Informe sobre la nube y las amenazas: principales tácticas y técnicas del adversario

Esta edición del Informe sobre Nube y Amenazas de Netskope se centra en las tácticas y técnicas más utilizadas contra los clientes de Netskope durante los nueve primeros meses de 2023, en los que Wizard Spider ha atacado a más Organización que ningún otro grupo.

Netskope Threat LabsOctubre de 2023

Aspectos destacados del informe Resumen ejecutivo Técnicas Superiores

Acceso inicial: spearphishing Ejecución: Ejecución de usuario Comando y Control y Exfiltración

Análisis del adversario

Principales grupos adversarios Diferencias geográficas y sectoriales Recomendaciones

Acerca de este informe Netskope Threat Labs

17 minutos de lectura

Aspectos destacados del informe

Los enlaces y archivos adjuntos de spearphishing son las principales técnicas de acceso inicial rastreadas por Netskope Threat Labs este año, en las que los adversarios consiguen engañar a las víctimas para que abran los enlaces y archivos adjuntos a través del correo electrónico, la voz, el texto, las redes sociales y los motores de búsqueda.
La ejecución del usuario es la principal técnica de ejecución, y los adversarios tienen la tasa más alta de éxito a la hora de engañar a sus víctimas para que descarguen troyanos cuando los alojan utilizando aplicaciones populares en la nube.
Para el comando y control y la exfiltración de datos, los adversarios están favoreciendo en gran medida el uso de HTTP y HTTPS para pasar desapercibidos y mezclarse con el tráfico benigno.
La mayor parte de la actividad de los adversarios en la plataforma Netskope Security Cloud proviene de adversarios criminales, siendo la mayor actividad atribuible a Wizard Spider, un grupo ruso responsable de la creación del TrickBot Malware.
Los verticales del sector de los servicios financieros y la sanidad son los que registran el mayor porcentaje de actividad atribuible a grupos de adversarios geopolíticos en la plataforma Netskope Security Cloud.

test answer

Resumen ejecutivo

La ciberseguridad es una batalla entre dos oponentes: los defensores que buscan proteger a sus usuarios, sus datos y sus sistemas, y los adversarios, que buscan dañarlos y explotarlos. La herramienta más valiosa del defensor es su conocimiento del adversario. Como defensores, buscamos comprender las motivaciones y los objetivos del adversario, así como las tácticas y técnicas que utilizan para lograr esos objetivos. A continuación, diseñamos nuestros sistemas para que sean resistentes a esas tácticas y técnicas e implementamos controles para detectar la actividad del adversario.

Esta edición del Informe sobre amenazas y la nube de Netskope se centra en las tácticas y técnicas más utilizadas contra los clientes de Netskope durante los nueve primeros meses de 2023. Para facilitar una comunicación y comprensión más eficientes, presentamos este Informe en términos del marco ATT& CK de MITRE. El marco proporciona una categorización completa de las tácticas y técnicas de los adversarios, así como la agrupación y la nomenclatura de los adversarios.

En todo el mundo, los clientes de Netskope fueron el blanco más común de los adversarios criminales, siendo Wizard Spider el grupo que más organizaciones atacó. Los ladrones de información y Ransomware siguieron siendo herramientas populares empleadas por adversarios con motivaciones financieras. Menos comunes fueron los adversarios con motivaciones geopolíticas, cuyas herramientas más populares fueron los troyanos de acceso remoto que crean puertas traseras en la Organización a la que se dirigen.

sdofjsfojefgejelosij

Técnicas Superiores

Esta sección explora las tácticas y técnicas más comunes utilizadas por los adversarios para obtener acceso a los sistemas de sus objetivos, ejecutar código malicioso y comunicarse con sistemas comprometidos. Destacamos cuatro tácticas en las que la Netskope Security Cloud Plataforma proporciona visibilidad, y resaltamos las seis técnicas más comúnmente observadas dentro de esas tácticas:

Acceso inicial Las técnicas que utilizan los adversarios para entrar en los sistemas de sus objetivos.
Ejecución Las técnicas que utilizan los adversarios para ejecutar código malicioso.
Comando y control Las técnicas que utilizan los adversarios para comunicarse con los sistemas comprometidos.
Exfiltración Las técnicas que utilizan los adversarios para robar información de sus víctimas.

Acceso inicial: spearphishing

Cuando se bloquea el acceso remoto a un sistema y el sistema se aplica parches contra vulnerabilidades de seguridad conocidas, la forma más fácil para que un adversario acceda a ese sistema suele ser a través de sus usuarios. Por esa razón, las técnicas de ingeniería social han seguido siendo un pilar del libro de jugadas del adversario. Por ejemplo, el acceso inicial durante el hackeo de MGM de septiembre de 2023 se logró a través de vishing (phishing de voz) llamando al servicio de asistencia de la víctima. Entre las diversas técnicas de phishing, los enlaces de spearphishing y los archivos adjuntos de spearphishing son dos de las más populares en la Netskope Security Cloud Platform en 2023.

El análisis de los enlaces de phishing en los que hacen clic las víctimas puede proporcionar información sobre dónde los adversarios están teniendo más éxito al dirigirse a sus víctimas. Por un amplio margen, los usuarios que hicieron clic con mayor frecuencia en enlaces de phishing dirigidos a aplicaciones en la nube, y un tercio de esos enlaces de phishing se dirigieron a productos de Microsoft. Esto no es sorprendente, ya que Microsoft OneDrive es la aplicación en la nube más popular en la empresa por un amplio margen, junto con otros productos de Microsoft, incluidos SharePoint, Outlook y Teams.

Principales objetivos de phishing por enlaces en los que se hizo clic

Principales objetivos de phishing en la nube por enlaces en los que se hizo clic

¿Cómo engañan los adversarios a sus víctimas para que hagan clic en enlaces de phishing? Aunque el correo electrónico sigue siendo un canal muy común, la tasa de éxito en él es bastante baja por múltiples razones. En primer lugar, las organizaciones tienden a emplear sofisticados filtros antiphishing para bloquear el correo electrónico fraudulento y evitar que llegue a sus víctimas. En segundo lugar, las organizaciones suelen formar a sus usuarios para que sean capaces de reconocer el phishing Correo electrónico. En respuesta, los atacantes están utilizando una variedad de otras tácticas para llegar a sus víctimas:

Optimización para motores de búsqueda (SEO ) - Los adversarios crean páginas Web que emplean técnicas de SEO para asegurarse aparecer en los motores de búsqueda más populares, incluidos Bing y Google. Por lo general, las páginas se elaboran en torno a vacíos de datos (conjuntos específicos de palabras clave que no tienen muchos resultados) y están dirigidas a grupos demográficos específicos.

Redes sociales y aplicaciones de mensajería : los adversarios abusan de las aplicaciones populares de redes sociales (como Facebook) y aplicaciones de mensajería (como WhatsApp) para llegar a sus víctimas utilizando una variedad de cebos diferentes.

Mensajes de voz y de texto - Los Dispositivos Móviles carecen a menudo de los controles de seguridad presentes en los Dispositivos más tradicionales, como los ordenadores portátiles, lo que los convierte en un objetivo popular para los ataques de suplantación de identidad. Las víctimas de llamadas o mensajes de texto se están convirtiendo en métodos cada vez más populares para difundir enlaces de phishing.

Cuentas personales de correo electrónico - Las cuentas personales de correo electrónico suelen tener controles antiphishing menos estrictos, por lo que más correos electrónicos de phishing pueden llegar a sus víctimas. Dado que las cuentas personales de correo electrónico suelen utilizarse en los mismos sistemas que las víctimas utilizan para trabajar, la suplantación de identidad para acceder a activos sensibles gestionados por la Organización a través de cuentas personales de correo electrónico puede ser una estrategia de gran éxito para los adversarios.

Los archivos adjuntos de spearphishing son un tipo especial de phishing en el que el adversario utiliza los archivos adjuntos tanto para crear un aire de legitimidad (por lo general, estos archivos adjuntos parecen facturas profesionales) como para eludir los controles de seguridad que no inspeccionan los archivos adjuntos. Si bien existe cierta variedad en los tipos de archivos que los adversarios usan para los archivos adjuntos de phishing (hojas de cálculo de Microsoft Excel, archivos ZIP, etcétera), la mayoría de estos tipos de archivos son raros. Un asombroso 90% de los archivos adjuntos de phishing son archivos PDF diseñados para atraer a las víctimas para que hagan clic en un enlace de phishing.

Principales tipos de archivos adjuntos de phishing

De forma similar a los enlaces de phishing, los adversarios difunden los archivos adjuntos de phishing a través de múltiples canales, incluido el correo electrónico personal. El número de archivos adjuntos de phishing descargados por las víctimas se disparó a más del triple de su nivel de referencia en agosto, ya que los adversarios empezaron a tener más éxito enviando sus cebos a las cuentas personales de Microsoft Live Correo electrónico de sus víctimas. En los últimos nueve meses, hubo 16 veces más usuarios que descargaron un archivo adjunto de phishing desde una aplicación de correo web personal en comparación con los usuarios que descargaron archivos adjuntos de phishing desde aplicaciones de correo web gestionadas por la Organización.

Volumen de descarga de archivos adjuntos de phishing a lo largo del tiempo

Ejecución: Ejecución de usuario

La ingeniería social no se limita al acceso inicial. Los adversarios también dependen de los usuarios para ejecutar cargas útiles maliciosas que proporcionan acceso remoto clandestino, roban información sensible o despliegan Ransomware. Convencer a un usuario objetivo para que ejecute una carga maliciosa a menudo requiere que el usuario haga clic en un enlace malintencionado o, de lo contrario, descargue y ejecute un archivo malintencionado. Los adversarios intentan constantemente nuevas formas de engañar a las víctimas y Netskope Threat Labs hace un seguimiento de esos cambios en nuestro Informe mensual. Hay dos temas generales que han dominado 2023. En primer lugar, los adversarios tienen más éxito a la hora de convencer a sus víctimas de que descarguen archivos maliciosos cuando esos archivos se entregan a través de aplicaciones en la nube. En lo que va de año, una media del 55% de los Malware que los usuarios intentaron descargar se entregaron a través de aplicaciones en la nube.

Malware Entrega, Nube vs. Web

En segundo lugar, las aplicaciones en las que se intentó el mayor número de descargas de Malware fueron también algunas de las aplicaciones en la nube más populares en uso en la empresa. Microsoft OneDrive, la aplicación en la nube más popular en la empresa, ocupó el primer puesto con más de una cuarta parte de todas las descargas de la nube Malware. En total, los adversarios consiguieron inducir a los usuarios a descargar Malware para su ejecución desde 477 aplicaciones en la nube distintas en lo que va de año.

Las mejores aplicaciones para Malware Descargas

Comando y Control y Exfiltración

Una vez que un adversario ha ejecutado con éxito una carga maliciosa en el entorno de una víctima, a menudo necesita establecer un canal para comunicarse con el sistema comprometido, que es donde entra en juego el comando y el control. La técnica de mando y control más utilizada por los adversarios en 2023 fue el Protocolo de Capa de Aplicación: Protocolos Web, que a menudo iba unida a la Exfiltración a través del Canal C2. Los adversarios tienen múltiples opciones para crear canales de comando y control, incluido el uso de un marco C2 como CobaltStrike, abusar de una aplicación popular en la nube o crear su propia implementación personalizada.

El sigilo es una característica importante de un canal de comando y control. El adversario no solo necesita comunicarse con el sistema comprometido, sino que también necesita evitar ser detectado al hacerlo. Por esta razón, los adversarios utilizan cada vez más HTTP y HTTPS a través de los puertos 80 y 443 como sus principales canales de comunicación C2. Es muy probable que se permita el tráfico HTTP y HTTPS desde un sistema infectado y se mezclará con la abundancia de tráfico HTTP y HTTPS que ya está en la red. Contrasta este enfoque con Malware que se comunica a través de puertos o protocolos poco utilizados, como IRC o FTP. Dicha comunicación sería comparativamente fácil de detectar y fácil de bloquear, incluso con un cortafuegos de capa 3 y especialmente con un cortafuegos de capa 7. Según un análisis de decenas de miles de muestras de Malware detectadas en 2023, HTTP (80) y HTTPS (443) fueron los protocolos C2 y de exfiltración de datos favoritos por un amplio margen, utilizados por más de dos tercios de las muestras de Malware. El siguiente protocolo más popular fue el DNS, seguido de una variedad de otros puertos y protocolos poco utilizados.

Top Malware Puertos de comunicación

Análisis del adversario

Netskope Threat Labs rastrea a los adversarios que atacan activamente a los clientes de Netskope para comprender mejor sus motivaciones, tácticas y técnicas. A continuación, aprovechamos esa información para ayudar a nuestros clientes a defender sus sistemas contra esos adversarios. Los adversarios que rastrea Netskope Threat Labs se dividen generalmente en dos categorías, en función de sus motivaciones.

Criminal
El principal objetivo de los grupos de adversarios criminales es el beneficio económico, y su conjunto de herramientas suele incluir ladrones de información y Ransomware. La extorsión ha sido un negocio extremadamente rentable para los ciberdelincuentes durante los últimos años, con un estimado de 457 millones de dólares en pagos de rescate realizados en 2022. La mayoría de los adversarios criminales han diversificado sus operaciones para utilizar tanto Ransomware como infosecuestradores con el fin de aumentar las probabilidades de que la víctima pague. Si encriptar sus sistemas con Ransomware no fuera suficiente para convencerles de que paguen, tal vez la divulgación pública de la información sensible robada a la Organización ayudaría. Aunque intentamos etiquetar a cada grupo criminal adversario según el país en el que operan, muchos grupos trabajan a nivel transnacional. Además, muchos ahora operan en un modelo de afiliados, lo que hace que sus operaciones sean aún más dispersas. Como resultado, normalmente asociamos un grupo con el país o la región de la que se cree que provienen sus miembros principales.

Geopolítico
Los grupos adversarios geopolíticos están motivados por cuestiones geopolíticas. Por lo general, son estados-nación o sus representantes, y sus actividades suelen reflejar conflictos políticos, económicos, militares o sociales más amplios. Por ejemplo, grupos adversarios rusos lanzaron ciberataques contra Ucrania que coincidieron con su invasión a ese país. Los grupos geopolíticos suelen participar en operaciones cibernéticas contra otros Estados-nación, y dichas operaciones se han convertido en un componente crítico de las relaciones internacionales modernas. Las líneas entre adversarios geopolíticos y criminales a veces se difuminan, y algunos grupos geopolíticos también participan en actividades motivadas financieramente. Por ejemplo, el actual régimen norcoreano financia el desarrollo de su programa de misiles a través del cibercrimen. Las operaciones cibernéticas específicas emprendidas por los adversarios geopolíticos varían, incluyendo el ciberespionaje contra organizaciones gubernamentales y no gubernamentales y el sabotaje de infraestructuras críticas para desestabilizar a un adversario. Los adversarios geopolíticos también participan en la guerra de la información, difundiendo propaganda, manipulando la opinión pública e influyendo en las elecciones populares.

Atribuir actividad a un grupo adversario específico puede ser un desafío. Los adversarios intentan ocultar sus verdaderas identidades o incluso lanzan intencionadamente operaciones de falsa bandera en las que intentan hacer que sus ataques parezcan provenir de otro grupo. Varios grupos a menudo usan las mismas tácticas y técnicas, algunos van tan lejos como para usar exactamente las mismas herramientas o incluso comparten infraestructura. Incluso definir grupos adversarios puede ser un desafío, ya que los grupos evolucionan o los miembros se mueven entre grupos. Por estas razones, las atribuciones de los adversarios son difusas y están sujetas a cambios y evoluciones a medida que sale a la luz nueva información. En el resto de este Informe, presentamos estadísticas sobre las actividades de los adversarios observadas en la Plataforma Netskope Security Cloud y los grupos probablemente responsables de dichas actividades.

Principales grupos adversarios

El principal grupo de adversarios que tenía como objetivo a los usuarios de la Netskope Security Cloud Plataforma era Wizard Spider (a.k.a. UNC1878, TEMP.MixMaster, Grim Spider), un adversario criminal con base en Rusia al que se atribuye la creación del TrickBot Malware. El TrickBot Malware fue creado originalmente como un troyano bancario, pero desde entonces ha evolucionado hasta convertirse en una compleja plataforma Malware que contiene componentes de robo de información, movimiento lateral, mando y control y exfiltración de datos. Como es típico de los grupos de adversarios criminales, Wizard Spider se ha dirigido a una amplia variedad de Organización de víctimas con Ransomware. Entre las tácticas y técnicas utilizadas por Wizard Spider se incluyen las seis técnicas destacadas en este Informe en torno al spearphishing, la ejecución de usuarios y el comando y control.

Otros grupos de adversarios criminales activos que recurren en gran medida a Ransomware son TA505 (alias. Hive0065), responsable del Clop Ransomware, y FIN7 (alias GOLD NIAGARA, ITG14, Carbon Spider), que utilizó el REvil Ransomware y creó el Darkside Ransomware. Mientras que los principales grupos de adversarios criminales que tienen como objetivo a los clientes de Netskope son rusos y ucranianos, los principales grupos de adversarios geopolíticos son chinos, liderados por memupass (alias. Cicada, POTASSIUM, Stone Panda, APT10, Red Apollo, CVNX, HOGFISH) y Aquatic Panda, que se han dirigido a distintos tipos de Organización en todo el mundo.

Diferencias geográficas y sectoriales

La geografía y el sector son factores significativos a la hora de determinar qué adversarios es probable que tengan como objetivo una Organización. Los adversarios geopolíticos tienden a dirigirse a regiones y sectores específicos por su propiedad intelectual, mientras que los adversarios con motivaciones financieras tienden a desarrollar libros de jugadas optimizados para dirigirse a organizaciones similares, donde pueden reciclar técnicas con una personalización mínima. Por verticales del sector, hay dos que destacan: los servicios financieros y la sanidad. En esas dos verticales, la división entre las actividades criminales y geopolíticas de los adversarios es casi 50/50. Mientras tanto, en el resto de verticales del sector, la división se acerca más al 80/20. Esto indica que la Organización en el sector de los servicios financieros y de la sanidad es con más frecuencia el objetivo de los adversarios geopolíticos.

Motivaciones de los adversarios por sector objetivo

Estas diferencias también son evidentes cuando se comparan las fuentes probables de la actividad de los adversarios en cada Sector. Dado que muchos de los adversarios criminales que rastreamos están ubicados en Rusia, el Sector con mayor porcentaje de actividad criminal también tiene los porcentajes más altos de actividad atribuible a grupos con base en Rusia. Mientras tanto, los servicios financieros y la sanidad (el sector al que se dirigen más adversarios geopolíticos) tienen una mezcla más uniforme de adversarios que les apuntan desde Rusia, Oriente Próximo y China. Las otras ubicaciones de los adversarios que no se muestran en el gráfico a continuación incluyen Corea del Norte, Pakistán, India, Vietnam y Nigeria.

Actividad adversaria del sector

Por regiones, los adversarios más activos también difieren significativamente, con dos regiones destacadas: Australia y América del Norte. Ambas regiones destacan por tener el mayor porcentaje de actividad adversaria atribuible a grupos criminales. Esto indica que los usuarios de EE. UU. y Australia tienen más probabilidades de ser atacados por adversarios criminales, mientras que en otras partes del mundo, la división de la actividad geopolítica y criminal de los adversarios está más cerca del 50/50.

Motivaciones del adversario por región objetivo

El desglose de la actividad regional de los adversarios sigue un patrón similar al de los datos del Sector: las regiones objetivo de los grupos criminales tienden a serlo de grupos con sede en Rusia, mientras que las regiones con un mayor porcentaje de actividad geopolítica tienden a ver un porcentaje más significativo de actividad adversaria atribuida a grupos geopolíticos de China.

Actividad del adversario regional

Recomendaciones

El marco ATT&CK de Mitre proporciona un lenguaje común para los grupos adversarios, sus tácticas y sus técnicas. Los defensores pueden usar este marco para determinar si sus defensas están adecuadamente emparejadas contra sus adversarios. Para cada una de las técnicas analizadas en este Informe, esta sección ofrece recomendaciones específicas.

Acceso inicial: Enlaces de spearphishing
Implemente defensas antiphishing que vayan más allá del Correo electrónico para garantizar que los usuarios estén protegidos contra los enlaces de spearphishing independientemente de dónde se originen. Una solución SWG que inspeccione el tráfico DNS, el tráfico en la nube y el tráfico Web en busca de indicios de phishing puede impedir que los usuarios visiten enlaces de phishing selectivo independientemente de su origen, utilizando firmas e inteligencia para protegerse contra las amenazas de phishing conocidas y la IA para protegerse contra las amenazas desconocidas y selectivas. Netskope clientes pueden configurar sus Netskope Next Gen Secure Web Gateway para protegerse contra el phishing. Remote Browser Isolation (RBI) puede proporcionar una protección adicional cuando exista la necesidad de visitar sitios web de categorías que puedan presentar un mayor riesgo, como los dominios recién observados y registrados, el correo web personal y las redes sociales.

Acceso inicial: archivos adjuntos de spearphishing
Si bien las protecciones de enlaces de spearphishing también pueden ayudar a proteger contra los usuarios que hacen clic en los enlaces en los archivos adjuntos de spearphishing, una defensa más sólida proporcionará protecciones adicionales contra los usuarios que descargan archivos adjuntos de spearphishing. Dado que pueden proceder de múltiples fuentes, una estrategia eficaz inspeccionará todas las descargas HTTP y HTTPS, incluido todo el tráfico de Web y de la nube, en busca de pruebas de spearphishing utilizando inteligencia de amenazas, firmas, heurística e IA. Netskope los clientes pueden configurar su Netskope Next Gen Secure Web Gateway con una Política de Protección frente a Amenazas que se aplica a las descargas de todo tipo de archivos de todas las fuentes. Inspeccionar las descargas de contenidos desde aplicaciones populares en la nube (como Microsoft OneDrive) es especialmente importante para protegerse de los adversarios que abusan de dichas aplicaciones para enviar Malware.

Ejecución: Enlace malicioso y Ejecución: Archivo malicioso
Dado que los adversarios utilizan múltiples canales para distribuir Malware, incluidas aplicaciones populares en la nube como Microsoft OneDrive, una estrategia defensiva eficaz debe inspeccionar todo el tráfico -incluidos Web y la nube- en busca de contenido malicioso. Asegúrese de que los tipos de archivos de alto riesgo, como ejecutables y archivos, se inspeccionen minuciosamente mediante una combinación de análisis estáticos y dinámicos antes de descargarlos. Los clientes de Netskope Advanced Threat Protection pueden utilizar una Política de Prevención de Paciente Cero para retener las descargas hasta que hayan sido completamente inspeccionadas por múltiples motores de análisis estáticos y dinámicos, incluidos los que utilizan IA para detectar ataques dirigidos. Netskope los clientes pueden configurar su Netskope Next Gen Secure Web Gateway con una Política de Protección frente a Amenazas que se aplica a las descargas de todo tipo de archivos de todas las fuentes. Para reducir aún más la superficie de riesgo, configure Política para bloquear las descargas de aplicaciones que no se utilizan en su Organización para reducir su superficie de riesgo a sólo aquellas aplicaciones e instancias (empresa vs. personal) que son necesarias. Bloquee las descargas de todos los tipos de archivos riesgosos de dominios recién registrados, dominios recién observados y otras categorías riesgosas.

Mando y control: Protocolo de la capa de aplicación: Protocolos Web
Una estrategia eficaz para detectar y prevenir el tráfico C2 adversario a través de los protocolos Web incluye el uso de un SWG y un IPS para bloquear la comunicación con infraestructuras C2 conocidas y que muestren patrones C2 comunes. Los clientes de Netskope Advanced Threat Protection pueden utilizar las funciones IPS y Advanced UEBA para identificar el tráfico C2 y otras señales de comportamiento posterior a la infracción. El bloqueo de dominios recién registrados, dominios recién observados y alertas sobre patrones de tráfico de red inusuales también puede reducir la superficie de riesgo y permitir la detección temprana. La seguridad de DNS y el firewall en la nube también se pueden utilizar para protegerse contra el tráfico C2 que no es HTTP/HTTPS.

Exfiltración: Exfiltración a través del canal C2
Las mismas protecciones para detectar e impedir el tráfico C2 adversario también pueden ser eficaces contra la exfiltración de datos a través del mismo canal C2 o de cualquier otro protocolo Web. Netskope Los clientes que utilicen DLP pueden configurar Políticas que restrinjan dónde pueden cargarse los datos, limitando de forma efectiva los canales a través de los cuales el atacante es capaz de exfiltrar datos. Los clientes de Netskope que utilizan la UEBA avanzada disponen de protecciones adicionales contra la C2 que incluyen la identificación de anomalías en la transferencia de datos, como picos de cargas a lugares inusuales y la transferencia de contenidos cifrados o codificados (una técnica habitual utilizada por los adversarios).

En resumen, una evaluación de qué tráfico se inspecciona y qué se omite es vital para que sus defensas protejan a los usuarios, los datos, las aplicaciones y la infraestructura de estos adversarios. Sabiendo que está inspeccionando todo el tráfico posible, el siguiente paso es alinear las defensas con las seis técnicas señaladas en este Informe. Algunas defensas se basarán en firmas y patrones, mientras que las innovaciones en IA/ML (por ejemplo, algoritmos, extractores de características y detección de anomalías) se pueden usar para proteger contra amenazas desconocidas o de día cero. Una o dos veces al año, evalúe cómo pivotan los adversarios para evadir las defensas actuales y revise qué defensas Nuevo están disponibles para proteger a sus usuarios, datos, aplicaciones e infraestructura.

Acerca de este informe

Netskope Threat Labs publica trimestralmente un Informe sobre Nube y Amenazas para destacar un conjunto específico de retos de ciberseguridad. El propósito de este Informe es proporcionar inteligencia estratégica y procesable sobre las amenazas activas.

Netskope proporciona protección contra amenazas y datos a millones de usuarios en todo el mundo. La información presentada en este Informe se basa en datos de uso anonimizados recogidos por la PlataformaNetskope Security Cloud relativos a un subconjunto de clientes de Netskope con autorización previa. Este Informe contiene información sobre las detecciones realizadas por Netskope's Next Generation Secure Web Gateway (SWG), sin tener en cuenta la importancia del impacto de cada amenaza individual. Por lo tanto, las tácticas y técnicas destacadas en el Informe se limitan a las que son observables en el tráfico HTTP/HTTPS, y los grupos de adversarios rastreados en este Informe se limitan a los que utilizan dichas técnicas. Las estadísticas presentadas en este Informe son un reflejo tanto de la actividad de los adversarios como del comportamiento de los usuarios. Por ejemplo, en la sección Acceso inicial: Spearphishing se analizan los enlaces de phishing reales en los que hacen clic los usuarios, no el universo de todos los enlaces de phishing creados por los adversarios. Las estadísticas de este Informe se basan en el periodo comprendido entre el 1 de enero de 2023 y el 23 de septiembre de 2023.

Netskope Threat Labs

Integrado por los investigadores más destacados del sector en materia de amenazas en la nube y Malware, Netskope Threat Labs descubre, analiza y diseña defensas contra las últimas amenazas de Web, la nube y los datos que afectan a las empresas. Nuestros investigadores son presentadores y voluntarios habituales en las principales conferencias de seguridad, incluidas DEF CON, Black Hat y RSA.

Informes de nube y amenazas

El informe Netskope Cloud and Threat Report ofrece una visión única sobre la adopción de aplicaciones en la nube, los cambios en el panorama de las amenazas en la nube y los riesgos para los datos de la empresa.

Examinar informes

Tormenta con relámpagos sobre la ciudad por la noche

Acelere su estrategia de seguridad con el líder en SASE.

¡Empezar!