Rapport sur le cloud computing et les menaces : Principales tactiques et techniques adverses

Le principal groupe d'adversaires ciblant les utilisateurs de la plateforme Netskope Security Cloud était Wizard Spider (alias UNC1878, TEMP.MixMaster, Grim Spider), un adversaire criminel basé en Russie, connu pour avoir créé le logiciel malveillant TrickBot. Le logiciel malveillant TrickBot a été initialement conçu comme un cheval de Troie bancaire, mais il a depuis évolué pour devenir une plateforme malveillante complexe comprenant des composants de vol d'informations, de déplacement latéral, de commande et de contrôle, ainsi que d'exfiltration de données. Comme c'est souvent le cas avec les groupes criminels adversaires, Wizard Spider a ciblé un large éventail d'organisations victimes à l'aide de ransomware. Parmi les tactiques et techniques utilisées par Wizard Spider, nous avons identifié six techniques mises en avant dans ce rapport, qui concernent le spearphishing, l'exécution par l'utilisateur et le contrôle et la commande.

Parmi les autres groupes criminels actifs qui s'appuient fortement sur les ransomwares, on peut citer TA505 (alias Hive0065), responsable du ransomware Clop, et FIN7 (alias GOLD NIAGARA, ITG14, Carbon Spider), qui a utilisé le ransomware REvil et créé le ransomware Darkside. Alors que les principaux groupes criminels ciblant les clients de Netskope sont russes et ukrainiens, les principaux groupes géopolitiques sont chinois, menés par memupass (alias Cicada, POTASSIUM, Stone Panda, APT10, Red Apollo, CVNX, HOGFISH) et Aquatic Panda, qui ont tous deux ciblé divers types d'organisations à travers le monde.

La géographie et le secteur d’activité sont des facteurs importants pour déterminer quels adversaires sont susceptibles de cibler une organisation. Les adversaires géopolitiques ont tendance à cibler des régions et des secteurs spécifiques pour leur propriété intellectuelle, tandis que les adversaires motivés par l’argent ont tendance à développer des manuels optimisés pour cibler des organisations similaires, où ils peuvent recycler des techniques avec une personnalisation minimale. Par secteur vertical, il y en a deux qui se démarquent : les services financiers et les soins de santé. Dans ces deux secteurs verticaux, la répartition entre les activités criminelles et géopolitiques de l’adversaire est de près de 50/50. Pendant ce temps, dans les autres secteurs verticaux, la répartition est plus proche de 80/20. Cela indique que les organisations du secteur des services financiers et de la santé sont plus souvent ciblées par des adversaires géopolitiques.

Ces différences sont également apparentes lorsque l’on compare les sources probables de l’activité adverse, dans chaque industrie. Étant donné qu’un grand nombre des adversaires criminels que nous suivons se trouvent en Russie, les industries ayant le pourcentage le plus élevé d’activités criminelles ont également les pourcentages d’activités les plus élevés attribuables à des groupes basés en Russie. Pendant ce temps, les services financiers et les soins de santé (les secteurs ciblés par les plus d’adversaires géopolitiques) ont un mélange plus équilibré d’adversaires qui les ciblent en provenance de la Russie, du Moyen-Orient et de la Chine. Les autres lieux d’adversaire qui ne sont pas indiqués dans le graphique ci-dessous sont la Corée du Nord, le Pakistan, l’Inde, le Vietnam et le Nigeria.

Selon les régions, les adversaires les plus actifs diffèrent également de manière significative, avec deux régions qui se démarquent : l’Australie et l’Amérique du Nord. Ces deux régions se distinguent par le pourcentage le plus élevé d’activités adverses attribuables à des groupes criminels. Cela indique que les utilisateurs aux États-Unis et en Australie sont plus susceptibles d’être ciblés par des adversaires criminels, alors que dans d’autres parties du monde, la répartition de l’activité géopolitique et criminelle des adversaires est plus proche de 50/50.

La répartition de l’activité des adversaires régionaux suit un schéma similaire à celui des données de l’industrie : les régions ciblées par les groupes criminels ont tendance à être ciblées par des groupes basés en Russie, tandis que les régions où le pourcentage d’activité géopolitique est le plus élevé ont tendance à voir un pourcentage plus important d’activités de l’adversaire attribué à des groupes géopolitiques en Chine.

Le cadre Mitre ATT&CK fournit un langage commun pour les groupes adverses, leurs tactiques et leurs techniques. Les défenseurs peuvent utiliser ce cadre pour déterminer si leurs défenses sont correctement adaptées à leurs adversaires. Pour chacune des techniques abordées dans le présent rapport, la présente section fournit des recommandations précises.

Accès initial : liens de spearphishing
Mettez en place des défenses anti-phishing qui vont au-delà de l’e-mail pour garantir que les utilisateurs sont protégés contre les liens de spearphishing, quelle que soit leur provenance. Une solution SWG qui inspecte le trafic DNS, le trafic cloud et le trafic Web à la recherche de preuves de phishing peut empêcher les utilisateurs de visiter les liens de phishing quelle que soit leur origine, en utilisant des signatures et des informations pour se protéger contre les menaces de phishing connues et l’IA pour se protéger contre les menaces inconnues et ciblées. Netskope clients peuvent configurer leur Netskope Next Gen Secure Web Gateway pour se protéger contre le phishing. Remote Browser Isolation technologie (RBI) peut fournir une protection supplémentaire lorsqu’il est nécessaire de visiter des sites Web dans des catégories qui peuvent présenter un risque plus élevé, comme les domaines nouvellement observés et nouvellement enregistrés, le webmail personnel et les médias sociaux.

Accès initial : pièces jointes de harponnage
Bien que les protections contre les liens de spearphishing puissent également aider à protéger contre les utilisateurs qui cliquent sur des liens dans des pièces jointes de spearphishing, une défense plus robuste fournira des protections supplémentaires contre les utilisateurs qui téléchargent des pièces jointes de spearphishing. Étant donné qu’ils peuvent provenir de plusieurs sources, une stratégie efficace consiste à inspecter tous les téléchargements HTTP et HTTPS, y compris tout le trafic Web et cloud, à la recherche de preuves de spearphishing à l’aide de renseignements sur les menaces, de signatures, d’heuristiques et d’IA. Netskope clients peuvent configurer leur Netskope Next Gen Secure Web Gateway à l’aide d’une stratégie de protection contre les menaces qui s’applique aux téléchargements de tous les types de fichiers à partir de toutes les sources. L’inspection des téléchargements de contenu à partir d’applications cloud populaires (comme Microsoft OneDrive) est particulièrement importante pour se protéger contre les adversaires qui abusent de ces applications pour diffuser des logiciels malveillants.

Exécution : lien malveillant et exécution : fichier malveillant
Étant donné que les adversaires utilisent plusieurs canaux pour diffuser des logiciels malveillants, notamment des applications cloud populaires telles que Microsoft OneDrive, une stratégie défensive efficace doit inspecter tout le trafic, y compris le trafic Web et cloud, à la recherche de contenus malveillants. Veuillez vous assurer que les types de fichiers à haut risque, tels que les fichiers exécutables et les archives, sont minutieusement inspectés à l'aide d'une combinaison d'analyses statiques et dynamiques avant d'être téléchargés. Les clients Netskope Advanced Threat Protection peuvent utiliser une politique de prévention Patient Zéro pour suspendre les téléchargements jusqu'à ce qu'ils aient été entièrement inspectés par plusieurs moteurs d'analyse statique et dynamique, y compris ceux qui utilisent l'IA pour détecter les attaques ciblées. Les clients Netskope peuvent configurer leur NG-SWG Netskope avec une politique de protection contre les menaces qui s'applique aux téléchargements de tous les types de fichiers provenant de toutes les sources. Pour réduire davantage la surface d'exposition aux risques, configurez des stratégies afin de bloquer les téléchargements à partir d'applications qui ne sont pas utilisées dans votre organisation, de manière à limiter la surface d'exposition aux risques aux seules applications et instances (professionnelles ou personnelles) qui sont nécessaires. Bloquez les téléchargements de tous les types de fichiers à risque provenant de domaines nouvellement enregistrés, de domaines nouvellement observés et d'autres catégories à risque.

Commande et contrôle : Couche applicative Protocole : Protocoles Web
Une stratégie efficace pour détecter et prévenir le trafic C2 hostile sur les protocoles Web consiste à utiliser un SWG et un IPS pour bloquer les communications vers les infrastructures C2 connues et à identifier les modèles C2 courants. Les clients Netskope Advanced Threat Protection peuvent utiliser les fonctionnalités IPS et UEBA avancées pour identifier le trafic C2 et d'autres signaux indiquant un comportement post-compromission. Le blocage des domaines nouvellement enregistrés, des domaines nouvellement observés et l'alerte en cas de modèles de trafic réseau inhabituels peuvent également réduire la surface d'exposition aux risques et permettre une détection précoce. La sécurité DNS et le pare-feu cloud peuvent également être utilisés pour protéger contre le trafic C2 non HTTP/HTTPS.

Exfiltration : Exfiltration sur le canal C2
Les mêmes mesures de protection visant à détecter et à empêcher le trafic C2 hostile peuvent également être efficaces contre l'exfiltration de données via le même canal C2 ou tout autre protocole Web. Netskope Les clients utilisant DLP (Prévention des pertes de données) peuvent configurer des politiques qui limitent les emplacements où les données peuvent être téléchargées, restreignant ainsi efficacement les canaux par lesquels l'attaquant peut exfiltrer des données. Les clients Netskope qui utilisent Advanced UEBA bénéficient de protections supplémentaires contre les C2, notamment l'identification des anomalies de transfert de données, telles que les pics de téléchargements vers des emplacements inhabituels et le transfert de contenu crypté ou codé (une technique couramment utilisée par les adversaires).

En résumé, une évaluation du trafic inspecté par rapport au trafic contourné est essentielle pour vos défenses afin de protéger les utilisateurs, les données, les applications et l’infrastructure contre ces adversaires. Sachant que vous inspectez tout le trafic possible, l’étape suivante consiste à aligner les défenses sur les six techniques mentionnées dans ce rapport. Certaines défenses s’appuient sur des signatures et des modèles, tandis que les innovations en matière d’IA/ML (par exemple, les algorithmes, les extracteurs de fonctionnalités et la détection d’anomalies) peuvent être utilisées pour se protéger contre les menaces inconnues ou zero-day. Une ou deux fois par an, évaluez la façon dont les adversaires s’adaptent pour échapper aux défenses actuelles et examinez les nouvelles défenses disponibles pour protéger vos utilisateurs, vos données, vos applications et votre infrastructure.