Descripción de la Tecnica
CS FQL: 32. Detect Data Exfiltration via external storage devices es una técnica de detección basada en el lenguaje de consulta de CrowdStrike Falcon (FQL) diseñada para identificar actividades de exfiltración de datos a través de dispositivos de almacenamiento externo. Esta regla forma parte del framework MITRE ATT&CK, que clasifica y documenta comportamientos de amenazas en entornos cibernéticos.
Como Funciona
Esta técnica utiliza la lógica de detección integrada en el Falcon para monitorear actividades anómalas relacionadas con dispositivos externos. Al detectar tráfico de datos inusuales o accesos a dispositivos no autorizados, la regla genera alertas que permiten a los analistas investigar posibles incidentes de exfiltración de información. El mecanismo se basa en análisis de comportamiento y patrones de acceso a recursos de almacenamiento.
Actores que la Utilizan
Esta técnica está relacionada con amenazas que intentan robar o transferir datos sensibles utilizando dispositivos físicos como USBs, tarjetas SD o dispositivos externos no autorizados. Los actores pueden incluir grupos cibernéticos, APT (Advanced Persistent Threats) o maliciosos que aprovechan vulnerabilidades en sistemas para exfiltrar información crítica.
Deteccion
La regla de detección se activa cuando se identifican actividades sospechosas asociadas a dispositivos de almacenamiento externo. Esto incluye el acceso a ubicaciones no autorizadas, transferencias de datos grandes o comportamientos anómalos en la interacción con dispositivos físicos. El sistema Falcon analiza estas acciones y genera alertas para investigar posibles incidentes.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigacion
Para mitigar el riesgo de exfiltración de datos via dispositivos externos, se recomienda: 1. Limitar el acceso a dispositivos no autorizados en entornos críticos. 2. Implementar controles de seguridad en endpoint detection tools como Falcon para monitorear actividades anómalas. 3. Realizar auditorías periódicas sobre el uso de dispositivos externos y verificar que no estén utilizados para transferencias maliciosas.