di processo, accesso ai file, argomenti della riga di comando	Visibilità dell'host, rilevamento degli strumenti	Lacune nella copertura degli agenti, sfide legate al vivere della terra

Lista di controllo per un rilevamento efficace:

Monitoraggio della creazione di strumenti di esfiltrazione (Rclone, WinSCP, cURL, strumenti Azure)
Analizza gli argomenti della riga di comando per i riferimenti cloud
Modelli di query DNS normali di base e avviso sugli indicatori di tunneling
Traccia i trasferimenti di dati in uscita di grandi dimensioni, in particolare quelli crittografati
Monitorare i volumi e i modelli di accesso cloud
Correlare l'accesso ai file con l'attività di rete
Avviso relativo all'accesso e al trasferimento dei dati fuori orario
Identificare le connessioni ai domini appena registrati

Prevenzione dell'esfiltrazione dei dati

La prevenzione richiede una difesa approfondita: nessun singolo controllo è in grado di bloccare tutti i tentativi di esfiltrazione. Le strategie più efficaci combinano controlli tecnici con fattori umani e partono dal presupposto che alcuni aggressori riusciranno ad aggirare le difese perimetrali.

Controlli tecnici di prevenzione

Architettura zero trust: Zero trust fornisce il quadro di riferimento fondamentale per la prevenzione dell'esfiltrazione. I principi chiave includono:

Non fidarti mai, verifica sempre: autenticazione e autorizzazione continue
Accesso con privilegi minimi: utenti e sistemi ottengono solo l'accesso di cui hanno bisogno
Ipotizzare una violazione: progettare difese per lo scenario in cui gli aggressori sono già all'interno
Micro-segmentazione: limitare le opportunità di movimento laterale

Segmentazione della rete: una corretta segmentazione limita i dati a cui gli aggressori possono accedere anche dopo la compromissione iniziale:

Separare gli archivi di dati sensibili dalle reti ad accesso generale
Implementare regole firewall tra segmenti
Richiedi una nuova autenticazione per l'accesso tra segmenti
Monitorare il traffico intersegmentale per individuare eventuali anomalie

Filtraggio in uscita: controlla quali dati possono uscire dalla rete:

Implementare liste di autorizzazione per destinazioni esterne approvate
Monitorare e registrare tutte le connessioni in uscita
Blocca i domini noti associati all'esfiltrazione
Richiedi l'autenticazione proxy per l'accesso cloud

Monitoraggio DNS: rileva e previene l'esfiltrazione basata su DNS:

Analizzare i modelli di query per gli indicatori di tunneling
Blocca le query verso domini noti come dannosi
Monitoraggio per DNS-over-HTTPS che aggira i controlli tradizionali
Avviso su volumi di query insoliti verso domini specifici

Autenticazione multifattoriale: l'autenticazione multifattoriale su tutti i sistemi riduce il rischio di compromissione delle credenziali:

Applicare l'autenticazione a più fattori (MFA) per tutti gli accessi remoti e le connessioni VPN
Richiedi l'autenticazione a più fattori (MFA) per l'accesso cloud
Implementare l'autenticazione multifattoriale phishing(FIDO2/WebAuthn) ove possibile
Estendere l'autenticazione a più fattori (MFA) agli account di servizio e agli accessi privilegiati

Implementazione CASB: i broker di sicurezza Cloud garantiscono visibilità e controllo:

Identificare l'utilizzo autorizzato e non autorizzato cloud
Applicare le politiche per il caricamento dei dati cloud
Monitorare eventuali modelli cloud insoliti cloud
Integrazione con provider di identità per controlli sensibili al contesto

Soluzioni per la prevenzione dell'esfiltrazione dei dati

Le organizzazioni dovrebbero implementare soluzioni multilivello per la prevenzione dell'esfiltrazione dei dati che affrontino diversi vettori di attacco:

Soluzioni a livello di rete:

Rilevamento e risposta di rete (NDR) per l'analisi comportamentale e l'analisi del traffico crittografato
Firewall di nuova generazione con riconoscimento delle applicazioni e ispezione SSL
Soluzioni di sicurezza DNS per il rilevamento dei tunnel e il blocco dei domini dannosi
Segmentazione della rete per limitare i movimenti laterali e l'accesso ai dati

Soluzioni Endpoint:

Agenti di prevenzione della perdita di dati (DLP) per l'ispezione dei contenuti e l'applicazione delle politiche
Endpoint e risposta Endpoint (EDR) per il monitoraggio di processi e file
Criteri di controllo dei dispositivi per USB e supporti rimovibili
Elenco di applicazioni consentite per impedire l'esecuzione non autorizzata di strumenti

Soluzioni Cloud:

Broker di sicurezza Cloud (CASB) per la visibilità dello shadow IT e l'applicazione delle politiche
Gestione Cloud (CSPM) per il rilevamento di configurazioni errate
Gestione delle identità e degli accessi (IAM) con criteri di accesso condizionale
DLP Cloud integrato con applicazioni SaaS

Soluzioni a livello di identità:

Autenticazione multifattoriale su tutti i sistemi e cloud
Gestione degli accessi privilegiati (PAM) per l'accesso a sistemi sensibili
Analisi del comportamento degli utenti e delle entità (UEBA) per il rilevamento delle anomalie
Rilevamento e risposta alle minacce all'identità (ITDR) per la compromissione delle credenziali

L'approccio più efficace combina soluzioni a tutti i livelli, con un'integrazione che consente la correlazione degli indicatori e una risposta coordinata.

Manuale di risposta agli incidenti di esfiltrazione dei dati

Quando viene rilevata o sospettata un'esfiltrazione di dati, le organizzazioni dovrebbero seguire un piano di risposta agli incidenti strutturato:

Fase 1: Rilevamento e valutazione iniziale (0-4 ore)

Convalida l'avviso attraverso più fonti di dati (rete, endpoint, cloud)
Identificare i sistemi, gli utenti e i tipi di dati interessati
Determinare l'entità dell'esfiltrazione: quali dati sono stati consultati e potenzialmente trasferiti
Conserva le prove forensi, inclusi log, acquisizioni di rete e endpoint .

Fase 2: Contenimento (4-24 ore) 5. Isolare i sistemi interessati mantenendo l'integrità forense 6. Revocare le credenziali e le sessioni compromesse 7. Bloccare i canali di esfiltrazione identificati (IP, domini, cloud ) 8. Implementare controlli di accesso di emergenza per gli archivi di dati sensibili

Fase 3: Indagine ed eradicazione (24-72 ore) 9. Condurre un'analisi forense completa per determinare la cronologia dell'attacco 10. Identificare il vettore di accesso iniziale e i meccanismi di persistenza 11. Mappare tutti i sistemi a cui ha avuto accesso l'autore della minaccia 12. Rimuovere l'accesso dell'autore dell'attacco e qualsiasi strumento o backdoor implementato

Fase 4: Notifica e ripristino (se necessario) 13. Valutare i requisiti normativi in materia di notifica (GDPR 72 ore, HIPAA 60 giorni, NIS2 24 ore) 14. Preparare il contenuto della notifica per le autorità di regolamentazione, le persone interessate e le parti interessate 15. Ripristinare i sistemi da backup noti come funzionanti, se necessario 16. Implementare controlli aggiuntivi per prevenire il ripetersi dell'evento

Fase 5: Attività post-incidente 17. Condurre una revisione delle lezioni apprese entro 30 giorni 18. Aggiornare le regole di rilevamento sulla base delle tecniche osservate 19. Migliorare i controlli preventivi per colmare le lacune individuate 20. Documentare l'incidente ai fini della conformità e per riferimento futuro

Le organizzazioni dovrebbero mettere in pratica questo manuale attraverso esercitazioni teoriche e aggiornarlo in base all'evoluzione delle minacce e dei requisiti normativi.

Requisiti normativi e di conformità

Gli incidenti di esfiltrazione dei dati comportano obblighi di notifica previsti da diversi quadri normativi. Comprendere queste tempistiche è essenziale per la pianificazione della risposta agli incidenti e la conformità.

Tabella 7: Requisiti normativi di notifica per gli incidenti di esfiltrazione dei dati Principali normative con tempistiche di notifica, sanzioni e ambito di applicazione

Regolamento	Cronologia delle notifiche	Pena massima	Ambito di applicazione
GDPR	72 ore all'autorità di vigilanza	20 milioni di euro o il 4% del fatturato annuo globale	Dati personali dei residenti nell'UE
HIPAA	60 giorni all'HHS (oltre 500 persone: immediato)	137-68.928 USD per violazione (a scaglioni)	Informazioni sanitarie protette
NIS2	Allerta precoce 24 ore su 24, rapporto completo 72 ore su 72	10 milioni di euro o il 2% del fatturato globale	Operatori di infrastrutture critiche

Secondo la guida di Cynet sulla notifica delle violazioni del GDPR, il periodo di 72 ore per la notifica inizia quando l'organizzazione viene a conoscenza della violazione, rendendo essenziali un rapido rilevamento e un'indagine tempestiva.

I requisiti di notifica delle violazioni HIPAA dell'HHS specificano sanzioni graduate in base alla colpevolezza, da 137 dollari per violazione per le violazioni inconsapevoli a 68.928 dollari per negligenza intenzionale non corretta.

La direttiva NIS2 introduce la responsabilità esecutiva, rendendo il management personalmente responsabile dei fallimenti in materia di sicurezza informatica. Ciò aumenta l'importanza dei controlli di sicurezza documentati e delle procedure di risposta agli incidenti.

Lista di controllo per la prevenzione:

Implementare un'architettura zero-trust con verifica continua
Implementare la segmentazione della rete per limitare l'accesso ai dati
Applicare l'autenticazione a più fattori (MFA) su tutti i sistemi e cloud
Configurare il filtro in uscita e monitorare le connessioni in uscita
Implementare CASB per la visibilità cloud
Monitorare il DNS per individuare indicatori di tunneling
Stabilire e applicare politiche di classificazione dei dati
Organizzare regolarmente corsi di formazione sulla sicurezza informatica

Approcci moderni alla difesa dall'esfiltrazione

Il panorama delle minacce di esfiltrazione continua ad evolversi, richiedendo ai team di sicurezza di adattare le proprie capacità di rilevamento e risposta. Gli approcci tradizionali basati sulle firme faticano a contrastare gli aggressori che utilizzano strumenti legittimi e canali crittografati.

Analisi comportamentale basata sull'intelligenza artificiale

La moderna difesa dall'esfiltrazione si affida in larga misura all'intelligenza artificiale e all'apprendimento automatico per rilevare sofisticate tecniche di furto di dati:

Baselining comportamentale: definizione di modelli normali per utenti, dispositivi e reti al fine di identificare anomalie
Analisi del traffico crittografato: rilevamento delle minacce tramite analisi dei metadati senza necessità di decrittografia
Correlazione tra le fasi dell'attacco: collegamento tra attività di ricognizione, movimento laterale ed esfiltrazione
Priorità: distinguere i comportamenti di esfiltrazione ad alto rischio dalle anomalie di routine

Hacker News riporta che gli strumenti di intelligenza artificiale sono diventati il canale principale per l'esfiltrazione dei dati, con il 67% delle sessioni di IA che avviene tramite account personali che eludono i controlli aziendali. Ciò crea nuove sfide di rilevamento che richiedono il monitoraggio delle azioni di incollaggio e caricamento sui servizi di IA, cosa che i tradizionali sistemi DLP faticano ad affrontare.

Come Vectra AI l'esfiltrazione dei dati

Vectra AI l'esfiltrazione dei dati attraverso Attack Signal Intelligence, che utilizza analisi comportamentali basate sull'intelligenza artificiale per rilevare tecniche sofisticate di esfiltrazione in ambienti di rete, cloud e identità. Anziché affidarsi esclusivamente al rilevamento basato su firme, l'approccio si concentra sull'identificazione dei modelli comportamentali che indicano la preparazione dei dati e i trasferimenti non autorizzati, indipendentemente dal fatto che gli aggressori utilizzino canali crittografati, strumenti legittimi come Rclone o cloud per l'esfiltrazione.

Questa metodologia è in linea con il MITRE ATT&CK per fornire ai team di sicurezza una visibilità a livello tecnico sui tentativi di esfiltrazione. Analizzando i modelli dei metadati, i comportamenti di connessione e il movimento dei dati negli ambienti ibridi, è possibile rilevare le minacce anche quando gli aggressori utilizzano strumenti legittimi e canali crittografati progettati per eludere i controlli tradizionali.

L'attenzione rivolta al comportamento degli aggressori piuttosto che agli indicatori statici consente di rilevare tecniche innovative senza attendere gli aggiornamenti delle firme. Con l'evolversi delle minacce alla sicurezza legate all'intelligenza artificiale, questo approccio comportamentale diventa sempre più importante.

Tendenze future e considerazioni emergenti

Il panorama delle minacce relative all'esfiltrazione dei dati continua a evolversi rapidamente, con diversi sviluppi chiave che i team di sicurezza dovrebbero anticipare nei prossimi 12-24 mesi.

L'IA come vettore di minaccia e strumento di rilevamento: gli strumenti di IA rappresentano il canale di esfiltrazione in più rapida crescita. Le organizzazioni devono implementare un monitoraggio specifico per l'IA che affronti le azioni di copia/incolla nei servizi di IA generativa: il tradizionale DLP basato su file non è in grado di rilevare questa attività. Allo stesso tempo, il rilevamento basato sull'IA diventerà essenziale per identificare in tempo reale tecniche di esfiltrazione sofisticate.

Esfiltrazione pura anziché crittografia: il passaggio dal ransomware con crittografia all'estorsione basata esclusivamente sull'esfiltrazione subirà un'accelerazione. Gruppi come Cl0p e World Leaks hanno dimostrato che i dati rubati forniscono un vantaggio sufficiente senza la complessità operativa della crittografia. I team di sicurezza devono dare priorità al rilevamento dei furti di dati piuttosto che concentrarsi esclusivamente sugli indicatori di crittografia del ransomware.

Evoluzione normativa: il pacchetto omnibus digitale dell'UE propone di estendere i tempi di notifica del GDPR da 72 a 96 ore e di creare un punto di accesso unico per la segnalazione interregolamentare. Le organizzazioni dovrebbero prepararsi all'evoluzione dei requisiti di conformità, mantenendo al contempo le attuali capacità di notifica.

Crescita dell'esfiltrazioneCloud: man mano che le organizzazioni trasferiscono un numero sempre maggiore di carichi di lavoro in cloud , gli aggressori sfrutteranno sempre più spesso strumenti e servizi cloud per l'esfiltrazione. Il rilevamento richiede una profonda integrazione con le API cloud e i sistemi di identità.

ModelliZero-day : gruppi come Cl0p continuano a identificare e sfruttare zero-day nel software aziendale (MOVEit, Oracle EBS) per l'esfiltrazione di dati su larga scala. Le organizzazioni dovrebbero implementare processi di patch rapidi e controlli compensativi per le vulnerabilità non corrette.

Consigli per la preparazione:

Immediato: correggere le vulnerabilità note sfruttate nel software aziendale (Oracle EBS, Citrix NetScaler, VMware vCenter)
A breve termine: implementare il monitoraggio dell'utilizzo dell'IA per rilevare l'esfiltrazione di dati tramite strumenti di IA generativa.
A medio termine: implementare l'analisi comportamentale per il rilevamento delle fughe di dati cloud
In corso: monitorare CISA KEV e i feed di intelligence sulle minacce per individuare eventuali zero-day

Le priorità di investimento dovrebbero concentrarsi sulle capacità di rilevamento comportamentale che funzionano in ambienti ibridi, sull'analisi basata sull'intelligenza artificiale in grado di stare al passo con l'evoluzione degli aggressori e sull'integrazione tra strumenti di sicurezza che consentono la correlazione dell'intero ciclo di vita dell'attacco, dall'accesso iniziale all'esfiltrazione.

Altri fondamenti della sicurezza informatica

Domande frequenti

Che cos'è l'esfiltrazione dei dati?

L'esfiltrazione dei dati è il trasferimento non autorizzato di dati dalla rete di un'organizzazione a una posizione esterna controllata da un autore della minaccia. Secondo il NIST, rappresenta "il trasferimento non autorizzato di informazioni da un sistema informativo". A differenza dell'esposizione accidentale dei dati o della compromissione del sistema senza furto di dati, l'esfiltrazione comporta specificamente l'estrazione deliberata di informazioni sensibili.

La distinzione tra termini correlati è importante per i team di sicurezza. Una violazione dei dati è il risultato, ovvero l'incidente di sicurezza in cui si accede ai dati senza autorizzazione. La fuga di dati è l'esposizione involontaria dovuta a una configurazione errata o a un errore umano. L'esfiltrazione è il metodo deliberato utilizzato dagli aggressori per rubare informazioni.

Secondo una ricerca condotta da BlackFog, nel 2024 il 93% degli attacchi ransomware ha comportato l'esfiltrazione di dati, rendendola una minaccia dominante piuttosto che un evento occasionale. Il tempo medio necessario per l'esfiltrazione è ora di soli due giorni, con quasi un incidente su cinque che vede il furto di dati entro la prima ora.

Qual è la differenza tra esfiltrazione dei dati e violazione dei dati?

L'esfiltrazione dei dati è il metodo o la tecnica utilizzata per rubare dati, mentre una violazione dei dati è il risultato di un incidente di sicurezza in cui si accede ai dati senza autorizzazione. Ogni esfiltrazione crea una violazione, ma non tutte le violazioni comportano un'esfiltrazione.

Ad esempio, un hacker che ottiene l'accesso non autorizzato a un database e visualizza i dati dei clienti ha causato una violazione, ma se non copia o trasferisce tali dati all'esterno, non si è verificata alcuna esfiltrazione. Al contrario, quando gli operatori di ransomware utilizzano Rclone per copiare 500 GB di file sul cloud MEGA, si sono verificati sia l'esfiltrazione che la violazione.

Questa distinzione influisce sulla risposta agli incidenti. Le violazioni senza esfiltrazione possono avere un impatto limitato a valle se l'accesso viene interrotto rapidamente. L'esfiltrazione crea un'esposizione permanente: una volta che i dati escono dal controllo dell'organizzazione, non possono essere recuperati e gli aggressori mantengono indefinitamente il potere di ricatto.

In che modo gli hacker rubano i dati?

Gli aggressori sottraggono i dati attraverso diversi canali, selezionati in base ai requisiti di volume, alle esigenze di occultamento e all'infrastruttura disponibile:

Connessioni HTTPS crittografate: il metodo più comune, che sfrutta la normale crittografia del traffico web per nascondere i trasferimenti di dati. Può utilizzare servizi cloud o endpoint personalizzati.

Tunneling DNS: dati codificati all'interno delle query e delle risposte DNS, che aggirano i controlli di sicurezza incentrati sul traffico web. Efficace per volumi di dati ridotti o quando altri canali sono bloccati.

ServiziCloud : Google Drive, Dropbox, OneDrive e MEGA forniscono un'infrastruttura legittima per il trasferimento dei dati. Il traffico si confonde con il normale utilizzo aziendale.

Canali di comando e controllo: dati trasportati su comunicazioni C2 esistenti, spesso crittografati e difficili da distinguere dal normale traffico C2.

Supporti fisici: unità USB e dispositivi di archiviazione rimovibili per minacce interne o nei casi in cui sarebbe rilevata l'esfiltrazione dalla rete.

Gli aggressori moderni prediligono strumenti legittimi come Rclone (utilizzato nel 57% degli incidenti ransomware) che si integrano con le normali operazioni aziendali e sfruttano cloud affidabili.

Quali strumenti utilizzano gli aggressori per l'esfiltrazione dei dati?

Secondo una ricerca condotta da ReliaQuest nel periodo compreso tra settembre 2023 e luglio 2024, Rclone domina il panorama degli strumenti di exfiltrazione con il 57% degli incidenti ransomware. Altri strumenti comunemente osservati includono:

Rclone: sincronizzazione cloud open source da riga di comando cloud supporta oltre 40 servizi, tra cui MEGA, Google Drive e S3. Veloce, scriptabile e ampiamente utilizzato dagli operatori di ransomware.

WinSCP: client SFTP/FTP per Windows ampiamente utilizzato nelle aziende, che rende difficile distinguere gli utilizzi dannosi dalle attività legittime.

cURL: nativo di Windows 10 e versioni successive, non richiede alcuna distribuzione aggiuntiva. Consente attacchi living-off-the-land senza rilasciare eseguibili aggiuntivi.

Azure Storage Explorer/AzCopy: sempre più utilizzato da gruppi come BianLian e Rhysida per l'esfiltrazione verso Azure Blob Storage.

MEGAsync: client cloud MEGA spesso utilizzato in combinazione con Rclone per la sincronizzazione automatica con account controllati dagli aggressori.

Software RMM: AnyDesk, Splashtop e Atera offrono funzionalità C2 e di trasferimento dati con una giustificazione commerciale legittima.

Come possono le organizzazioni rilevare l'esfiltrazione dei dati?

Un rilevamento efficace delle esfiltrazioni richiede tecnologie stratificate che lavorino insieme:

Prevenzione della perdita di dati (DLP): ispezione dei contenuti alla ricerca di modelli di dati sensibili, applicazione delle politiche per il trasferimento dei dati, ma efficacia limitata contro il traffico crittografato.

Rilevamento e risposta di rete (NDR): analisi comportamentale dei modelli di traffico di rete, analisi del traffico crittografato senza necessità di decrittografia e rilevamento delle anomalie rispetto a linee di base stabilite.

Analisi del comportamento di utenti ed entità (UEBA): rilevamento di comportamenti anomali degli utenti, inclusi accessi fuori orario, volumi di dati insoliti e accessi al di fuori del ruolo normale.

Endpoint e rispostaEndpoint (EDR): monitoraggio dei processi per strumenti di esfiltrazione, registrazione degli accessi ai file e analisi degli argomenti della riga di comando.

Gli indicatori chiave di compromissione includono volumi di dati insoliti verso destinazioni esterne, accesso ai file fuori orario seguito da trasferimenti di rete, connessioni a domini appena registrati, creazione di processi di strumenti di esfiltrazione (Rclone, WinSCP, cURL) e anomalie nell'accesso cloud .

Nel terzo trimestre del 2025, le organizzazioni hanno impedito solo il 3% dei tentativi di esfiltrazione, sottolineando la necessità di investimenti completi nel rilevamento.

A cosa serve il tunneling DNS nell'esfiltrazione dei dati?

Il tunneling DNS codifica i dati rubati all'interno delle query e delle risposte DNS per aggirare i tradizionali controlli di sicurezza. Poiché il traffico DNS è generalmente considerato affidabile e raramente sottoposto a controlli approfonditi, gli aggressori lo utilizzano per sottrarre dati attraverso canali che altrimenti sarebbero bloccati.

La tecnica funziona così:

Suddividere i dati in piccoli blocchi
Codifica dei blocchi come query di sottodomini (ad esempio, dati-codificati.dominio-dell'aggressore.com)
Invio di query a server DNS controllati dall'autore dell'attacco
Ricezione di comandi o dati aggiuntivi tramite record di risposta DNS

Il rilevamento richiede l'analisi del traffico DNS per:

Volumi di query insolitamente elevati verso domini specifici
Stringhe di sottodomini lunghe contenenti dati codificati
Elevata entropia nelle stringhe di query
Richieste a domini appena registrati o sospetti
Modelli che si discostano dalle linee guida DNS dell'organizzazione

Il tunneling DNS è particolarmente efficace in ambienti con accesso limitato a Internet ma politiche DNS permissive. I team di sicurezza dovrebbero implementare il monitoraggio DNS e prendere in considerazione il filtraggio DNS per bloccare le query verso domini sospetti.

Quali normative di conformità si applicano agli incidenti di esfiltrazione dei dati?

Le principali normative con implicazioni specifiche in materia di esfiltrazione includono:

GDPR (UE): richiede la notifica all'autorità di controllo entro 72 ore dalla scoperta di una violazione. Sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo globale. L'esfiltrazione di dati che coinvolge i dati personali dei residenti nell'UE comporta l'obbligo di notifica completa.

HIPAA (sanità statunitense): la norma sulla notifica delle violazioni richiede di informare le persone interessate entro 60 giorni. Per le violazioni che interessano più di 500 persone, è necessario informare immediatamente l'HHS. Le sanzioni variano da 137 a 68.928 dollari per ogni violazione, in base alla gravità.

NIS2 (Infrastrutture critiche dell'UE): richiede un preavviso di 24 ore per incidenti significativi, seguito da una relazione completa sull'incidente entro 72 ore. Sanzioni fino a 10 milioni di euro o al 2% del fatturato globale. Introduce la responsabilità esecutiva per il management.

Le organizzazioni dovrebbero predisporre piani di risposta agli incidenti che tengano conto di tali tempistiche di notifica. I tempi ridotti tra il rilevamento e la notifica richiedono capacità di indagine rapide e modelli di comunicazione prestabiliti.

Con quale rapidità avviene l'esfiltrazione dei dati negli attacchi moderni?

L'esfiltrazione moderna avviene con una velocità senza precedenti. Secondo il rapporto 2025 Incident Response Report di Unit 42:

Tempo mediano di esfiltrazione: 2 giorni dal compromesso iniziale
Casi di esfiltrazione rapida: in 1 incidente su 5 i dati vengono rubati entro la prima ora
Tempo di permanenza complessivo: ridotto a 7 giorni (da 13 giorni nel 2023)

Questa tempistica compressa ha implicazioni significative per il rilevamento e la risposta. Gli approcci tradizionali che identificano le anomalie su periodi prolungati potrebbero non rilevare affatto l'esfiltrazione. I team di sicurezza necessitano di analisi comportamentali in tempo reale in grado di identificare i furti di dati in corso.

Il vantaggio in termini di velocità favorisce gli aggressori che hanno già mappato gli ambienti target o utilizzano strumenti automatizzati per l'individuazione e l'esfiltrazione. Le organizzazioni devono presumere che, una volta rilevata la compromissione, il furto di dati possa essere già avvenuto.

Che cos'è il ransomware a doppia estorsione?

La doppia estorsione è una tattica ransomware in cui gli aggressori crittografano i dati e minacciano di divulgare quelli sottratti se non viene pagato il riscatto. Questo approccio offre diversi punti di pressione:

Interruzione della crittografia: impatto operativo e costi di ripristino
Minaccia di esposizione dei dati: crea un vantaggio continuo anche se i sistemi vengono ripristinati dal backup

Gruppi come Cl0p si sono evoluti ulteriormente, abbandonando sempre più la crittografia a favore di una pura estorsione basata sull'esfiltrazione. Questo approccio richiede una minore complessità operativa, pur mantenendo il potere contrattuale attraverso le minacce di divulgazione dei dati.

BlackFog riporta che il 96% degli attacchi ransomware nel terzo trimestre del 2025 ha comportato l'esfiltrazione di dati, con il 43% delle vittime che ha pagato il riscatto nel secondo trimestre del 2024 (in aumento rispetto al 36% del primo trimestre). L'evoluzione verso attacchi incentrati sull'esfiltrazione richiede ai team di sicurezza di dare priorità al rilevamento del furto di dati rispetto agli indicatori incentrati sulla crittografia.

Quanto costa la prevenzione e la risposta all'esfiltrazione dei dati?

Secondo il rapporto IBM "Cost of a Data Breach Report 2024":

Costo medio dell'estorsione per esfiltrazione: 5,21 milioni di dollari per incidente
Costo medio globale delle violazioni: 4,88 milioni di dollari
Costo medio delle violazioni negli Stati Uniti (2025): 10,22 milioni di dollari (record storico)
Costo medio delle violazioni nel settore sanitario: 9,8 milioni di dollari

Gli investimenti nella prevenzione variano in base alle dimensioni dell'organizzazione e al livello di sicurezza esistente. Le principali categorie di costo includono:

Tecnologie di rilevamento (DLP, NDR, UEBA, EDR)
Personale di sicurezza per il monitoraggio e la risposta
Controlli Cloud (CASB, gestione delle identità)
Segmentazione della rete e implementazione dello zero trust
Formazione sulla consapevolezza in materia di sicurezza
Contratto di assistenza per la risposta agli incidenti e preparazione

Il costo della prevenzione è in genere una frazione dei costi di risposta alle violazioni. Le organizzazioni dovrebbero valutare gli investimenti rispetto ai potenziali costi degli incidenti e alle sanzioni normative, che possono raggiungere i 20 milioni di euro o il 4% del fatturato globale ai sensi del GDPR.