Netskope vuelve a ser reconocido como Líder en el Cuadrante™ Mágico de Gartner® para plataformas SASE. Obtener el Informe

cerrar
lupa
¡Empezar!
lupa
chevron
Soporte Idioma
cerrar
Su red del mañana
Su red del mañana
Planifique su camino hacia una red más rápida, más segura y más resistente diseñada para las aplicaciones y los usuarios a los que da soporte.
chevron Obtenga el whitepaper
          Descubra Netskope
          Ponte manos a la obra con la plataforma Netskope
          Esta es su oportunidad de experimentar de primera mano la Netskope One plataforma de una sola nube. Regístrese para participar en laboratorios prácticos a su propio ritmo, únase a nosotros para una demostración mensual del producto en vivo, realice una prueba de manejo gratuita de Netskope Private Accesso únase a nosotros para talleres en vivo dirigidos por instructores.
          chevron Descubra Netskope
            Líder en SSE. Ahora es líder en SASE de un solo proveedor.
            Netskope ha sido reconocido como Líder con mayor visión tanto en plataformas SSE como SASE
            2X líder en el Cuadrante Mágico de Gartner® para SASE Plataforma
            Una plataforma unificada creada para tu viaje
            chevron Obtenga el informe
              Protección de la IA generativa para principiantes
              Protección de la IA generativa para principiantes
              Descubra cómo su organización puede equilibrar el potencial innovador de la IA generativa con sólidas prácticas de seguridad de Datos.
              chevron Obtenga el eBook
                Prevención de pérdida de datos (DLP) moderna para dummies eBook
                Prevención moderna de pérdida de datos (DLP) para Dummies
                Obtenga consejos y trucos para la transición a una DLP entregada en la nube.
                chevron Obtenga el eBook
                  Libro SD-WAN moderno para principiantes de SASE
                  SD-WAN moderna para maniquíes SASE
                  Deje de ponerse al día con su arquitectura de red
                  chevron Obtenga el eBook
                    Entendiendo dónde está el riesgo
                    Advanced Analytics transforma la forma en que los equipos de operaciones de seguridad aplican los conocimientos basados en datos para implementar una mejor política. Con Advanced Analytics, puede identificar tendencias, concentrarse en las áreas de preocupación y usar los datos para tomar medidas.
                    chevron Vea la demo
                        Los 6 casos de uso más convincentes para el reemplazo completo de VPN heredada
                        Los 6 casos de uso más convincentes para el reemplazo completo de VPN heredada
                        Netskope One Private Access es la única solución que le permite retirar su VPN para siempre.
                        chevron Obtenga el eBook
                          Colgate-Palmolive Salvaguarda su "Propiedad Intelectual" con Protección de Datos Inteligente y Adaptable
                          Colgate-Palmolive Salvaguarda su "Propiedad Intelectual" con Protección de Datos Inteligente y Adaptable
                          chevron Leer el caso de éxito
                            Netskope GovCloud
                            Netskope logra la alta autorización FedRAMP
                            Elija Netskope GovCloud para acelerar la transformación de su agencia.
                            chevron Más información sobre Netskope GovCloud
                                Soporte técnico Netskope
                                Soporte técnico Netskope
                                Nuestros ingenieros de soporte cualificados ubicados en todo el mundo y con distintos ámbitos de conocimiento sobre seguridad en la nube, redes, virtualización, entrega de contenidos y desarrollo de software, garantizan una asistencia técnica de calidad en todo momento
                                chevron Soporte técnico
                                  Vídeo de Netskope
                                  Netskope Training
                                  La formación de Netskope le ayudará a convertirse en un experto en seguridad en la nube. Estamos aquí para ayudarle a proteger su proceso de transformación digital y aprovechar al máximo sus aplicaciones cloud, web y privadas.
                                  chevron Explora la formación de Netskope
                                    ""
                                    Logre valor empresarial con Netskope One SSE
                                    Netskope One Security Service Edge (SSE) permite a las empresas lograr un valor de negocio considerable mediante la consolidación de los servicios de seguridad críticos para el negocio dentro de la plataforma Netskope One
                                    chevron Obtener el estudio
                                      Hagamos grandes cosas juntos
                                      ""
                                      La estrategia de venta centrada en el partner de Netskope permite a nuestros canales maximizar su expansión y rentabilidad y, al mismo tiempo, transformar la seguridad de su empresa.
                                      chevron Partners de Netskope
                                        Cloud and Threat Report

                                        Principales tácticas y técnicas del adversario

                                        Esta edición del Informe de amenazas y la nube de Netskope se centra en las tácticas y técnicas que se utilizaron con mayor frecuencia contra los clientes de Netskope durante los primeros nueve meses de 2023. A nivel mundial, los clientes de Netskope fueron el blanco más común de adversarios criminales, y Wizard Spider apuntó a más organizaciones que cualquier otro grupo. Completamos este informe explorando cuáles son los adversarios más activos en múltiples industrias verticales y regiones geográficas.

                                        Compartir vía Etiquetas
                                        Informes de nube y amenazas Next Gen Secure Web Gateway Informes y guías Protección contra Amenazas
                                        Cambiar el idioma
                                        DeutschEnglishEspañolFrançaisPortuguês日本語

                                        Saltar a una sección

                                        Aspectos destacados del informe Resumen ejecutivo Técnicas Superiores
                                        Acceso inicial: spearphishing Ejecución: Ejecución de usuario Comando y Control y Exfiltración
                                        Análisis del adversario
                                        Principales grupos adversarios Diferencias geográficas y sectoriales Recomendaciones
                                        Acerca de este informe Netskope Threat Labs
                                        17 minutos de lectura

                                        Aspectos destacados del informe enlace enlace

                                        • Los enlaces y archivos adjuntos de spearphishing son las principales técnicas de acceso inicial rastreadas por Netskope Threat Labs este año, en las que los adversarios consiguen engañar a las víctimas para que abran los enlaces y archivos adjuntos a través del correo electrónico, la voz, el texto, las redes sociales y los motores de búsqueda.
                                        • La ejecución del usuario es la principal técnica de ejecución, y los adversarios tienen la tasa más alta de éxito a la hora de engañar a sus víctimas para que descarguen troyanos cuando los alojan utilizando aplicaciones populares en la nube.
                                        • Para el comando y control y la exfiltración de datos, los adversarios están favoreciendo en gran medida el uso de HTTP y HTTPS para pasar desapercibidos y mezclarse con el tráfico benigno.
                                        • La mayor parte de la actividad de los adversarios en la plataforma Netskope Security Cloud proviene de adversarios criminales, siendo la mayor actividad atribuible a Wizard Spider, un grupo ruso responsable de la creación del TrickBot Malware.
                                        • Los verticales del sector de los servicios financieros y la sanidad son los que registran el mayor porcentaje de actividad atribuible a grupos de adversarios geopolíticos en la plataforma Netskope Security Cloud.

                                         

                                        Resumen ejecutivo enlace enlace

                                        La ciberseguridad es una batalla entre dos oponentes: los defensores que buscan proteger a sus usuarios, sus datos y sus sistemas, y los adversarios, que buscan dañarlos y explotarlos. La herramienta más valiosa del defensor es su conocimiento del adversario. Como defensores, buscamos comprender las motivaciones y los objetivos del adversario, así como las tácticas y técnicas que utilizan para lograr esos objetivos. A continuación, diseñamos nuestros sistemas para que sean resistentes a esas tácticas y técnicas e implementamos controles para detectar la actividad del adversario.

                                        Esta edición del Informe de Amenazas y Nube de Netskope se centra en las tácticas y técnicas que más comúnmente usaron contra Netskope clientes durante los primeros nueve meses de 2023. Para facilitar una comunicación y comprensión más eficientes, presentamos este Informe en términos del marco MITRE ATT&CK . El marco proporciona una categorización completa de las tácticas y técnicas de los adversarios, así como la agrupación y el nombramiento de los adversarios.

                                        A nivel mundial, Netskope clientes fueron los más comúnmente atacados por adversarios criminales, y Wizard Spider apuntó a más Organización que a cualquier otro grupo. Los ladrones de información y el ransomware siguieron siendo herramientas populares empleadas por adversarios motivados financieramente. Menos comunes eran adversarios con motivaciones geopolíticas, cuyas herramientas más populares eran troyanos de acceso remoto que crean puertas traseras en la Organización a la que apuntan.

                                        La geografía y el sector son factores significativos a la hora de determinar qué adversarios es probable que tengan como objetivo una Organización. Los adversarios geopolíticos tienden a dirigirse a regiones y sectores específicos por su propiedad intelectual, mientras que los adversarios con motivaciones financieras tienden a desarrollar libros de jugadas optimizados para dirigirse a organizaciones similares, donde pueden reciclar tácticas y técnicas con una personalización mínima. Completamos este Informe explorando cuáles son los adversarios más activos en múltiples verticales del Sector y regiones geográficas.

                                         

                                        Técnicas Superiores enlace enlace

                                        Esta sección explora las tácticas y técnicas más comunes utilizadas por los adversarios para obtener acceso a los sistemas de sus objetivos, ejecutar código malicioso y comunicarse con sistemas comprometidos. Destacamos cuatro tácticas en las que la Netskope Security Cloud Plataforma proporciona visibilidad, y resaltamos las seis técnicas más comúnmente observadas dentro de esas tácticas:

                                        • Acceso inicial Las técnicas que los adversarios usan para entrar en los sistemas de sus objetivos.
                                        • Ejecución Las técnicas adversarios Usar para ejecutar código malicioso.
                                        • Comando y control Las técnicas adversarios Usar para comunicarse con sistemas comprometidos.
                                        • Exfiltración Las técnicas de los adversarios Usar para robar información de sus víctimas.

                                         

                                        Acceso inicial: spearphishing

                                        Cuando el acceso remoto a un sistema está bloqueado y el sistema está parcheado contra vulnerabilidades de seguridad conocidas, la forma más fácil para que un adversario acceda a ese sistema suele ser a través de sus usuarios. Por esa razón, las técnicas de ingeniería social han seguido siendo un pilar del libro de jugadas del adversario. Por ejemplo, el acceso inicial durante el hackeo de MGM de septiembre de 2023 se logró a través del vishing (phishing de voz) llamando al servicio de asistencia de la víctima. Entre las diversas técnicas de phishing , los enlaces de spearphishing y los archivos adjuntos de spearphishing son dos de las más populares en el Netskope Security Cloud Platform en 2023.

                                        El análisis de los enlaces de phishing en los que hacen clic las víctimas puede proporcionar información sobre dónde los adversarios están teniendo más éxito al dirigirse a sus víctimas. Por un amplio margen, los usuarios que hicieron clic con mayor frecuencia en enlaces de phishing dirigidos a aplicaciones en la nube, y un tercio de esos enlaces de phishing se dirigieron a productos de Microsoft. Esto no es sorprendente, ya que Microsoft OneDrive es la aplicación en la nube más popular en la empresa por un amplio margen, junto con otros productos de Microsoft, incluidos SharePoint, Outlook y Teams.

                                        Principales objetivos de phishing por enlaces en los que se hizo clic

                                        Principales objetivos de phishing en la nube por enlaces en los que se hizo clic

                                        ¿Cómo engañan los adversarios a sus víctimas para que hagan clic en enlaces de phishing? Aunque el correo electrónico sigue siendo un canal muy común, la tasa de éxito en él es bastante baja por múltiples razones. En primer lugar, las organizaciones tienden a emplear sofisticados filtros antiphishing para bloquear el correo electrónico fraudulento y evitar que llegue a sus víctimas. En segundo lugar, las organizaciones suelen formar a sus usuarios para que sean capaces de reconocer el phishing Correo electrónico. En respuesta, los atacantes están utilizando una variedad de otras tácticas para llegar a sus víctimas:

                                        Optimización para motores de búsqueda (SEO ) - Los adversarios crean páginas Web que emplean técnicas de SEO para asegurarse aparecer en los motores de búsqueda más populares, incluidos Bing y Google. Por lo general, las páginas se elaboran en torno a vacíos de datos (conjuntos específicos de palabras clave que no tienen muchos resultados) y están dirigidas a grupos demográficos específicos.

                                        Redes sociales y aplicaciones de mensajería : los adversarios abusan de las aplicaciones populares de redes sociales (como Facebook) y aplicaciones de mensajería (como WhatsApp) para llegar a sus víctimas utilizando una variedad de cebos diferentes.

                                        Mensajes de voz y de texto - Los Dispositivos Móviles carecen a menudo de los controles de seguridad presentes en los Dispositivos más tradicionales, como los ordenadores portátiles, lo que los convierte en un objetivo popular para los ataques de suplantación de identidad. Las víctimas de llamadas o mensajes de texto se están convirtiendo en métodos cada vez más populares para difundir enlaces de phishing.

                                        Cuentas personales de correo electrónico - Las cuentas personales de correo electrónico suelen tener controles antiphishing menos estrictos, por lo que más correos electrónicos de phishing pueden llegar a sus víctimas. Dado que las cuentas personales de correo electrónico suelen utilizarse en los mismos sistemas que las víctimas utilizan para trabajar, la suplantación de identidad para acceder a activos sensibles gestionados por la Organización a través de cuentas personales de correo electrónico puede ser una estrategia de gran éxito para los adversarios.

                                        Los archivos adjuntos de spearphishing son un tipo especial de phishing en el que el adversario utiliza los archivos adjuntos tanto para crear un aire de legitimidad (por lo general, estos archivos adjuntos parecen facturas profesionales) como para eludir los controles de seguridad que no inspeccionan los archivos adjuntos. Si bien existe cierta variedad en los tipos de archivos que los adversarios usan para los archivos adjuntos de phishing (hojas de cálculo de Microsoft Excel, archivos ZIP, etcétera), la mayoría de estos tipos de archivos son raros. Un asombroso 90% de los archivos adjuntos de phishing son archivos PDF diseñados para atraer a las víctimas para que hagan clic en un enlace de phishing.

                                        Principales tipos de archivos adjuntos de phishing

                                        De forma similar a los enlaces de phishing, los adversarios difunden los archivos adjuntos de phishing a través de múltiples canales, incluido el correo electrónico personal. El número de archivos adjuntos de phishing descargados por las víctimas se disparó a más del triple de su nivel de referencia en agosto, ya que los adversarios empezaron a tener más éxito enviando sus cebos a las cuentas personales de Microsoft Live Correo electrónico de sus víctimas. En los últimos nueve meses, hubo 16 veces más usuarios que descargaron un archivo adjunto de phishing desde una aplicación de correo web personal en comparación con los usuarios que descargaron archivos adjuntos de phishing desde aplicaciones de correo web gestionadas por la Organización.

                                        Volumen de descarga de archivos adjuntos de phishing a lo largo del tiempo

                                         

                                        Ejecución: Ejecución de usuario

                                        La ingeniería social no se limita al acceso inicial. Los adversarios también dependen de los usuarios para ejecutar cargas útiles maliciosas que proporcionan acceso remoto clandestino, roban información confidencial o implementan ransomware. Convencer a un usuario objetivo para que ejecute una carga maliciosa a menudo requiere que el usuario haga clic en un enlace malicioso o descargue y ejecute un archivo malicioso. Los adversarios están constantemente probando nuevas formas de engañar a las víctimas para que lo hagan, y Netskope Threat Labs rastrea esos cambios en nuestro Informe mensual. Hay dos temas generales que han dominado 2023. En primer lugar, los adversarios tienen más éxito a la hora de convencer a sus víctimas de que descarguen archivos maliciosos cuando esos archivos se entregan a través de aplicaciones en la nube. En lo que va del año, un promedio del 55% del malware que los usuarios intentaron descargar se entregó a través de aplicaciones en la nube.

                                        Malware Entrega, Nube vs. Web

                                        En segundo lugar, las aplicaciones en las que se intentó el mayor número de descargas de Malware fueron también algunas de las aplicaciones en la nube más populares en uso en la empresa. Microsoft OneDrive, la aplicación en la nube más popular en la empresa, ocupó el primer puesto con más de una cuarta parte de todas las descargas de la nube Malware. En total, los adversarios consiguieron inducir a los usuarios a descargar Malware para su ejecución desde 477 aplicaciones en la nube distintas en lo que va de año.

                                        Las mejores aplicaciones para Malware Descargas

                                         

                                        Comando y Control y Exfiltración

                                        Después de que un adversario ha ejecutado con éxito una carga útil maliciosa en el entorno de una víctima, a menudo necesita establecer un canal para comunicarse con el sistema comprometido, que es donde entra en juego el comando y el control. Los adversarios de la técnica de comando y control más comunes de Usar en 2023 fueron el Protocolo de capa de aplicación: Protocolos Web , que a menudo se combinaba con Exfiltración a través del canal C2. Los adversarios tienen múltiples opciones para crear canales de comando y control, incluido Usar un marco C2 como CobaltStrike, abusar de una aplicación en la nube popular o crear su propia implementación personalizada.

                                        El sigilo es una característica importante de un canal de comando y control. El adversario no solo necesita comunicarse con el sistema comprometido, sino que también necesita evitar ser detectado al hacerlo. Por esta razón, los adversarios utilizan cada vez más HTTP y HTTPS a través de los puertos 80 y 443 como sus principales canales de comunicación C2. Es muy probable que se permita el tráfico HTTP y HTTPS desde un sistema infectado y se mezclará con la abundancia de tráfico HTTP y HTTPS que ya está en la red. Contrasta este enfoque con Malware que se comunica a través de puertos o protocolos poco utilizados, como IRC o FTP. Dicha comunicación sería comparativamente fácil de detectar y fácil de bloquear, incluso con un cortafuegos de capa 3 y especialmente con un cortafuegos de capa 7. Según un análisis de decenas de miles de muestras de Malware detectadas en 2023, HTTP (80) y HTTPS (443) fueron los protocolos C2 y de exfiltración de datos favoritos por un amplio margen, utilizados por más de dos tercios de las muestras de Malware. El siguiente protocolo más popular fue el DNS, seguido de una variedad de otros puertos y protocolos poco utilizados.

                                        Top Malware Puertos de comunicación

                                         

                                        Análisis del adversario enlace enlace

                                        Netskope Threat Labs rastrea a los adversarios que atacan activamente a los clientes de Netskope para comprender mejor sus motivaciones, tácticas y técnicas. A continuación, aprovechamos esa información para ayudar a nuestros clientes a defender sus sistemas contra esos adversarios. Los adversarios que rastrea Netskope Threat Labs se dividen generalmente en dos categorías, en función de sus motivaciones.

                                        Criminal
                                        El objetivo principal de los grupos de adversarios criminales es el beneficio financiero, y su conjunto de herramientas generalmente incluye ladrones de información y ransomware. La extorsión ha sido un negocio extremadamente rentable para los ciberdelincuentes durante los últimos años, con un estimado de 457 millones de dólares en pagos de rescate realizados en 2022. La mayoría de los adversarios criminales han diversificado sus operaciones para usar tanto ransomware como ladrones de información para aumentar las probabilidades de que una víctima pague. Si Cifrar sus sistemas con Ransomware no fuera suficiente para convencerlos de pagar, tal vez la divulgación pública de información sensible robada a la Organización ayudaría. Aunque intentamos etiquetar a cada grupo adversario criminal según el país en el que operan, muchos grupos trabajan transnacionalmente. Además, muchos están operando en un modelo de afiliación, lo que hace que sus operaciones estén aún más dispersas. Como resultado, normalmente asociamos un grupo con el país o la región de la que se cree que se encuentran sus miembros principales.

                                        Geopolítico
                                        Los grupos adversarios geopolíticos están motivados por cuestiones geopolíticas. Por lo general, son estados-nación o sus representantes, y sus actividades suelen reflejar conflictos políticos, económicos, militares o sociales más amplios. Por ejemplo, grupos adversarios rusos lanzaron ciberataques contra Ucrania que coincidieron con su invasión de ese país. Los grupos geopolíticos suelen participar en operaciones cibernéticas contra otros estados-nación, y tales operaciones se han convertido en un componente crítico de las relaciones internacionales modernas. Las líneas entre los adversarios geopolíticos y criminales a veces se difuminan, y algunos grupos geopolíticos también participan en actividades motivadas financieramente. Por ejemplo, el actual régimen norcoreano financia el desarrollo de su programa de misiles a través del cibercrimen. Las operaciones cibernéticas específicas emprendidas por los adversarios geopolíticos varían, incluido el ciberespionaje contra organizaciones gubernamentales y no gubernamentales y el sabotaje de infraestructura crítica para desestabilizar a un adversario. Los adversarios geopolíticos también participan en la guerra de la información, difundiendo propaganda, manipulando la opinión pública e influyendo en las elecciones populares.

                                        Atribuir actividad a un grupo adversario específico puede ser un desafío. Los adversarios intentan ocultar sus verdaderas identidades o incluso lanzan intencionadamente operaciones de falsa bandera en las que intentan hacer que sus ataques parezcan provenir de otro grupo. Varios grupos a menudo usan las mismas tácticas y técnicas, algunos van tan lejos como para usar exactamente las mismas herramientas o incluso comparten infraestructura. Incluso definir grupos adversarios puede ser un desafío, ya que los grupos evolucionan o los miembros se mueven entre grupos. Por estas razones, las atribuciones de los adversarios son difusas y están sujetas a cambios y evoluciones a medida que sale a la luz nueva información. En el resto de este Informe, presentamos estadísticas sobre las actividades de los adversarios observadas en la Plataforma Netskope Security Cloud y los grupos probablemente responsables de dichas actividades.

                                         

                                        Principales grupos adversarios

                                        El principal grupo adversario que apuntaba a los usuarios de la Plataforma Netskope Security Cloud era Wizard Spider (también conocido como Wizard Spider ). UNC1878, TEMP. MixMaster, Grim Spider), un adversario criminal con sede en Rusia al que se le atribuye la creación del malware TrickBot . El malware TrickBot se creó originalmente como un troyano bancario, pero desde entonces se ha convertido en una compleja plataforma de malware que contiene componentes de robo de información, movimiento lateral, comando y control y exfiltración de datos. Como es típico de los grupos criminales adversarios, Wizard Spider ha atacado a una amplia variedad de víctimas con ransomware. Entre las tácticas y técnicas de Usar by Wizard Spider se incluyen las seis técnicas destacadas en este Informe en torno al spearphishing, la ejecución del usuario y el comando y control.

                                        Otros grupos de adversarios criminales activos que dependen en gran medida del ransomware incluyen TA505 (también conocido como Hive0065), responsable del ransomware Clop , y FIN7 (también conocido como GOLD NIAGARA, ITG14, Carbon Spider), quien usó el ransomware REvil y creó el ransomware Darkside . Mientras que los principales grupos adversarios criminales que atacan a los clientes de Netskope son rusos y ucranianos, los principales grupos adversarios geopolíticos son chinos, liderados por memupass (también conocido como Cicada, POTASSIUM, Stone Panda, APT10, Red Apollo, CVNX, HOGFISH) y Aquatic Panda, quienes se han dirigido a una variedad de diferentes tipos de Organización en todo el mundo.

                                         

                                        Diferencias geográficas y sectoriales

                                        La geografía y el sector son factores significativos a la hora de determinar qué adversarios es probable que tengan como objetivo una Organización. Los adversarios geopolíticos tienden a dirigirse a regiones y sectores específicos por su propiedad intelectual, mientras que los adversarios con motivaciones financieras tienden a desarrollar libros de jugadas optimizados para dirigirse a organizaciones similares, donde pueden reciclar técnicas con una personalización mínima. Por verticales del sector, hay dos que destacan: los servicios financieros y la sanidad. En esas dos verticales, la división entre las actividades criminales y geopolíticas de los adversarios es casi 50/50. Mientras tanto, en el resto de verticales del sector, la división se acerca más al 80/20. Esto indica que la Organización en el sector de los servicios financieros y de la sanidad es con más frecuencia el objetivo de los adversarios geopolíticos.

                                        Motivaciones de los adversarios por sector objetivo

                                        Estas diferencias también son evidentes cuando se comparan las fuentes probables de la actividad de los adversarios en cada Sector. Dado que muchos de los adversarios criminales que rastreamos están ubicados en Rusia, el Sector con mayor porcentaje de actividad criminal también tiene los porcentajes más altos de actividad atribuible a grupos con base en Rusia. Mientras tanto, los servicios financieros y la sanidad (el sector al que se dirigen más adversarios geopolíticos) tienen una mezcla más uniforme de adversarios que les apuntan desde Rusia, Oriente Próximo y China. Las otras ubicaciones de los adversarios que no se muestran en el gráfico a continuación incluyen Corea del Norte, Pakistán, India, Vietnam y Nigeria.

                                        Actividad adversaria del sector

                                        Por regiones, los adversarios más activos también difieren significativamente, con dos regiones destacadas: Australia y América del Norte. Ambas regiones destacan por tener el mayor porcentaje de actividad adversaria atribuible a grupos criminales. Esto indica que los usuarios de EE. UU. y Australia tienen más probabilidades de ser atacados por adversarios criminales, mientras que en otras partes del mundo, la división de la actividad geopolítica y criminal de los adversarios está más cerca del 50/50.

                                        Motivaciones del adversario por región objetivo

                                        El desglose de la actividad regional de los adversarios sigue un patrón similar al de los datos del Sector: las regiones objetivo de los grupos criminales tienden a serlo de grupos con sede en Rusia, mientras que las regiones con un mayor porcentaje de actividad geopolítica tienden a ver un porcentaje más significativo de actividad adversaria atribuida a grupos geopolíticos de China.

                                        Actividad del adversario regional

                                         

                                        Recomendaciones

                                        El marco ATT&CK de Mitre proporciona un lenguaje común para los grupos adversarios, sus tácticas y sus técnicas. Los defensores pueden usar este marco para determinar si sus defensas están adecuadamente emparejadas contra sus adversarios. Para cada una de las técnicas analizadas en este Informe, esta sección ofrece recomendaciones específicas.

                                        Acceso inicial: Enlaces de spearphishing
                                        Implemente defensas antiphishing que vayan más allá del Correo electrónico para garantizar que los usuarios estén protegidos contra los enlaces de spearphishing independientemente de dónde se originen. Una solución SWG que inspeccione el tráfico DNS, el tráfico en la nube y el tráfico Web en busca de indicios de phishing puede impedir que los usuarios visiten enlaces de phishing selectivo independientemente de su origen, utilizando firmas e inteligencia para protegerse contra las amenazas de phishing conocidas y la IA para protegerse contra las amenazas desconocidas y selectivas. Netskope clientes pueden configurar sus Netskope Next Gen Secure Web Gateway para protegerse contra el phishing. Remote Browser Isolation (RBI) puede proporcionar una protección adicional cuando exista la necesidad de visitar sitios web de categorías que puedan presentar un mayor riesgo, como los dominios recién observados y registrados, el correo web personal y las redes sociales.

                                        Acceso inicial: archivos adjuntos de spearphishing
                                        Si bien las protecciones de enlaces de spearphishing también pueden ayudar a proteger contra los usuarios que hacen clic en los enlaces en los archivos adjuntos de spearphishing, una defensa más sólida proporcionará protecciones adicionales contra los usuarios que descargan archivos adjuntos de spearphishing. Dado que pueden proceder de múltiples fuentes, una estrategia eficaz inspeccionará todas las descargas HTTP y HTTPS, incluido todo el tráfico de Web y de la nube, en busca de pruebas de spearphishing utilizando inteligencia de amenazas, firmas, heurística e IA. Netskope los clientes pueden configurar su Netskope Next Gen Secure Web Gateway con una Política de Protección frente a Amenazas que se aplica a las descargas de todo tipo de archivos de todas las fuentes. Inspeccionar las descargas de contenidos desde aplicaciones populares en la nube (como Microsoft OneDrive) es especialmente importante para protegerse de los adversarios que abusan de dichas aplicaciones para enviar Malware.

                                        Ejecución: Enlace malicioso y Ejecución: Archivo malicioso
                                        Debido a que los adversarios usan múltiples canales para entregar malware, incluidas las aplicaciones populares en la nube como Microsoft OneDrive, una estrategia defensiva efectiva debe inspeccionar todo el tráfico, incluida la web y la nube, en busca de contenido malicioso. Asegúrese de que los tipos de archivos de alto riesgo, como ejecutables y archivos, se inspeccionen minuciosamente Usar una combinación de análisis estático y dinámico antes de descargarlos. Netskope Advanced Threat Protection, los clientes pueden usar una política de prevención cero para pacientes hasta que hayan sido completamente inspeccionadas por múltiples motores de análisis estáticos y dinámicos, incluidos los que usan IA para detectar ataques dirigidos. Netskope los clientes pueden configurar sus Netskope Next Gen Secure Web Gateway con una directiva de protección contra amenazas que se aplica a las descargas de todos los tipos de archivos de todos los orígenes. Para reducir aún más la superficie de riesgo, configure Política para bloquear las descargas de aplicaciones que no son Usar en su Organización para reducir la superficie de riesgo a solo aquellas aplicaciones e instancias (de empresa frente a personales) que sean necesarias. Bloquee las descargas de todos los tipos de archivos de riesgo de dominios recién registrados, dominios recién observados y otras categorías de riesgo.

                                        Mando y control: Protocolo de la capa de aplicación: Protocolos Web
                                        Una estrategia eficaz para detectar y prevenir el tráfico C2 adversario a través de protocolos web incluye Usar un SWG y un IPS para bloquear la comunicación con la infraestructura C2 conocida y exhibir patrones C2 comunes. Netskope Advanced Threat Protection, los clientes pueden usar las funciones IPS y Advanced UEBA para identificar el tráfico C2 y otras señales de comportamiento posterior al compromiso. El bloqueo de dominios recién registrados, dominios recién observados y alertas sobre patrones de tráfico de red inusuales también puede reducir la superficie de riesgo y permitir la detección temprana. DNS Security y Cloud Firewall también pueden usarse para proteger contra el tráfico C2 que no es HTTP/HTTPS.

                                        Exfiltración: Exfiltración a través del canal C2
                                        Las mismas protecciones para detectar y prevenir el tráfico C2 adversario también pueden ser efectivas contra la exfiltración de Datos a través del mismo canal C2 o cualquier otro protocolo web. Netskope los clientes Usar DLP pueden configurar políticas que restrinjan dónde se pueden cargar los datos, limitando efectivamente los canales a través de los cuales el atacante puede filtrar datos. Netskope clientes de Usar Advanced UEBA tienen protecciones adicionales contra C2 que incluyen la identificación de anomalías en la transferencia de datos, incluidos picos de cargas a ubicaciones inusuales y la transferencia de contenido cifrado o codificado (una técnica común de Usar por parte de los adversarios).

                                        En resumen, una evaluación de qué tráfico se inspecciona y qué se omite es vital para que sus defensas protejan a los usuarios, los datos, las aplicaciones y la infraestructura de estos adversarios. Sabiendo que está inspeccionando todo el tráfico posible, el siguiente paso es alinear las defensas con las seis técnicas señaladas en este Informe. Algunas defensas se basarán en firmas y patrones, mientras que las innovaciones en IA/ML (por ejemplo, algoritmos, extractores de características y detección de anomalías) se pueden usar para proteger contra amenazas desconocidas o de día cero. Una o dos veces al año, evalúe cómo pivotan los adversarios para evadir las defensas actuales y revise qué defensas Nuevo están disponibles para proteger a sus usuarios, datos, aplicaciones e infraestructura.

                                        Acerca de este informe enlace enlace

                                        Netskope Threat Labs publica trimestralmente un Informe sobre Nube y Amenazas para destacar un conjunto específico de retos de ciberseguridad. El propósito de este Informe es proporcionar inteligencia estratégica y procesable sobre las amenazas activas.

                                        Netskope proporciona protección contra amenazas y datos a millones de usuarios en todo el mundo. La información presentada en este Informe se basa en el uso anónimo de Datos recopilados por la PlataformaNetskope One en relación con un subconjunto de Netskope clientes con autorización previa. Este Informe contiene información sobre las detecciones generadas por Netskope One Next Generation Secure Web Gateway (SWG), sin considerar la importancia del impacto de cada amenaza individual. Por lo tanto, las tácticas y técnicas destacadas en el Informe se limitan a aquellas que son observables en el tráfico HTTP/HTTPS, y los grupos adversarios que rastrean en este Informe se limitan a aquellas técnicas de Usar. Las estadísticas presentadas en este Informe son un reflejo tanto de la actividad del adversario como del comportamiento del usuario. Por ejemplo, la sección Acceso inicial: Spearphishing analiza los enlaces de phishing reales en los que los usuarios hacen clic, no el universo de todos los enlaces de phishing creados por los adversarios. Las estadísticas de este Informe se basan en el período que va desde el 1 de enero de 2023 hasta el 23 de septiembre de 2023.

                                        Netskope Threat Labs enlace enlace

                                        Integrado por los investigadores más destacados del sector en materia de amenazas en la nube y Malware, Netskope Threat Labs descubre, analiza y diseña defensas contra las últimas amenazas de Web, la nube y los datos que afectan a las empresas. Nuestros investigadores son presentadores y voluntarios habituales en las principales conferencias de seguridad, incluidas DEF CON, Black Hat y RSA.

                                        Recursos relacionados

                                        Resultados