Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Exfiltratie

Aanvallen

Het naar buiten sluizen van vertrouwelijke informatie van een gehackte organisatie naar de systemen van de hacker of een ander gehackt systeem.

Exfiltratie, ook wel data-exfiltratie genoemd, is het opzettelijk en ongeautoriseerd wegsluizen van gegevens uit een organisatie. Anders dan bij een datalek, dat vaak per ongeluk ontstaat door een verkeerde configuratie of menselijke fout, is exfiltratie altijd een bewuste actie. Aanvallers gebruiken uiteenlopende technieken om gevoelige informatie zoals klantgegevens, intellectueel eigendom of credentials buit te maken zonder dat de organisatie dit direct opmerkt. Het is een van de meest schadelijke fases van een cyberaanval, omdat de gestolen data vervolgens kan worden verkocht, gepubliceerd of gebruikt voor verdere aanvallen.

Hoe werkt data-exfiltratie?

Data-exfiltratie vindt doorgaans plaats in de laatste fase van een cyberaanval, nadat een aanvaller al toegang heeft verkregen tot het netwerk. Het proces begint vaak met het identificeren van waardevolle gegevens, gevolgd door het verzamelen en comprimeren van deze data, en ten slotte het versturen naar een externe locatie die onder controle staat van de aanvaller. De aanvaller probeert daarbij zo min mogelijk sporen achter te laten.

Een veelgebruikte methode is exfiltratie via een Command and Control (C2) kanaal. De aanvaller installeert malware die een versleutelde verbinding opzet met een externe server. Via dit kanaal worden gestolen gegevens in kleine porties verstuurd om detectie te vermijden. Remote Access Trojans (RATs) en keyloggers zijn hierbij populaire tools die de aanvaller op afstand controle geven over het gecompromitteerde systeem.

Andere technieken omvatten het misbruiken van legitieme clouddiensten voor het uploaden van gestolen data, het verbergen van gegevens in regulier netwerkverkeer via DNS-tunneling, en het gebruiken van versleutelde verbindingen om monitoring te omzeilen. Steeds vaker zien we dat aanvallers data binnen twee dagen na initieel toegang exfiltreren, wat de noodzaak van snelle detectie onderstreept. Sommige aanvallers gebruiken ook steganografie om data te verbergen in ogenschijnlijk onschuldige bestanden zoals afbeeldingen.

Veelvoorkomende aanvalsvectoren

Phishing is een van de meest gebruikte methoden om de initieel toegang te verkrijgen die nodig is voor exfiltratie. Via een overtuigende e-mail of bericht wordt een medewerker verleid om inloggegevens te delen of malware te installeren. Eenmaal binnen kan de aanvaller zich lateraal door het netwerk bewegen op zoek naar waardevolle data. De combinatie van voice phishing en e-mailphishing maakt deze aanvalsvector bijzonder effectief.

Insider threats vormen een apart risico. Een medewerker met legitieme toegang tot gevoelige systemen kan bewust of onbewust data naar buiten brengen. Dit kan variieren van het doorsturen van bestanden naar een privee-mailadres tot het kopiieren van gegevens naar een USB-stick. Omdat deze acties plaatsvinden met geldige credentials, zijn ze moeilijker te detecteren dan externe aanvallen. Het implementeren van het principe van minimale rechten helpt om de hoeveelheid data die een insider kan benaderen te beperken.

Bij gijzelsoftware-aanvallen is exfiltratie een steeds vaker voorkomend onderdeel van de aanval. Aanvallers stelen eerst data voordat ze systemen versleutelen, zodat ze dubbele druk kunnen uitoefenen: betaal losgeld of de gestolen data wordt gepubliceerd. Deze tactiek staat bekend als double extortion en maakt de impact van een ransomware-aanval aanzienlijk groter dan alleen de versleuteling van bestanden.

Detectie van exfiltratie

Het detecteren van data-exfiltratie vereist een meerlagige aanpak. Security Information and Event Management (SIEM) systemen spelen hierbij een centrale rol. Ze verzamelen logs uit talloze bronnen en kunnen ongewone patronen signaleren, zoals grote hoeveelheden uitgaand verkeer op ongebruikelijke tijdstippen of naar onbekende bestemmingen. Door baseline-patronen vast te stellen kun je afwijkingen sneller identificeren.

Endpoint Detection and Response (EDR) oplossingen monitoren de activiteit op individuele apparaten. Ze kunnen verdacht gedrag detecteren zoals het massaal kopiieren van bestanden, het comprimeren van grote datasets, of communicatie met bekende kwaadaardige servers. In combinatie met netwerkmonitoring bieden ze een breed zicht op mogelijke exfiltratiepogingen. Moderne EDR-oplossingen gebruiken gedragsanalyse en machine learning om ook onbekende exfiltratietechnieken te herkennen.

Data Loss Prevention (DLP) tools zijn specifiek ontworpen om te voorkomen dat gevoelige informatie de organisatie verlaat. Ze kunnen datastromen inspecteren, gevoelige bestanden identificeren en automatisch blokkeren wanneer iemand probeert deze buiten de organisatie te brengen. Let wel: DLP is geen vervanging voor goede security awareness onder medewerkers, maar een aanvullende technische maatregel die de menselijke factor ondersteunt.

Preventie en bescherming

Een zero-trust architectuur is een van de meest effectieve verdedigingen tegen exfiltratie. In een zero-trust model wordt elk verzoek geverifieerd, ongeacht of het van binnen of buiten het netwerk komt. Dit beperkt de mogelijkheden voor een aanvaller om zich ongemerkt door het netwerk te bewegen na een initieel compromittering. Elke toegangspoging wordt beoordeeld op basis van identiteit, apparaat, locatie en context.

Microsegmentatie van het netwerk beperkt de laterale beweging van aanvallers. Door het netwerk op te delen in kleinere zones met strenge toegangscontroles, kan een aanvaller die een enkel systeem compromitteert niet zomaar bij andere systemen komen. Dit verkleint het potentiele bereik van een exfiltratie-aanval aanzienlijk en beperkt de hoeveelheid data die in een keer kan worden gestolen.

Het versleutelen van data in rust en in transit maakt gestolen gegevens minder waardevol voor aanvallers. Zelfs als het ze lukt om data te exfiltreren, kunnen ze zonder de bijbehorende sleutels niets met de versleutelde informatie. Combineer symmetrische versleuteling met goede sleutelbeheerprocedures voor optimale bescherming. Zorg er daarnaast voor dat sleutels gescheiden worden opgeslagen van de versleutelde data.

Respons bij een exfiltratie-incident

Als je vermoedt dat data is geexfiltreerd, is snel handelen essentieel. Activeer direct je incident response plan en begin met het isoleren van getroffen systemen om verdere datadiefstal te voorkomen. Documenteer alle bevindingen zorgvuldig voor forensisch onderzoek en bewaar bewijsmateriaal volgens een chain of custody procedure.

Schakel een gespecialiseerd incident response team in dat ervaring heeft met het analyseren van exfiltratie-incidenten. Zij kunnen bepalen welke data is gestolen, hoe de aanvaller is binnengekomen en welke systemen zijn geraakt. Op basis van deze analyse kun je gerichte maatregelen nemen om herhaling te voorkomen en je verdediging te versterken tegen toekomstige pogingen.

Vergeet niet je meldplicht. Onder de AVG moet je een datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens als het gaat om persoonsgegevens. Onder de aankomende Cyberbeveiligingswet gelden aanvullende meldverplichtingen voor organisaties in kritieke sectoren. Communiceer ook transparant naar betrokkenen wiens gegevens mogelijk zijn gestolen.

Veelgestelde vragen over exfiltratie

Wat is het verschil tussen exfiltratie en een datalek?

Een datalek kan per ongeluk ontstaan, bijvoorbeeld door een verkeerd geconfigureerde database of een e-mail die naar de verkeerde ontvanger wordt gestuurd. Exfiltratie is altijd een bewuste, opzettelijke actie waarbij een aanvaller doelgericht data steelt uit je organisatie met een specifiek doel voor ogen.

Hoe snel vindt exfiltratie plaats na een inbraak?

Recent onderzoek toont aan dat aanvallers steeds sneller opereren. In veel gevallen wordt data binnen twee dagen na de initieel toegang geexfiltreerd. Bij gerichte aanvallen kan dit zelfs binnen enkele uren gebeuren, vooral wanneer de aanvaller al weet waar de waardevolle data zich bevindt.

Kan versleuteling exfiltratie voorkomen?

Versleuteling voorkomt niet dat data wordt gestolen, maar maakt de gestolen gegevens onbruikbaar voor de aanvaller zolang ze niet over de decryptiesleutels beschikken. Het is daarom een belangrijke aanvullende beveiligingsmaatregel die de impact van een succesvolle exfiltratie aanzienlijk kan beperken.

Welke sectoren zijn het meest kwetsbaar voor exfiltratie?

Sectoren met veel waardevolle data zijn het aantrekkelijkst voor aanvallers. Denk aan de financiele sector, gezondheidszorg, overheid en technologiebedrijven. Maar in principe is elke organisatie die digitaal werkt en gevoelige gegevens verwerkt een potentieel doelwit voor data-exfiltratie.

Bescherming tegen exfiltratie

Het voorkomen van data-exfiltratie vraagt om een combinatie van technische maatregelen, beleid en bewustwording. Via het platform kun je incident response specialisten vinden die je helpen met het opzetten van een robuuste verdediging tegen datadiefstal en het ontwikkelen van een effectief responsplan.

Bescherm je organisatie tegen datadiefstal met hulp van experts via IBgidsNL.