Le data leak rappresentano una forma unica e più sottile di minacce informatiche, quelle dall'interno. Non pianificate e spesso inosservate, le fughe di dati possono scagliare sotto il naso dei leader della cybersecurity e gettare le basi per minacce dannose.
In sostanza, una perdita di dati è l'esposizione involontaria di dati sensibili ad ambienti non autorizzati. Ciò può verificarsi in molti modi: errori di sistema che lasciano vulnerabilità in una piattaforma, debole infrastruttura di cybersecurity o errore umano classico, come l'invio di email alla persona sbagliata.
Le aziende possono trascurare le fughe di dati che coinvolgono incidenti semplici, piuttosto che un attacco pianificato e degno di nota. Tuttavia, la frequenza e il costo delle fughe di dati sono in aumento. Secondo un recente studio Mimecast, il 43% delle aziende ha registrato un aumento delle fughe di dati causate da errori umani nel 2024, causando una perdita media di 13,9 milioni di dollari all'organizzazione. Soprattutto quando le aziende faticano a far fronte al ritmo della formazione sulla cybersecurity con l'ascesa di nuove tecnologie come l'intelligenza artificiale e le piattaforme di co-working digitale, il 66% dei leader prevede anche di assistere a un aumento nel prossimo anno.
Le fughe e le violazioni dei dati comportano entrambi il rilascio indesiderato di dati da parte di un'organizzazione. I modi in cui queste minacce si presentano, tuttavia, danno ai due diversi significati.
Le violazioni dei dati, da un lato, iniziano con attacchi dannosi. Che questo attacco provenga da un singolo hacker o da un gruppo di criminali informatici, implica l'accesso ai dati da parte di una parte non autorizzata all'interno di un'organizzazione. Gli aggressori informatici arrivano a questi dati anche attraverso una moltitudine di strategie: malware, phishing, sfruttamento delle vulnerabilità del sistema. Indipendentemente dalla strategia, tuttavia, le violazioni dei dati sono intenzionali.
D'altra parte, una perdita di dati è più sottile e interna, a causa della negligenza di un semplice errore. È ciò che accade quando qualcuno lascia aperta inconsapevolmente una porta, come un file condiviso con il team sbagliato. Anche se potrebbero non fare la notizia con la stessa frequenza, le perdite sono sia più frequenti che più facili da prevenire.
Anche se queste minacce iniziano in luoghi diversi, le fughe di dati rimangono la causa principale delle violazioni dei dati. Infatti, nel 2024 l'"errore umano" ha contribuito al 95% delle violazioni dei dati.
La maggior parte delle violazioni dei dati non deriva da un hacking di alto livello: spesso sono scatenate da errori di routine. Ecco dove le cose tendono a andare storte:
Queste cause sono prevenibili con la giusta combinazione di strumenti, formazione sulla cybersecurity e governance.
In framework come il GDPR del Regno Unito, le organizzazioni devono segnalare tempestivamente le fughe di dati e possono essere responsabili di:
Una documentazione adeguata, una risposta rapida e strategie di prevenzione delle perdite di dati aiutano a mitigare la responsabilità.
Le perdite di dati non sempre hanno lo stesso aspetto. Rientrano in categorie distinte in base al tipo di dati esposti e a come vengono gestiti in modo errato. Di seguito sono riportati alcuni dei tipi più comuni:
Una strategia efficace di protezione dalle perdite di dati deve combinare i controlli tecnici con la consapevolezza culturale.
Le principali fasi di prevenzione includono:
Distribuisci soluzioni di prevenzione della perdita di dati (DLP) su endpoint, server e piattaforme cloud
Crittografare i dati sensibili a riposo e in transito
Applica le policy di gestione delle identità e degli accessi (IAM) con i principi dei privilegi minimi
Formare regolarmente il personale sulla gestione sicura dei dati
Verifica la conformità degli strumenti e delle integrazioni di terze parti.
Queste azioni riducono significativamente il rischio di esposizione accidentale.
Individui e organizzazioni possono eseguire la scansione proattiva dei dati esposti utilizzando:
Il monitoraggio aiuta a rilevare l'esposizione prima degli aggressori.
Questi casi mostrano come iniziano le fughe di dati, spesso in modo silenzioso, e come possono evolversi in incidenti di sicurezza più gravi se sfruttati da malintenzionati.
Mentre i gruppi di cyber criminali sono in genere quelli che sfruttano le fughe di dati, sono, ironicamente, non immuni alle stesse. Ad esempio, i ricercatori di Trend Micro hanno identificato che la minaccia alla sicurezza del cloud TeamTNT aveva inavvertitamente divulgato le proprie credenziali DockerHub nel 2022. Fondamentalmente, il team TNT ha erroneamente eseguito le proprie operazioni mentre era ancora connesso al proprio DockerHub, il tutto mentre tentava di attaccare un falso ambiente cloud o "honeypot" configurato da Trend Micro.
Mentre la scoperta riguardava un gruppo criminale, il problema principale era una classica perdita di dati: l'esposizione involontaria di segreti in un ambiente accessibile al pubblico. Queste credenziali trapelate offrivano informazioni sugli strumenti di TeamTNT e aprivano opportunità ai difensori di studiare e intercettare le operazioni.
Un esempio di perdita di dati che ha portato a un attacco è avvenuto attraverso Alibaba OSS (servizio di archiviazione aperta), una piattaforma di archiviazione basata sul cloud utilizzata da aziende e sviluppatori. Dopo che alcuni dei bucket OSS sono stati impostati per l'accesso pubblico da parte degli utenti, gli aggressori sono entrati in questi bucket e hanno avuto accesso a metadati sensibili. In questo caso, i cyber criminali hanno piantato immagini di malware apparentemente dannose in bucket che consentono loro di estrarre la criptovaluta da queste vulnerabilità, una tecnica chiamata steganografia.
La perdita, anche se di origine non dannosa, è diventata rapidamente uno strumento per i cyber criminali. Gli aggressori hanno utilizzato i bucket aperti per distribuire malware e lanciare ulteriori campagne. Ciò dimostra come semplici configurazioni errate possano trasformarsi in sfruttamento.
In un altro incidente, gli sviluppatori hanno involontariamente divulgato token API e credenziali di autenticazione nei flussi di lavoro di GitHub Actions. Questi segreti sono stati archiviati in variabili di ambiente o file hardcoded, che sono stati poi impegnati in archivi pubblici.
Gli aggressori hanno scansionato GitHub alla ricerca di credenziali esposte e le hanno utilizzate per inserire processi dannosi nei flussi di lavoro di automazione, con conseguente mining di criptovalute non autorizzato. La perdita non richiedeva il verificarsi di malware, ma si basava semplicemente sulla visibilità e sulla disattenzione.
La prevenzione della perdita di dati (DLP) è una delle difese più pratiche contro l'esposizione involontaria dei dati. Piuttosto che fungere da framework di cybersecurity universale, la DLP è una strategia progettata appositamente per rilevare e impedire la fuoriuscita di dati oltre gli ambienti controllati, che si tratti di email, archiviazione in cloud o endpoint. Nel contesto delle fughe di dati,
Impostate dai team di sicurezza, le policy DLP fungono da guardrail: segnalano il comportamento rischioso, monitorano i dati sensibili in movimento e prevengono i trasferimenti non autorizzati. Quando uno strumento DLP rileva una potenziale formazione di perdite di dati, informerà i team di sicurezza e aiuterà a valutare la gravità del caso.
Le soluzioni DLP di livello enterprise, come il software di prevenzione della perdita di dati, forniscono visibilità e applicano controlli di protezione senza interrompere i flussi di lavoro legittimi, aiutando le organizzazioni a ridurre le perdite accidentali e negligenti prima che si aggravino.
Non si tratta solo di proteggere i dati, ma anche di gestire chi può vederli. Zero Trust Secure Access (ZTSA) opera sulla regola del "mai fidarsi, verificare sempre". Ciò significa che l'accesso viene concesso in base al contesto in tempo reale, non solo all'indirizzo IP di qualcuno. ZTSA integra DLP. Mentre DLP protegge i dati, ZTSA garantisce che solo le persone giuste si avvicinino a essi. Insieme, creano una difesa a più livelli che blocca sia gli errori che l'uso improprio. ZTSA di Trend Micro porta il controllo adattivo degli accessi nella tabella, eseguendo il backup delle policy DLP con una protezione intelligente basata sull'identità. Per la forza lavoro ibrida, è un elemento essenziale del puzzle.
La suite di Trend Micro combina DLP, sicurezza degli endpoint e ZTSA per bloccare i dati sensibili, indipendentemente da dove risiedono o si spostano. Si tratta di un approccio unificato a una sfida crescente, che aiuta le organizzazioni a sigillare le perdite prima che inizino.
Esplora i nostri strumenti di prevenzione delle perdite di dati per proteggere i tuoi dati in ogni fase del loro percorso.