ExtraHop waarschuwt voor ongeautoriseerde data-exfiltratie

ExtraHop heeft een securityadvies gepubliceerd met voorbeelden van data- exfiltratie naar leveranciers van IT-apparatuur en -toepassingen, zonder toestemming van de klanten. Daarmee wil deze specialist in het monitoren en analyseren van digitale transacties organisaties waarschuwen voor het ongeautoriseerd gebruik van vertrouwelijke informatie door leveranciers.

‘Phoning home’ data-exfiltratie
In ExtraHop’s securityadvies wordt ‘phoning home’ beschreven als de serververbinding met een leverancier voor het exfiltreren en verzenden van data. Dat gebeurt vaak om verschillende redenen en is geen enkel probleem als klanten ervan op de hoogte zijn. Zo niet, dan lopen zij echter het risico van ongeautoriseerd gebruik van gevoelige persoonsgegevens of bedrijfsinformatie en schendt de betreffende leverancier de privacywetgeving.

Vier voorbeelden
In het gepubliceerde securityadvies staan vier voorbeelden beschreven van ongeautoriseerde data-exfiltratie in de financiële dienstverlening, voedingsmiddelenindustrie en zorgsector:
* Tijdens een trainingssessie bij een financiële dienstverlener ontdekte ExtraHop dat domeincontrollers SSL-verkeer naar 50 verschillende publieke cloud-connecties stuurden, die door de betreffende leverancier werden gecontroleerd. Het rapport beschrijft hoe een bekende leverancier van cybersecurity-oplossingen dit al minstens twee maanden doet.
* Een Amerikaans ziekenhuis testte een managementproduct voor medische apparatuur dat alleen gebruikt zou worden via het interne Wi-Fi, om de privacy van patiëntgegevens en de naleving van de HIPAA-voorschriften te waarborgen. ExtraHop ontdekte dat het werkstation voor de implementatie ervan versleutelde SSL:443-verbindingen naar de cloudopslag van de leverancier opende. Dat is een ernstige schending van de HIPAA-wetgeving.
* Bij een multinational in de voedingsmiddelenindustrie stuurde een IP-apparaat UDP-verkeer naar een verdacht IP-adres. Dat bleek een in China geproduceerde beveiligingscamera te zijn, die data stuurde naar een IP-adres dat gerelateerd is aan het downloaden van malware.
* Tijdens een proof-of-concept (POC) bij een financiële dienstverlener ontdekte ExtraHop veel dataverkeer vanuit het Amerikaanse datacenter van de klant naar het Verenigd Koninkrijk. Ruim 400 GB per dag gedurende twee en een halve dag (dus zo’n 1 TB) werd geëxfiltreerd door een securityleverancier die aan een POC voor deze financiële dienstverlener deelnam. Omdat de betreffende leverancier beweerde alle analyses en ‘machine learning’ lokaal uit te voeren, was de klant uiteraard erg verbaasd.

Vijf adviezen
ExtraHop geeft vijf adviezen die organisaties helpen zich beter te beschermen tegen ‘phoning home’ risico’s:
1. Activiteiten van leveranciers monitoren: let op ongewenste activiteiten van leveranciers, zowel van huidige en voormalige leveranciers, als alleen bij testen betrokken leveranciers.
2. Controleer uitgaand netwerkverkeer: monitor automatisch het uitgaande netwerkverkeer gerelateerd aan de securitypolicies, zeker van gevoelige apparatuur als domeincontrollers.
3. Zorg voor traceerbaarheid: volg de implementatie van software-agents tijdens evaluaties.
4. Volg en begrijp de regelgeving: blijf op de hoogte van relevante regelgeving over het delen van data die politieke en geografische grenzen overschrijdt.
5. Zorg dat leveranciers voldoen aan contractuele afspraken: monitor of gegevens worden gebruikt in overeenstemming met de contractuele afspraken van de betreffende leveranciers.

Stel gerichte vragen
ExtraHop benadrukt tenslotte dat het belangrijk is gerichte vragen te stellen aan leveranciers om ervoor te zorgen dat zij begrijpen hoe en waarvoor bepaalde gegevens gebruikt mogen worden. Wat zijn de protocollen voor ‘phoning home’ en waar gaan uw gegevens naartoe, zijn twee voorbeeldvragen. Vragen stellen maakt leveranciers bewuster van hun verantwoordelijkheid om ongeautoriseerde data-exfiltratie van gevoelige bedrijf- en persoonsgegevens te voorkomen.