A maioria das pessoas está ciente de que existe, aparentemente, uma infinidade de hackers cujo objetivo na vida é roubar dados confidenciais de redes corporativas. E embora tenham sido escritos tratados sobre as várias maneiras pelas quais os invasores se infiltram em sistemas e redes, os métodos pelos quais eles realmente removem os dados que desejam roubar não é bem conhecido.
Não é surpresa que seja bastante lógico. Primeiro, um invasor obterá acesso a uma rede por meio de um e-mail de phishing que contenha um PDF ou documento do Word corrompido – essa é sua porta de entrada para um sistema na rede. A partir daí, o invasor encontrará outras vulnerabilidades para passar para o sistema em busca de dados valiosos – planilhas, documentos, informações financeiras ou qualquer outra coisa que considere valiosa.
Após a identificação dos dados, será hora de iniciar o processo de exportação. Ele deverá se estabelecer em algum lugar e, em geral, escolherá um determinado sistema de desktop em uma rede – em oposição a um servidor – para usar como base. De acordo com Ryan Kazanciyan e Sean Coyne da firma de segurança de informações Mandiant, isso ocorre porque a maioria dos usuários não presta muita atenção na quantidade de armazenamento usada em sua máquina, mas, em tese, os administradores de rede estão mais preocupados com isso e perceberão um pico no armazenamento em um servidor.
Alguns invasores acumulam os dados que desejam roubar na máquina de preparação corrompida e os extraem rapidamente. No entanto, mais comumente, esses criminosos extraem dados bit a bit – mesmo que haja um risco maior de detecção com o último método. E enquanto alguns hackers roubam dados específicos, outros roubarão qualquer coisa que acessem – a marca reveladora de uma grande operação que tem a capacidade de peneirar todos os dados para encontrar os bits valiosos.
A chave para lidar com hackers não é corrigir a vulnerabilidade depois que ela for explorada, mas assegurar de modo proativo que sua rede sempre seja protegida, bem como se precaver contra esses ataques.
“É difícil quantificar o impacto desses roubos de dados porque o valor de muitos deles ainda não foi percebido” diz Coyne. “Em muitos dos casos em que trabalhamos, os invasores tinham acesso há meses ou anos. Se todo o seu esforço for direcionado à correção após o fato, será tarde demais.”