Rapport sur le cloud computing et les menaces : Principales tactiques et techniques adverses

Cette édition du rapport Netskope Cloud and Threat Report se concentre sur les tactiques et les techniques les plus couramment utilisées contre les clients de Netskope au cours des neuf premiers mois de 2023, Wizard Spider ciblant plus d’organisations que tout autre groupe.

Netskope Threat LabsOctobre 2023

Points clés du rapport Résumé Meilleures techniques

Accès initial : harponnage Exécution : Exécution par l’utilisateur Commandement, contrôle et exfiltration

Analyse de l’adversaire

Principaux groupes d’adversaires Différences géographiques et sectorielles Recommandations

À propos de ce rapport Netskope Threat Labs

17 minutes de lecture

Points clés du rapport

Les liens et les pièces jointes de spearphishing sont les principales techniques d’accès initial suivies par Netskope Threat Labs cette année, les adversaires réussissant à inciter les victimes à ouvrir les liens et les pièces jointes par e-mail, voix, texte, réseaux sociaux et moteurs de recherche.
L’exécution par l’utilisateur est la technique d’exécution la plus populaire, les adversaires ayant le taux de réussite le plus élevé pour inciter leurs victimes à télécharger des chevaux de Troie lorsqu’ils les hébergent à l’aide d’applications cloud populaires.
Pour le contrôle et la commande et l’exfiltration de données, les adversaires privilégient fortement l’utilisation de HTTP et HTTPS pour passer inaperçus et se fondre dans le trafic inoffensif.
La majorité de l’activité des adversaires sur la plateforme Netskope Security Cloud provient d’adversaires criminels, la plupart de l’activité étant attribuable à Wizard Spider, un groupe russe responsable de la création du logiciel malveillant TrickBot.
Les secteurs verticaux des services financiers et de la santé ont le pourcentage le plus élevé d’activité attribuable à des groupes adversaires géopolitiques sur la plateforme Netskope Security Cloud.

test answer

Résumé

La cybersécurité est une bataille entre deux adversaires : les défenseurs qui cherchent à protéger leurs utilisateurs, leurs données et leurs systèmes, et les adversaires, qui cherchent à leur nuire et à les exploiter. L’outil le plus précieux du défenseur est sa connaissance de l’adversaire. En tant que défenseurs, nous cherchons à comprendre les motivations et les objectifs de l’adversaire, ainsi que les tactiques et les techniques qu’il utilise pour atteindre ces objectifs. Nous concevons ensuite nos systèmes pour qu’ils soient résilients à ces tactiques et techniques et mettons en œuvre des contrôles pour détecter l’activité de l’adversaire.

Cette édition du rapport Netskope sur le cloud et les menaces se concentre sur les tactiques et techniques les plus couramment utilisées contre les clients de Netskope au cours des neuf premiers mois de 2023. Afin de faciliter une communication et une compréhension plus efficaces, nous présentons ce rapport dans le cadre MITRE ATT&CK . Le cadre fournit une catégorisation complète des tactiques et des techniques de l’adversaire, ainsi que le regroupement et la dénomination des adversaires.

À l’échelle mondiale, les clients de Netskope ont été le plus souvent ciblés par des adversaires criminels, Wizard Spider ciblant plus d’organisations que tout autre groupe. Les voleurs d’informations et les ransomwares sont restés des outils populaires utilisés par des adversaires motivés par l’argent. Les adversaires motivés par la géopolitique étaient moins courants, dont les outils les plus populaires étaient des chevaux de Troie d’accès à distance qui créent des portes dérobées dans les organisations qu’ils ciblent.

sdofjsfojefgejelosij

Meilleures techniques

Cette section explore les tactiques et techniques les plus courantes utilisées par les adversaires pour accéder aux systèmes de leurs cibles, exécuter du code malveillant et communiquer avec des systèmes compromis. Nous mettons en évidence quatre tactiques pour lesquelles la plateforme Netskope Security Cloud offre une visibilité, et nous mettons en évidence les six techniques les plus couramment observées dans le cadre de ces tactiques :

Accès initial Les techniques utilisées par les adversaires pour pénétrer dans les systèmes de leurs cibles.
Exécution Techniques utilisées par les adversaires pour exécuter du code malveillant.
Commandement et contrôle Les techniques utilisées par les adversaires pour communiquer avec les systèmes compromis.
Exfiltration Les techniques utilisées par les adversaires pour voler des informations à leurs victimes.

Accès initial : harponnage

Lorsque l’accès à distance à un système est verrouillé et que le système est corrigé contre les vulnérabilités de sécurité connues, le moyen le plus simple pour un adversaire d’accéder à ce système est souvent par l’intermédiaire de ses utilisateurs. Pour cette raison, les techniques d’ingénierie sociale ont continué d’être un pilier du manuel de jeu de l’adversaire. Par exemple, l’accès initial lors du piratage de MGM en septembre 2023 a été obtenu par hameçonnage vocal (hameçonnage vocal) en appelant le service d’assistance de la victime. Parmi les différentes techniques de phishing , les liens de spearphishing et les pièces jointes de spearphishing sont deux des plus populaires sur le Netskope Security Cloud Platform en 2023.

L’analyse des liens d’hameçonnage sur lesquels les victimes ont cliqué peut fournir des informations sur les endroits où les adversaires ont le plus de succès en ciblant leurs victimes. De loin, les utilisateurs cliquaient le plus souvent sur les liens de phishing qui ciblaient les applications cloud, un tiers de ces liens ciblant les produits Microsoft. Ce n’est pas surprenant, car Microsoft OneDrive est de loin l’application cloud la plus populaire dans l’entreprise, aux côtés d’autres produits Microsoft, notamment SharePoint, Outlook et Teams.

Principales cibles de phishing en fonction des liens cliqués

Principales cibles du phishing dans le cloud en fonction des liens cliqués

Comment les adversaires incitent-ils leurs victimes à cliquer sur des liens de phishing ? Bien que l’e-mail continue d’être un canal très courant, le taux de réussite y est assez faible pour de multiples raisons. Tout d’abord, les organisations ont tendance à utiliser des filtres anti-hameçonnage sophistiqués pour empêcher les e-mails d’hameçonnage d’atteindre leurs victimes. Deuxièmement, les organisations forment généralement leurs utilisateurs à reconnaître les e-mails de phishing. En réponse, les attaquants utilisent diverses autres tactiques pour atteindre leurs victimes :

Optimisation des moteurs de recherche (SEO) – Les adversaires créent des pages Web qui utilisent des techniques de référencement pour s’assurer qu’elles sont répertoriées sur les moteurs de recherche populaires, notamment Bing et Google. Les pages sont généralement conçues autour de vides de données (des ensembles spécifiques de mots-clés qui n’ont pas beaucoup de résultats) et ciblent des groupes démographiques spécifiques.

Médias sociaux et applications de messagerie – Les adversaires abusent des applications de médias sociaux populaires (comme Facebook) et des applications de messagerie (comme WhatsApp) pour atteindre leurs victimes en utilisant une variété d’appâts différents.

Messages vocaux et textuels – Les périphériques mobiles ne disposent souvent pas des contrôles de sécurité présents sur les périphériques plus traditionnels comme les ordinateurs portables, ce qui en fait une cible populaire pour les attaques de phishing. Les appels ou les textos sont de plus en plus utilisés pour diffuser des liens d’hameçonnage.

Comptes de messagerie personnels – Les comptes de messagerie personnels ont tendance à avoir des contrôles anti-hameçonnage moins stricts, de sorte que davantage d’e-mails de phishing peuvent atteindre leurs victimes. Étant donné que les comptes de messagerie personnels sont souvent utilisés sur les mêmes systèmes que ceux utilisés par les victimes pour le travail, le phishing pour accéder aux ressources sensibles gérées par l’organisation via des comptes de messagerie personnels peut être une stratégie très efficace pour les adversaires.

Les pièces jointes de spearphishing sont un type particulier de phishing où l’adversaire utilise des pièces jointes à la fois pour créer un air de légitimité (ces pièces jointes ressemblent généralement à des factures professionnelles) et pour contourner les contrôles de sécurité qui n’inspectent pas les pièces jointes. Bien qu’il existe une certaine variété dans les types de fichiers utilisés par les adversaires pour les pièces jointes d’hameçonnage (feuilles de calcul Microsoft Excel, fichiers ZIP, etc.), la plupart de ces types de fichiers sont rares. 90 % des pièces jointes d’hameçonnage sont des PDF conçus pour inciter les victimes à cliquer sur un lien d’hameçonnage.

Principaux types de pièces jointes d’hameçonnage

À l’instar des liens de phishing, les adversaires diffusent les pièces jointes de phishing sur plusieurs canaux, y compris les e-mails personnels. Le nombre de pièces jointes d’hameçonnage téléchargées par les victimes a plus que triplé par rapport à son niveau de référence en août, alors que les adversaires commençaient à avoir plus de succès en envoyant leurs appâts sur les comptes de messagerie personnels Microsoft Live de leurs victimes. Au cours des neuf derniers mois, il y a eu 16 fois plus d’utilisateurs qui ont téléchargé une pièce jointe d’hameçonnage à partir d’une application de messagerie Web personnelle que d’utilisateurs qui ont téléchargé des pièces jointes d’hameçonnage à partir d’applications de messagerie Web d’organisation gérée.

Volume de téléchargement des pièces jointes d’hameçonnage au fil du temps

Exécution : Exécution par l’utilisateur

L’ingénierie sociale ne se limite pas à l’accès initial. Les adversaires dépendent également des utilisateurs pour exécuter des charges utiles malveillantes qui fournissent un accès à distance clandestin, volent des informations sensibles ou déploient des ransomwares. Pour convaincre un utilisateur cible d’exécuter une charge utile malveillante, il doit souvent cliquer sur un lien malveillant ou télécharger et exécuter un fichier malveillant. Les adversaires essaient constamment de nouvelles façons d’inciter les victimes à le faire, et Netskope Threat Labs suit ces changements dans ses rapports mensuels. Deux grands thèmes ont dominé l’année 2023. Tout d’abord, les adversaires réussissent le mieux à convaincre leurs victimes de télécharger des fichiers malveillants lorsque ces fichiers sont diffusés via des applications cloud. Depuis le début de l’année, en moyenne, 55 % des logiciels malveillants que les utilisateurs ont tenté de télécharger l’ont été via des applications cloud.

Diffusion de logiciels malveillants, cloud ou Web

Deuxièmement, les applications où le plus grand nombre de téléchargements de logiciels malveillants ont été tentés font également partie des applications cloud les plus populaires utilisées dans l’entreprise. Microsoft OneDrive, l’application cloud la plus populaire dans l’entreprise, a pris la première place avec plus d’un quart de tous les téléchargements de logiciels malveillants dans le cloud. Au total, les adversaires ont réussi à inciter les utilisateurs à télécharger des logiciels malveillants pour les exécuter à partir de 477 applications cloud distinctes jusqu’à présent cette année.

Meilleures applications pour les téléchargements de logiciels malveillants

Commandement, contrôle et exfiltration

Une fois qu’un adversaire a réussi à exécuter une charge utile malveillante dans l’environnement d’une victime, il doit souvent établir un canal pour communiquer avec le système compromis, c’est là que la commande et le contrôle entrent en jeu. La technique de commande et de contrôle la plus couramment utilisée par les adversaires en 2023 était le protocole de couche application : protocoles Web, qui était souvent associé à l’exfiltration sur le canal C2. Les adversaires disposent de plusieurs options pour créer des canaux de commande et de contrôle, notamment l’utilisation d’un cadre C2 comme CobaltStrike, l’utilisation abusive d’une application cloud populaire ou la création de leur propre implémentation personnalisée.

La furtivité est une caractéristique importante d’un canal de commande et de contrôle. Non seulement l’adversaire doit communiquer avec le système compromis, mais il doit également éviter d’être détecté. Pour cette raison, les adversaires utilisent de plus en plus HTTP et HTTPS sur les ports 80 et 443 comme principaux canaux de communication C2. Il est fort probable que le trafic HTTP et HTTPS soit autorisé à partir d’un système infecté et se fondra dans l’abondance de trafic HTTP et HTTPS déjà présent sur le réseau. Comparez cette approche avec les logiciels malveillants qui communiquent via des ports ou des protocoles rarement utilisés, tels que IRC ou FTP. Une telle communication serait relativement facile à détecter et à bloquer, même avec un pare-feu de couche 3 et surtout avec un pare-feu de couche 7. Sur la base d’une analyse de dizaines de milliers d’échantillons de logiciels malveillants détectés en 2023, HTTP (80) et HTTPS (443) étaient de loin les protocoles C2 et d’exfiltration de données préférés, utilisés par plus des deux tiers des échantillons de logiciels malveillants. Le protocole le plus populaire était le DNS, suivi d’une variété d’autres ports et protocoles rarement utilisés.

Principaux ports de communication contre les logiciels malveillants

Analyse de l’adversaire

Netskope Threat Labs suit les adversaires qui ciblent activement les clients de Netskope afin de mieux comprendre leurs motivations, leurs tactiques et leurs techniques. Nous exploitons ensuite ces informations pour aider nos clients à défendre leurs systèmes contre ces adversaires. Les adversaires suivis par Netskope Threat Labs se répartissent généralement en deux catégories, en fonction de leurs motivations.

Criminel
L’objectif principal des groupes criminels est le gain financier, et leur ensemble d’outils comprend généralement des voleurs d’informations et des ransomwares. L’extorsion a été une activité extrêmement rentable pour les cybercriminels au cours des dernières années, avec des paiements de rançon estimés à 457 millions de dollars en 2022. La plupart des adversaires criminels ont diversifié leurs opérations pour utiliser à la fois des ransomwares et des voleurs d’informations afin d’augmenter les chances qu’une victime paie. Si le chiffrement de leurs systèmes à l’aide d’un ransomware ne suffisait pas à les convaincre de payer, peut-être que la publication des informations sensibles volées à l’organisation aiderait. Bien que nous tentions d’étiqueter chaque groupe d’adversaires criminels en fonction du pays dans lequel ils opèrent, de nombreux groupes travaillent à l’échelle transnationale. De plus, beaucoup opèrent désormais dans un modèle d’affiliation, ce qui rend leurs opérations encore plus dispersées. Par conséquent, nous associons généralement un groupe au pays ou à la région d’où l’on pense que ses membres principaux se trouvent.

Géopolitique
Les groupes adversaires géopolitiques sont motivés par des questions géopolitiques. Ils sont généralement soit des États-nations, soit leurs mandataires, et leurs activités reflètent généralement des conflits politiques, économiques, militaires ou sociaux plus larges. Par exemple, des groupes adversaires russes ont lancé des cyberattaques contre l’Ukraine qui ont coïncidé avec leur invasion de ce pays. Les groupes géopolitiques s’engagent généralement dans des cyberopérations contre d’autres États-nations, et ces opérations sont devenues un élément essentiel des relations internationales modernes. La frontière entre les adversaires géopolitiques et criminels s’estompe parfois, certains groupes géopolitiques se livrant également à des activités à motivation financière. Par exemple, le régime nord-coréen actuel finance le développement de son programme de missiles par le biais de la cybercriminalité. Les cyberopérations spécifiques entreprises par les adversaires géopolitiques varient, y compris le cyberespionnage contre des organisations gouvernementales et non gouvernementales et le sabotage d’infrastructures essentielles pour déstabiliser un adversaire. Les adversaires géopolitiques se livrent également à la guerre de l’information, à la diffusion de propagande, à la manipulation de l’opinion publique et à l’influence des élections populaires.

Il peut être difficile d’attribuer une activité à un groupe d’adversaires spécifique. Les adversaires tentent de cacher leur véritable identité ou même de lancer intentionnellement des opérations sous fausse bannière dans lesquelles ils essaient de faire croire que leurs attaques proviennent d’un autre groupe. Plusieurs groupes utilisent souvent les mêmes tactiques et techniques, certains allant jusqu’à utiliser exactement le même outillage ou même à partager l’infrastructure. Même la définition de groupes adversaires peut s’avérer difficile, à mesure que les groupes évoluent ou que les membres passent d’un groupe à l’autre. Pour ces raisons, les attributions de l’adversaire sont floues et susceptibles de changer et d’évoluer au fur et à mesure que de nouvelles informations sont mises en lumière. Dans le reste de ce rapport, nous présentons des statistiques sur les activités des adversaires observées sur la plate-forme Netskope Security Cloud et les groupes les plus susceptibles d’être responsables de ces activités.

Principaux groupes d’adversaires

Le principal groupe d’adversaires ciblant les utilisateurs de la plate-forme Netskope Security Cloud était Wizard Spider (alias UNC1878, TEMP. MixMaster, Grim Spider), un adversaire criminel basé en Russie à qui l’on attribue la création du logiciel malveillant TrickBot . Le logiciel malveillant TrickBot a été créé à l’origine comme un cheval de Troie bancaire, mais a depuis évolué pour devenir une plate-forme malveillante complexe contenant des composants de vol d’informations, de mouvement latéral, de commande et de contrôle, et d’exfiltration de données. Comme c’est souvent le cas pour les groupes d’adversaires criminels, Wizard Spider a ciblé une grande variété d’organisations victimes avec des ransomwares. Parmi les tactiques et techniques utilisées par Wizard Spider figurent les six techniques mises en évidence dans ce rapport autour du spearphishing, de l’exécution de l’utilisateur et du commandement et du contrôle.

Parmi les autres groupes criminels actifs qui s’appuient fortement sur les ransomwares, citons TA505 (alias Hive0065), qui est responsable du ransomware Clop , et FIN7 (alias GOLD NIAGARA, ITG14, Carbon Spider), qui a utilisé le ransomware REvil et a créé le ransomware Darkside . Alors que les principaux groupes criminels ciblant les clients de Netskope sont russes et ukrainiens, les principaux groupes adversaires géopolitiques sont chinois, dirigés par memupass (alias Cicada, POTASSIUM, Stone Panda, APT10, Red Apollo, CVNX, HOGFISH) et Aquatic Panda, qui ont tous deux ciblé une variété de types d’organisations dans le monde entier.

Différences géographiques et sectorielles

La géographie et le secteur d’activité sont des facteurs importants pour déterminer quels adversaires sont susceptibles de cibler une organisation. Les adversaires géopolitiques ont tendance à cibler des régions et des secteurs spécifiques pour leur propriété intellectuelle, tandis que les adversaires motivés par l’argent ont tendance à développer des manuels optimisés pour cibler des organisations similaires, où ils peuvent recycler des techniques avec une personnalisation minimale. Par secteur vertical, il y en a deux qui se démarquent : les services financiers et les soins de santé. Dans ces deux secteurs verticaux, la répartition entre les activités criminelles et géopolitiques de l’adversaire est de près de 50/50. Pendant ce temps, dans les autres secteurs verticaux, la répartition est plus proche de 80/20. Cela indique que les organisations du secteur des services financiers et de la santé sont plus souvent ciblées par des adversaires géopolitiques.

Motivations de l’adversaire par secteur cible

Ces différences sont également apparentes lorsque l’on compare les sources probables de l’activité adverse, dans chaque industrie. Étant donné qu’un grand nombre des adversaires criminels que nous suivons se trouvent en Russie, les industries ayant le pourcentage le plus élevé d’activités criminelles ont également les pourcentages d’activités les plus élevés attribuables à des groupes basés en Russie. Pendant ce temps, les services financiers et les soins de santé (les secteurs ciblés par les plus d’adversaires géopolitiques) ont un mélange plus équilibré d’adversaires qui les ciblent en provenance de la Russie, du Moyen-Orient et de la Chine. Les autres lieux d’adversaire qui ne sont pas indiqués dans le graphique ci-dessous sont la Corée du Nord, le Pakistan, l’Inde, le Vietnam et le Nigeria.

Activité de l’adversaire de l’industrie

Selon les régions, les adversaires les plus actifs diffèrent également de manière significative, avec deux régions qui se démarquent : l’Australie et l’Amérique du Nord. Ces deux régions se distinguent par le pourcentage le plus élevé d’activités adverses attribuables à des groupes criminels. Cela indique que les utilisateurs aux États-Unis et en Australie sont plus susceptibles d’être ciblés par des adversaires criminels, alors que dans d’autres parties du monde, la répartition de l’activité géopolitique et criminelle des adversaires est plus proche de 50/50.

Motivations de l’adversaire par région cible

La répartition de l’activité des adversaires régionaux suit un schéma similaire à celui des données de l’industrie : les régions ciblées par les groupes criminels ont tendance à être ciblées par des groupes basés en Russie, tandis que les régions où le pourcentage d’activité géopolitique est le plus élevé ont tendance à voir un pourcentage plus important d’activités de l’adversaire attribué à des groupes géopolitiques en Chine.

Activité de l’adversaire régional

Recommandations

Le cadre Mitre ATT&CK fournit un langage commun pour les groupes adverses, leurs tactiques et leurs techniques. Les défenseurs peuvent utiliser ce cadre pour déterminer si leurs défenses sont correctement adaptées à leurs adversaires. Pour chacune des techniques abordées dans le présent rapport, la présente section fournit des recommandations précises.

Accès initial : liens de spearphishing
Mettez en place des défenses anti-phishing qui vont au-delà de l’e-mail pour garantir que les utilisateurs sont protégés contre les liens de spearphishing, quelle que soit leur provenance. Une solution SWG qui inspecte le trafic DNS, le trafic cloud et le trafic Web à la recherche de preuves de phishing peut empêcher les utilisateurs de visiter les liens de phishing quelle que soit leur origine, en utilisant des signatures et des informations pour se protéger contre les menaces de phishing connues et l’IA pour se protéger contre les menaces inconnues et ciblées. Netskope clients peuvent configurer leur Netskope Next Gen Secure Web Gateway pour se protéger contre le phishing. Remote Browser Isolation technologie (RBI) peut fournir une protection supplémentaire lorsqu’il est nécessaire de visiter des sites Web dans des catégories qui peuvent présenter un risque plus élevé, comme les domaines nouvellement observés et nouvellement enregistrés, le webmail personnel et les médias sociaux.

Accès initial : pièces jointes de harponnage
Bien que les protections contre les liens de spearphishing puissent également aider à protéger contre les utilisateurs qui cliquent sur des liens dans des pièces jointes de spearphishing, une défense plus robuste fournira des protections supplémentaires contre les utilisateurs qui téléchargent des pièces jointes de spearphishing. Étant donné qu’ils peuvent provenir de plusieurs sources, une stratégie efficace consiste à inspecter tous les téléchargements HTTP et HTTPS, y compris tout le trafic Web et cloud, à la recherche de preuves de spearphishing à l’aide de renseignements sur les menaces, de signatures, d’heuristiques et d’IA. Netskope clients peuvent configurer leur Netskope Next Gen Secure Web Gateway à l’aide d’une stratégie de protection contre les menaces qui s’applique aux téléchargements de tous les types de fichiers à partir de toutes les sources. L’inspection des téléchargements de contenu à partir d’applications cloud populaires (comme Microsoft OneDrive) est particulièrement importante pour se protéger contre les adversaires qui abusent de ces applications pour diffuser des logiciels malveillants.

Exécution : Lien malveillant et Exécution : Fichier malveillant
Étant donné que les adversaires utilisent plusieurs canaux pour diffuser des logiciels malveillants, y compris des applications cloud populaires comme Microsoft OneDrive, une stratégie défensive efficace doit inspecter tout le trafic, y compris le Web et le cloud, à la recherche de contenu malveillant. Assurez-vous que les types de fichiers à haut risque, tels que les exécutables et les archives, sont soigneusement inspectés à l’aide d’une combinaison d’analyses statiques et dynamiques avant d’être téléchargés. Les clients de Netskope Advanced Threat Protection peuvent utiliser une politique de prévention du patient zéro pour suspendre les téléchargements jusqu’à ce qu’ils aient été entièrement inspectés par plusieurs moteurs d’analyse statiques et dynamiques, y compris ceux qui utilisent l’IA pour détecter les attaques ciblées. Netskope clients peuvent configurer leur Netskope Next Gen Secure Web Gateway à l’aide d’une stratégie de protection contre les menaces qui s’applique aux téléchargements de tous les types de fichiers à partir de toutes les sources. Pour réduire davantage la surface de risque, configurez des stratégies pour bloquer les téléchargements d’applications qui ne sont pas utilisées dans votre organisation afin de réduire votre surface de risque aux seules applications et instances (entreprise ou personnelle) qui sont nécessaires. Bloquez les téléchargements de tous les types de fichiers à risque à partir de domaines nouvellement enregistrés, de domaines nouvellement observés et d’autres catégories à risque.

Commande et contrôle : Couche applicative Protocole : Protocoles Web
Une stratégie efficace pour détecter et prévenir le trafic C2 de l’adversaire sur les protocoles Web comprend l’utilisation d’un SWG et d’un IPS pour bloquer la communication vers l’infrastructure C2 connue et présenter des modèles C2 communs. Les clients Netskope Advanced Threat Protection peuvent utiliser les fonctionnalités IPS et Advanced UEBA pour identifier le trafic C2 et d’autres signaux de comportement post-compromission. Le blocage des domaines nouvellement enregistrés, des domaines nouvellement observés et l’alerte sur des modèles de trafic réseau inhabituels peuvent également réduire la surface de risque et permettre une détection précoce. La sécurité DNS et le pare-feu cloud peuvent également être utilisés pour se protéger contre le trafic C2 non HTTP/HTTPS.

Exfiltration : Exfiltration sur le canal C2
Les mêmes protections pour détecter et empêcher le trafic C2 de l’adversaire peuvent également être efficaces contre l’exfiltration de données sur le même canal C2 ou tout autre protocole Web. Netskope clients utilisant la DLP (Prévention des pertes de données) peuvent configurer des politiques qui restreignent l’endroit où les données peuvent être téléchargées, limitant ainsi les canaux par lesquels l’attaquant peut exfiltrer des données. Les clients Netskope qui utilisent Advanced UEBA bénéficient de protections supplémentaires contre C2, notamment l’identification des anomalies de transfert de données, y compris les pics de téléchargements vers des emplacements inhabituels et le transfert de contenu chiffré ou codé (une technique courante utilisée par les adversaires).

En résumé, une évaluation du trafic inspecté par rapport au trafic contourné est essentielle pour vos défenses afin de protéger les utilisateurs, les données, les applications et l’infrastructure contre ces adversaires. Sachant que vous inspectez tout le trafic possible, l’étape suivante consiste à aligner les défenses sur les six techniques mentionnées dans ce rapport. Certaines défenses s’appuient sur des signatures et des modèles, tandis que les innovations en matière d’IA/ML (par exemple, les algorithmes, les extracteurs de fonctionnalités et la détection d’anomalies) peuvent être utilisées pour se protéger contre les menaces inconnues ou zero-day. Une ou deux fois par an, évaluez la façon dont les adversaires s’adaptent pour échapper aux défenses actuelles et examinez les nouvelles défenses disponibles pour protéger vos utilisateurs, vos données, vos applications et votre infrastructure.

À propos de ce rapport

Netskope Threat Labs publie un rapport trimestriel sur le cloud et les menaces pour mettre en évidence un ensemble spécifique de défis en matière de cybersécurité. L’objectif de ce rapport est de fournir des renseignements stratégiques et exploitables sur les menaces actives.

Netskope offre une protection contre les menaces et des données à des millions d’utilisateurs dans le monde entier. Les informations présentées dans ce rapport sont basées sur des données d’utilisation anonymisées collectées par la plate-forme Netskope Security Cloud concernant un sous-ensemble de clients Netskope disposant d’une autorisation préalable. Ce rapport contient des informations sur les détections soulevées par la passerelle Web sécurisée de nouvelle génération (SWG) de Netskope, sans tenir compte de l’importance de l’impact de chaque menace individuelle. Par conséquent, les tactiques et techniques mises en évidence dans le rapport sont limitées à celles qui sont observables dans le trafic HTTP/HTTPS, et les groupes d’adversaires qui suivent dans ce rapport sont limités à ceux qui utilisent ces techniques. Les statistiques présentées dans ce rapport reflètent à la fois l’activité de l’adversaire et le comportement des utilisateurs. Par exemple, la section Accès initial : harponnage traite des liens de phishing sur lesquels les utilisateurs cliquent, et non de l’univers de tous les liens de phishing créés par des adversaires. Les statistiques de ce rapport sont basées sur la période allant du 1er janvier 2023 au 23 septembre 2023.

Netskope Threat Labs

Composé des plus grands chercheurs du secteur des menaces et des logiciels malveillants dans le cloud, Netskope Threat Labs découvre, analyse et conçoit des défenses contre les dernières menaces Web, cloud et données affectant les entreprises. Nos chercheurs interviennent régulièrement et font du bénévolat lors de conférences de haut niveau sur la sécurité, notamment DEF Con, Black Hat et RSA.

Rapports sur l'informatique en nuage et les menaces

Le rapport cloud et menaces de Netskope vous fournit des renseignements uniques sur l'adoption des applications cloud, les évolutions du paysage des menaces liées au cloud et les risques qui pèsent sur les données des entreprises.

Parcourir les rapports

Accélérez le développement de votre programme de sécurité avec le leader du SASE.

Commencez