Max Havey [00:00:00] Bienvenido a Security Visionaries, un podcast impulsado por Netskope enfocado en brindarle conversaciones con altos ejecutivos del mundo de la ciberseguridad, la tecnología, la confianza y las redes. Este episodio presenta una conversación con Ray Canzanese, director de Netskope Threat Labs. Ray se sienta a conversar con nosotros sobre su último informe trimestral sobre amenazas y nubes. Hablando de por qué eligió centrarse en el adversario esta vez, qué es lo que más le sorprendió de sus hallazgos y cómo el personal de seguridad y otros pueden utilizar los hallazgos de este informe. Aquí está nuestra conversación con Ray. Hola y bienvenido a Security Visionaries. Soy su anfitrión, Max Harvey. Y hoy nos sentamos a conversar sobre el informe sobre nubes y amenazas de octubre con Ray Canzanese, director de Netskope Threat Labs. Ray, bienvenido al espectáculo. ¿Cómo está hoy?
Ray Canzanese [00:00:44] Estoy bien, Max. Lo mejor que puedo un lunes. ¿Y tú?
Max Havey [00:00:47] Lo estoy haciendo, lo estoy haciendo de manera sólida. Me alegro mucho de tener esta conversación. ¿Entonces? Entonces, como director de Netskope Threat Labs, Ray es responsable de redactar nuestro informe trimestral sobre amenazas en la nube. Para comenzar aquí, Ray, ¿puedes darnos un poco de información sobre el informe provisional, cuánto tiempo llevas haciéndolo y por qué lo hacemos?
Ray Canzanese [00:01:06] Claro. Comenzamos a redactar estos informes en 2020, por lo que este será nuestro tercer año completo de redacción de estos informes. Publicamos uno nuevo cada trimestre y cubrimos un tema o ángulo ligeramente diferente cada vez que publicamos un informe nuevo. El objetivo de estos informes es proporcionar al lector información estratégica y procesable sobre amenazas. Eso es lo que esperamos que se refleje en todos estos, pero especialmente en el último informe que acabamos de publicar.
Max Havey [00:01:38] Absolutamente. Entonces, ¿puede decirnos cuál fue el enfoque de este informe más reciente y cuál fue su enfoque para escribirlo?
Ray Canzanese [00:01:45] Claro. Por lo tanto, informes anteriores han cubierto temas como dónde vemos que las víctimas descargan malware. Hemos hablado sobre dónde encuentran enlaces de phishing. Hemos hablado de los riesgos de la IA, cierto. Hemos hablado de los riesgos de amenazas internas. Así que hemos adoptado todos estos puntos de vista diferentes, muchos de ellos acerca de un adversario externo. Y para este último informe, decidimos centrarnos en ese adversario. Bien. Entonces, en lugar de centrarnos en algo específico como el phishing, el malware o los exploits, miremos a los adversarios. Veamos a los adversarios más activos contra los clientes de Netskope. Y veamos si podemos aprender algo de eso. Veamos si podemos aprender, por ejemplo, ¿cuáles son las principales tácticas y técnicas que se utilizan, independientemente de de qué adversario estemos hablando? O veamos si estoy trabajando en una industria específica, en una geografía específica, si hay un adversario en particular por el que debería preocuparme y, por lo tanto, un conjunto específico de tácticas y técnicas que son favorecidas por ese adversario en las que debería centrar mi atención. defensas encendidas.
Max Havey [00:02:59] Definitivamente. Entonces, una sensación de conocer a tu enemigo para poder hacer mejor las cosas por tu parte.
Ray Canzanese [00:03:05] Exactamente lo correcto. Y a veces siento que nos volvemos un poco abstractos cuando hablamos de ciberseguridad, como si estuviéramos hablando de dónde proviene el malware y dónde se encuentra. Y esto es como dar un paso atrás y recordarnos que hay alguien más haciendo eso, ¿verdad? Hay alguien enviando esos enlaces, ¿verdad? Hay alguien tratando de convencer a sus usuarios para que hagan estas cosas que comprometieron sus sistemas. Así que centrémonos realmente en quién es. Bien. ¿Quién es ese adversario al otro lado de esta especie de batalla de tipo ataque-defensa a la que nos enfrentamos en ciberseguridad?
Max Havey [00:03:45] ¿Cómo cambió el hecho de tener esa perspectiva la forma en que abordaste la redacción de este informe en comparación con, ya sabes, informes anteriores que has realizado?
Ray Canzanese [00:03:52] Claro. En primer lugar, cambió el enfoque de, llamémoslo, los 12 meses previos a la redacción de este informe. En otras palabras, lo primero que necesitábamos cambiar para incluso escribir este informe es intentar rastrear más de cerca y con mayor precisión al adversario. Bien. Entonces, lo primero que cambia para nosotros es que comenzamos a dedicar aún más tiempo cuando detectamos malware, cuando vemos a alguien visitando una página de phishing, cuando vemos tráfico de comando y control saliendo de un punto final, tratando de recopilar tanta información sobre eso como podamos, para luego intentar atribuirla a uno o más de los grupos adversarios que estamos rastreando. Bien. Entonces, todo ese trabajo, ya sabes, y me ahorro aproximadamente un año, ¿verdad? Que es más o menos lo que cubre este informe. Terminamos empezando a hablar de, ya sabes, desde principios del 23 hasta hoy. Ahí es donde comenzamos, el seguimiento. Y luego, cuando llega el momento de empezar a escribir el informe, lo que también estás viendo es: ¿hay adversarios que fueron más activos que otros? Bien. ¿Hay alguno que fuera más activo dentro de una determinada población que otros? Y luego simplemente comience a observar esas tácticas que están flotando hacia la cima, ¿verdad? Para ver cuáles son esas tendencias interesantes, aquellas cosas destacadas que luego nos guiarán en nuestra estrategia defensiva en el futuro.
Max Havey [00:05:18] Definitivamente se trata de un enfoque más cualitativo. Bueno, entonces, con eso en mente, ¿cuáles fueron algunas de las principales conclusiones y algunos de los grandes hallazgos que surgieron de este informe?
Ray Canzanese [00:05:27] Claro. Entonces, la gran conclusión, la primera y quizás la más fácil, es que en todos los adversarios que estábamos rastreando, cierto. Y creo que hubo alrededor de 50 grupos en total a los que rastreamos para este informe. Hubo algunas técnicas que se destacaron y todo el mundo las está usando. Bien. Entonces, si estoy adoptando ese enfoque, conozca su adversario, ¿verdad? Hay un ángulo que bueno, realmente no me importa cuál de los 50 adversarios sea. Es probable que estén haciendo estas seis cosas y estas seis cosas en un volumen bastante sustancial. Bien. Y esas seis cosas las habíamos rastreado en términos del marco MITRE ATT&CK. Entonces, el marco MITRE ATT&CK nos brinda un lenguaje realmente agradable para hablar entre nosotros en ciberseguridad sobre tácticas, técnicas y los grupos que las utilizan. Así que elegimos ese lenguaje común para escribir este informe y en ese lenguaje común hablamos sobre el acceso inicial, las técnicas que usan los adversarios para ingresar a un sistema objetivo. Hablamos de ejecución, que es cómo ejecutan código malicioso una vez que están en ese sistema, hablamos de comando y control, que obviamente es una vez que han comprometido el sistema, ¿cómo le hablan? Y finalmente, la filtración de datos, claro. ¿Cómo es que, si su objetivo final es, por ejemplo, intentar chantajearte, van a tener que robar algo para chantajearte, verdad? Por lo tanto, necesitan exfiltrar algunos datos a sus sistemas. Así que analizamos seis técnicas específicas en esas categorías y básicamente las encontramos en todos los ámbitos. Todos los adversarios que estábamos rastreando los estaban cometiendo. Y se centraron en el phishing, en lograr que los usuarios ejecutaran malware, y luego se centraron en realizar todo el comando, control y exfiltración a través de HTTP y HTTPS, básicamente para integrarse con todas las demás cosas en la red.
Max Havey [00:07:40] Básicamente, desglosando qué tipo de tácticas y consejos clave están viendo muchos de estos diferentes adversarios, todos los están aplicando y luego desglosándolos por industria. , por geografía y much