# M1057 — Data Loss Prevention ## Visão Geral --- *Fonte: [MITRE ATT&CK — M1057](https://attack.mitre.org/mitigations/M1057)* ## Descrição Data Loss Prevention (DLP) envolve a implementação de estratégias e tecnologias para identificar, categorizar, monitorar e controlar a movimentação de dados sensíveis dentro de uma organização. ```mermaid graph TB A["🏷️ Classificar Dados<br/>PII, financeiro<br/>propriedade intelectual"] --> B["🔎 Scanner DLP<br/>inspecionar conteúdo<br/>endpoint + rede + cloud"] B --> C{"Violação<br/>de política?"} C -->|Sim| D["🚫 Bloquear / Alertar<br/>notificar SOC<br/>registrar evento"] C -->|Não| E["✅ Permitir<br/>trânsito autorizado<br/>continua monitorado"] D --> F["📊 Relatório<br/>tendências de vazamento<br/>ajustar políticas"] ``` Isso inclui a proteção de formatos de dados indicativos de Informações de Identificação Pessoal (PII), propriedade intelectual ou dados financeiros contra acesso, transmissão ou exfiltração não autorizados. Soluções de DLP integram-se com plataformas de rede, endpoint e nuvem para aplicar políticas de segurança e prevenir vazamentos de dados acidentais ou maliciosos. Esta mitigação pode ser implementada por meio das seguintes medidas: Categorização de Dados Sensíveis: - Caso de uso: Identificar e classificar dados com base na sensibilidade (ex.: PII, dados financeiros, segredos comerciais). - Implementação: Utilizar soluções DLP para escanear e marcar arquivos contendo informações sensíveis usando padrões predefinidos, como CPF, CNPJ ou dados de cartão de crédito. Restrições de Exfiltração: - Caso de uso: Prevenir a transmissão não autorizada de dados sensíveis. - Implementação: Aplicar políticas para bloquear anexos de e-mail não aprovados, uso não autorizado de USB ou uploads de dados não criptografados para armazenamento em nuvem. Monitoramento de Dados em Trânsito: - Caso de uso: Detectar e prevenir a transmissão de dados sensíveis por canais não aprovados. - Implementação: Implantar ferramentas DLP baseadas em rede para inspecionar tráfego de saída em busca de conteúdo sensível (ex.: registros financeiros ou PII) e bloquear transmissões não aprovadas. Proteção de Dados no Endpoint: - Caso de uso: Monitorar e controlar o uso de dados sensíveis em endpoints. - Implementação: Utilizar agentes DLP baseados em endpoint para bloquear ações de copiar e colar dados sensíveis e impressão ou compartilhamento de arquivos não autorizados. Segurança de Dados na Nuvem: - Caso de uso: Proteger dados armazenados em plataformas de nuvem. - Implementação: Integrar DLP com plataformas de armazenamento em nuvem como Google Drive, OneDrive ou AWS para monitorar e restringir o compartilhamento ou download de dados sensíveis. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1052 | [[t1052-exfiltration-over-physical-medium\|T1052 — Exfiltration Over Physical Medium]] | | T1537 | [[t1537-transfer-data-to-cloud-account\|T1537 — Transfer Data to Cloud Account]] | | T1005 | [[t1005-data-from-local-system\|T1005 — Data from Local System]] | | T1048 | [[t1048-exfiltration-over-alternative-protocol\|T1048 — Exfiltration Over Alternative Protocol]] | | T1567 | [[t1567-exfiltration-over-web-service\|T1567 — Exfiltration Over Web Service]] | | T1048.003 | [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol\|T1048.003 — Exfiltration Over Unencrypted Non-C2 Protocol]] | | T1041 | [[t1041-exfiltration-over-c2-channel\|T1041 — Exfiltration Over C2 Channel]] | | T1025 | [[t1025-data-from-removable-media\|T1025 — Data from Removable Media]] | | T1052.001 | [[t1052-001-exfiltration-over-usb\|T1052.001 — Exfiltration over USB]] | | T1048.002 | [[t1048-002-exfiltration-over-asymmetric-encrypted-non-c2-protocol\|T1048.002 — Exfiltration Over Asymmetric Encrypted Non-C2 Protocol]] | | T1567.004 | [[t1567-004-exfiltration-over-webhook\|T1567.004 — Exfiltration Over Webhook]] | | T1020.001 | [[t1020-001-traffic-duplication\|T1020.001 — Traffic Duplication]] | ## Contexto LATAM > [!globe] Relevância Regional > DLP tornou-se obrigação prática com a entrada em vigor da LGPD em 2020, especialmente para organizações que processam grandes volumes de dados pessoais de brasileiros (bancos, planos de saúde, varejo). Ataques de exfiltração via USB (T1052.001) e transferência para contas cloud pessoais (T1537) são vetores comuns em ameaças internas documentadas no Brasil, particularmente em setor financeiro e governo. > - Adoção em SOCs brasileiros: médio — ferramentas como Microsoft Purview DLP e Forcepoint presentes em grandes corporações; baixo em PMEs que carecem de orçamento e expertise para tuning de políticas DLP > - Regulamentações relevantes: LGPD (prevenção de vazamento de dados pessoais — base legal para implementação), BACEN 4893/2021 (controle de canais de saída de dados), Marco Civil da Internet art. 12 (responsabilidade por violações) > - Desafios regionais: alto índice de falsos positivos sem tuning adequado, resistência cultural a monitoramento de endpoints em ambientes sindicalizados, integração com ferramentas legacy sem suporte a agentes DLP modernos