Rapport sur le cloud computing et les menaces : Principales tactiques et techniques adverses

Le principal groupe d’adversaires ciblant les utilisateurs de la plate-forme Netskope Security Cloud était Wizard Spider (alias UNC1878, TEMP. MixMaster, Grim Spider), un adversaire criminel basé en Russie à qui l’on attribue la création du logiciel malveillant TrickBot . Le logiciel malveillant TrickBot a été créé à l’origine comme un cheval de Troie bancaire, mais a depuis évolué pour devenir une plate-forme malveillante complexe contenant des composants de vol d’informations, de mouvement latéral, de commande et de contrôle, et d’exfiltration de données. Comme c’est souvent le cas pour les groupes d’adversaires criminels, Wizard Spider a ciblé une grande variété d’organisations victimes avec des ransomwares. Parmi les tactiques et techniques utilisées par Wizard Spider figurent les six techniques mises en évidence dans ce rapport autour du spearphishing, de l’exécution de l’utilisateur et du commandement et du contrôle.

Parmi les autres groupes criminels actifs qui s’appuient fortement sur les ransomwares, citons TA505 (alias Hive0065), qui est responsable du ransomware Clop , et FIN7 (alias GOLD NIAGARA, ITG14, Carbon Spider), qui a utilisé le ransomware REvil et a créé le ransomware Darkside . Alors que les principaux groupes criminels ciblant les clients de Netskope sont russes et ukrainiens, les principaux groupes adversaires géopolitiques sont chinois, dirigés par memupass (alias Cicada, POTASSIUM, Stone Panda, APT10, Red Apollo, CVNX, HOGFISH) et Aquatic Panda, qui ont tous deux ciblé une variété de types d’organisations dans le monde entier.

La géographie et le secteur d’activité sont des facteurs importants pour déterminer quels adversaires sont susceptibles de cibler une organisation. Les adversaires géopolitiques ont tendance à cibler des régions et des secteurs spécifiques pour leur propriété intellectuelle, tandis que les adversaires motivés par l’argent ont tendance à développer des manuels optimisés pour cibler des organisations similaires, où ils peuvent recycler des techniques avec une personnalisation minimale. Par secteur vertical, il y en a deux qui se démarquent : les services financiers et les soins de santé. Dans ces deux secteurs verticaux, la répartition entre les activités criminelles et géopolitiques de l’adversaire est de près de 50/50. Pendant ce temps, dans les autres secteurs verticaux, la répartition est plus proche de 80/20. Cela indique que les organisations du secteur des services financiers et de la santé sont plus souvent ciblées par des adversaires géopolitiques.

Ces différences sont également apparentes lorsque l’on compare les sources probables de l’activité adverse, dans chaque industrie. Étant donné qu’un grand nombre des adversaires criminels que nous suivons se trouvent en Russie, les industries ayant le pourcentage le plus élevé d’activités criminelles ont également les pourcentages d’activités les plus élevés attribuables à des groupes basés en Russie. Pendant ce temps, les services financiers et les soins de santé (les secteurs ciblés par les plus d’adversaires géopolitiques) ont un mélange plus équilibré d’adversaires qui les ciblent en provenance de la Russie, du Moyen-Orient et de la Chine. Les autres lieux d’adversaire qui ne sont pas indiqués dans le graphique ci-dessous sont la Corée du Nord, le Pakistan, l’Inde, le Vietnam et le Nigeria.

Selon les régions, les adversaires les plus actifs diffèrent également de manière significative, avec deux régions qui se démarquent : l’Australie et l’Amérique du Nord. Ces deux régions se distinguent par le pourcentage le plus élevé d’activités adverses attribuables à des groupes criminels. Cela indique que les utilisateurs aux États-Unis et en Australie sont plus susceptibles d’être ciblés par des adversaires criminels, alors que dans d’autres parties du monde, la répartition de l’activité géopolitique et criminelle des adversaires est plus proche de 50/50.

La répartition de l’activité des adversaires régionaux suit un schéma similaire à celui des données de l’industrie : les régions ciblées par les groupes criminels ont tendance à être ciblées par des groupes basés en Russie, tandis que les régions où le pourcentage d’activité géopolitique est le plus élevé ont tendance à voir un pourcentage plus important d’activités de l’adversaire attribué à des groupes géopolitiques en Chine.

Le cadre Mitre ATT&CK fournit un langage commun pour les groupes adverses, leurs tactiques et leurs techniques. Les défenseurs peuvent utiliser ce cadre pour déterminer si leurs défenses sont correctement adaptées à leurs adversaires. Pour chacune des techniques abordées dans le présent rapport, la présente section fournit des recommandations précises.

Accès initial : liens de spearphishing
Mettez en place des défenses anti-phishing qui vont au-delà de l’e-mail pour garantir que les utilisateurs sont protégés contre les liens de spearphishing, quelle que soit leur provenance. Une solution SWG qui inspecte le trafic DNS, le trafic cloud et le trafic Web à la recherche de preuves de phishing peut empêcher les utilisateurs de visiter les liens de phishing quelle que soit leur origine, en utilisant des signatures et des informations pour se protéger contre les menaces de phishing connues et l’IA pour se protéger contre les menaces inconnues et ciblées. Netskope clients peuvent configurer leur Netskope Next Gen Secure Web Gateway pour se protéger contre le phishing. Remote Browser Isolation technologie (RBI) peut fournir une protection supplémentaire lorsqu’il est nécessaire de visiter des sites Web dans des catégories qui peuvent présenter un risque plus élevé, comme les domaines nouvellement observés et nouvellement enregistrés, le webmail personnel et les médias sociaux.

Accès initial : pièces jointes de harponnage
Bien que les protections contre les liens de spearphishing puissent également aider à protéger contre les utilisateurs qui cliquent sur des liens dans des pièces jointes de spearphishing, une défense plus robuste fournira des protections supplémentaires contre les utilisateurs qui téléchargent des pièces jointes de spearphishing. Étant donné qu’ils peuvent provenir de plusieurs sources, une stratégie efficace consiste à inspecter tous les téléchargements HTTP et HTTPS, y compris tout le trafic Web et cloud, à la recherche de preuves de spearphishing à l’aide de renseignements sur les menaces, de signatures, d’heuristiques et d’IA. Netskope clients peuvent configurer leur Netskope Next Gen Secure Web Gateway à l’aide d’une stratégie de protection contre les menaces qui s’applique aux téléchargements de tous les types de fichiers à partir de toutes les sources. L’inspection des téléchargements de contenu à partir d’applications cloud populaires (comme Microsoft OneDrive) est particulièrement importante pour se protéger contre les adversaires qui abusent de ces applications pour diffuser des logiciels malveillants.

Exécution : Lien malveillant et Exécution : Fichier malveillant
Étant donné que les adversaires utilisent plusieurs canaux pour diffuser des logiciels malveillants, y compris des applications cloud populaires comme Microsoft OneDrive, une stratégie défensive efficace doit inspecter tout le trafic, y compris le Web et le cloud, à la recherche de contenu malveillant. Assurez-vous que les types de fichiers à haut risque, tels que les exécutables et les archives, sont soigneusement inspectés à l’aide d’une combinaison d’analyses statiques et dynamiques avant d’être téléchargés. Les clients de Netskope Advanced Threat Protection peuvent utiliser une politique de prévention du patient zéro pour suspendre les téléchargements jusqu’à ce qu’ils aient été entièrement inspectés par plusieurs moteurs d’analyse statiques et dynamiques, y compris ceux qui utilisent l’IA pour détecter les attaques ciblées. Netskope clients peuvent configurer leur Netskope Next Gen Secure Web Gateway à l’aide d’une stratégie de protection contre les menaces qui s’applique aux téléchargements de tous les types de fichiers à partir de toutes les sources. Pour réduire davantage la surface de risque, configurez des stratégies pour bloquer les téléchargements d’applications qui ne sont pas utilisées dans votre organisation afin de réduire votre surface de risque aux seules applications et instances (entreprise ou personnelle) qui sont nécessaires. Bloquez les téléchargements de tous les types de fichiers à risque à partir de domaines nouvellement enregistrés, de domaines nouvellement observés et d’autres catégories à risque.

Commande et contrôle : Couche applicative Protocole : Protocoles Web
Une stratégie efficace pour détecter et prévenir le trafic C2 de l’adversaire sur les protocoles Web comprend l’utilisation d’un SWG et d’un IPS pour bloquer la communication vers l’infrastructure C2 connue et présenter des modèles C2 communs. Les clients Netskope Advanced Threat Protection peuvent utiliser les fonctionnalités IPS et Advanced UEBA pour identifier le trafic C2 et d’autres signaux de comportement post-compromission. Le blocage des domaines nouvellement enregistrés, des domaines nouvellement observés et l’alerte sur des modèles de trafic réseau inhabituels peuvent également réduire la surface de risque et permettre une détection précoce. La sécurité DNS et le pare-feu cloud peuvent également être utilisés pour se protéger contre le trafic C2 non HTTP/HTTPS.

Exfiltration : Exfiltration sur le canal C2
Les mêmes protections pour détecter et empêcher le trafic C2 de l’adversaire peuvent également être efficaces contre l’exfiltration de données sur le même canal C2 ou tout autre protocole Web. Netskope clients utilisant la DLP (Prévention des pertes de données) peuvent configurer des politiques qui restreignent l’endroit où les données peuvent être téléchargées, limitant ainsi les canaux par lesquels l’attaquant peut exfiltrer des données. Les clients Netskope qui utilisent Advanced UEBA bénéficient de protections supplémentaires contre C2, notamment l’identification des anomalies de transfert de données, y compris les pics de téléchargements vers des emplacements inhabituels et le transfert de contenu chiffré ou codé (une technique courante utilisée par les adversaires).

En résumé, une évaluation du trafic inspecté par rapport au trafic contourné est essentielle pour vos défenses afin de protéger les utilisateurs, les données, les applications et l’infrastructure contre ces adversaires. Sachant que vous inspectez tout le trafic possible, l’étape suivante consiste à aligner les défenses sur les six techniques mentionnées dans ce rapport. Certaines défenses s’appuient sur des signatures et des modèles, tandis que les innovations en matière d’IA/ML (par exemple, les algorithmes, les extracteurs de fonctionnalités et la détection d’anomalies) peuvent être utilisées pour se protéger contre les menaces inconnues ou zero-day. Une ou deux fois par an, évaluez la façon dont les adversaires s’adaptent pour échapper aux défenses actuelles et examinez les nouvelles défenses disponibles pour protéger vos utilisateurs, vos données, vos applications et votre infrastructure.