Il monitoraggio del traffico in uscita è la pratica di osservare i dati che lasciano una rete per individuare esfiltrazione, trasferimenti non autorizzati o altre connessioni in uscita sospette. I team di sicurezza esaminano gli indirizzi di destinazione, il volume, la tempistica e il comportamento dei protocolli per trovare attività che non corrispondono al normale uso aziendale.
Questo è importante perché molti attacchi non vengono rilevati nel momento in cui iniziano; vengono rilevati quando i dati rubati cominciano a essere trasferiti all'esterno. Nelle campagne di ransomware e di furto di dati, gli aggressori spesso preparano i file internamente, li comprimono e li inviano a server esterni prima dell'estorsione o della cifratura. Il monitoraggio del traffico in uscita può rivelare grandi trasferimenti verso host sconosciuti, connessioni ripetute a servizi di archiviazione cloud, tunnel cifrati o beaconing da sistemi compromessi. Come difesa, funziona meglio insieme ai controlli delle identità, alla segmentazione e agli avvisi per movimenti anomali di dati, offrendo ai difensori la possibilità di fermare la fuoriuscita prima che diventi un incidente pubblico.