Netskope est à nouveau reconnu comme leader dans le Magic Quadrant de Gartner®™ pour les plates-formes SASE. Obtenir le rapport

fermer
loupe
Commencez
loupe
signe chevron
Support Langue
fermer
Le réseau de demain
Le réseau de demain
Planifiez votre chemin vers un réseau plus rapide, plus sûr et plus résilient, conçu pour les applications et les utilisateurs que vous prenez en charge.
signe chevron Obtenir le livre blanc
Essayez Netskope
Mettez la main à la pâte avec la plateforme Netskope
C'est l'occasion de découvrir la plateforme Netskope One single-cloud de première main. Inscrivez-vous à des laboratoires pratiques à votre rythme, rejoignez-nous pour des démonstrations mensuelles de produits en direct, faites un essai gratuit de Netskope Private Access ou participez à des ateliers dirigés par un instructeur.
signe chevron Essayez Netskope
Un leader sur SSE. Désormais leader en matière de SASE à fournisseur unique.
Netskope est reconnu comme le leader le plus avancé dans sa vision pour les plateformes SSE et SASE.
2X est un leader dans le Magic Quadrant de Gartner® pour les plateformes SASE
Une plateforme unifiée conçue pour votre parcours
signe chevron Télécharger le rapport
Sécuriser l’IA générative pour les nuls
Sécuriser l’IA générative pour les nuls
Découvrez comment votre organisation peut concilier le potentiel d'innovation de l'IA générative avec des pratiques robustes en matière de sécurité des données.
signe chevron Obtenir l'EBook
Prévention des pertes de données (DLP) pour les Nuls eBook
La prévention moderne des pertes de données (DLP) pour les Nuls
Obtenez des conseils et des astuces pour passer à un système de prévention des pertes de données (DLP) dans le nuage.
signe chevron Obtenir l'EBook
Réseau SD-WAN moderne avec SASE pour les nuls
SD-WAN moderne pour les nuls en SASE
Cessez de rattraper votre retard en matière d'architecture de réseau
signe chevron Obtenir l'EBook
Identification des risques
Advanced Analytics transforme la façon dont les équipes chargées des opérations de sécurité utilisent les données pour mettre en œuvre de meilleures politiques. Avec Advanced Analytics, vous pouvez identifier les tendances, cibler les domaines préoccupants et utiliser les données pour prendre des mesures.
signe chevron Regarder la démo
Les 6 cas d'utilisation les plus convaincants pour le remplacement complet des VPN obsolètes
Les 6 cas d'utilisation les plus convaincants pour le remplacement complet des VPN obsolètes
Netskope One Private Access est la seule solution qui vous permet d'abandonner définitivement votre VPN.
signe chevron Obtenir l'EBook
Colgate-Palmolive protège sa "propriété intellectuelle" "grâce à une protection des données intelligente et adaptable
Colgate-Palmolive protège sa "propriété intellectuelle" "grâce à une protection des données intelligente et adaptable
signe chevron Lire le cas client
Netskope GovCloud
Netskope obtient l'autorisation FedRAMP High Authorization
Choisissez Netskope GovCloud pour accélérer la transformation de votre agence.
signe chevron En savoir plus sur Netskope GovCloud
Support technique de Netskope
Support technique de Netskope
Nos ingénieurs d'assistance qualifiés sont répartis dans le monde entier et possèdent des expériences diverses dans les domaines de la sécurité du cloud, des réseaux, de la virtualisation, de la diffusion de contenu et du développement de logiciels, afin de garantir une assistance technique rapide et de qualité
signe chevron Soutien technique
Vidéo Netskope
Formation Netskope
Grâce à Netskope, devenez un expert de la sécurité du cloud. Nous sommes là pour vous aider à achever votre transformation digitale en toute sécurité, pour que vous puissiez profiter pleinement de vos applications cloud, Web et privées.
signe chevron Découvrez la formation Netskope
«  »
Générez une véritable valeur commerciale avec Netskope One SSE
Netskope One Security Service Edge (SSE) permet aux entreprises d'obtenir une valeur commerciale considérable en consolidant les services de sécurité critiques au sein de la plate-forme Netskope One.
signe chevron Obtenir l'étude
Faisons de grandes choses ensemble
«  »
La stratégie de commercialisation de Netskope privilégie ses partenaires, ce qui leur permet de maximiser leur croissance et leur rentabilité, tout en transformant la sécurité des entreprises.
signe chevron Partenaires Netskope
Rapport Cloud et menaces

Principales tactiques et techniques adverses

Cette édition du Netskope Cloud and Threat Report se concentre sur les tactiques et techniques les plus couramment utilisées contre les clients de Netskope au cours des neuf premiers mois de 2023. Au niveau mondial, les clients de Netskope ont été le plus souvent ciblés par des adversaires criminels, Wizard Spider ciblant plus d'organisations que n'importe quel autre groupe. Nous complétons ce rapport en examinant quels sont les adversaires les plus actifs dans plusieurs secteurs d'activité et régions géographiques.

Partager via Étiquettes
Rapports sur l'informatique en nuage et les menaces Next Gen Secure Web Gateway (SWG) Protection contre les menaces
Changer de langue
DeutschEnglishEspañolFrançaisPortuguês日本語

Aller à une section

Points clés du rapport Résumé Meilleures techniques
Accès initial : harponnage Exécution : Exécution par l’utilisateur Commandement, contrôle et exfiltration
Analyse de l’adversaire
Principaux groupes d’adversaires Différences géographiques et sectorielles Recommandations
À propos de ce rapport Netskope Threat Labs
17 minutes de lecture

Points clés du rapport lien lien

  • Les liens et les pièces jointes de spearphishing sont les principales techniques d’accès initial suivies par Netskope Threat Labs cette année, les adversaires réussissant à inciter les victimes à ouvrir les liens et les pièces jointes par e-mail, voix, texte, réseaux sociaux et moteurs de recherche.
  • L’exécution par l’utilisateur est la technique d’exécution la plus populaire, les adversaires ayant le taux de réussite le plus élevé pour inciter leurs victimes à télécharger des chevaux de Troie lorsqu’ils les hébergent à l’aide d’applications cloud populaires.
  • Pour le contrôle et la commande et l’exfiltration de données, les adversaires privilégient fortement l’utilisation de HTTP et HTTPS pour passer inaperçus et se fondre dans le trafic inoffensif.
  • La majorité de l’activité des adversaires sur la plateforme Netskope Security Cloud provient d’adversaires criminels, la plupart de l’activité étant attribuable à Wizard Spider, un groupe russe responsable de la création du logiciel malveillant TrickBot.
  • Les secteurs verticaux des services financiers et de la santé ont le pourcentage le plus élevé d’activité attribuable à des groupes adversaires géopolitiques sur la plateforme Netskope Security Cloud.

 

Résumé lien lien

La cybersécurité est une bataille entre deux adversaires : les défenseurs qui cherchent à protéger leurs utilisateurs, leurs données et leurs systèmes, et les adversaires, qui cherchent à leur nuire et à les exploiter. L’outil le plus précieux du défenseur est sa connaissance de l’adversaire. En tant que défenseurs, nous cherchons à comprendre les motivations et les objectifs de l’adversaire, ainsi que les tactiques et les techniques qu’il utilise pour atteindre ces objectifs. Nous concevons ensuite nos systèmes pour qu’ils soient résilients à ces tactiques et techniques et mettons en œuvre des contrôles pour détecter l’activité de l’adversaire.

Cette édition du rapport Netskope sur le cloud et les menaces se concentre sur les tactiques et techniques les plus couramment utilisées contre les clients Netskope au cours des neuf premiers mois de 2023. Afin de faciliter la communication et la compréhension, nous présentons ce rapport selon le cadre MITRE ATT&CK. Le cadre fournit une classification complète des tactiques et techniques utilisées par les adversaires, ainsi qu'un regroupement et une dénomination de ces derniers.

À l'échelle mondiale, les clients de Netskope ont été principalement ciblés par des adversaires criminels, Wizard Spider ayant visé plus d'organisations que tout autre groupe. Les logiciels de vol d'informations et les ransomwares sont restés des outils populaires utilisés par les adversaires motivés par des gains financiers. Les adversaires motivés par des raisons géopolitiques étaient moins courants. Leurs outils les plus populaires étaient les chevaux de Troie d'accès à distance qui créent des portes dérobées dans les organisations qu'ils ciblent.

La géographie et le secteur d’activité sont des facteurs importants pour déterminer quels adversaires sont susceptibles de cibler une organisation. Les adversaires géopolitiques ont tendance à cibler des régions et des secteurs spécifiques pour leur propriété intellectuelle, tandis que les adversaires motivés par l’argent ont tendance à développer des manuels optimisés pour cibler des organisations similaires, où ils peuvent recycler des tactiques et des techniques avec une personnalisation minimale. Nous complétons ce rapport en explorant quels sont les adversaires les plus actifs dans plusieurs secteurs verticaux et régions géographiques.

 

Meilleures techniques lien lien

Cette section explore les tactiques et techniques les plus courantes utilisées par les adversaires pour accéder aux systèmes de leurs cibles, exécuter du code malveillant et communiquer avec des systèmes compromis. Nous mettons en évidence quatre tactiques pour lesquelles la plateforme Netskope Security Cloud offre une visibilité, et nous mettons en évidence les six techniques les plus couramment observées dans le cadre de ces tactiques :

  • Accès initial: techniques utilisées par les adversaires pour pénétrer dans les systèmes de leurs cibles.
  • Exécution: techniques utilisées par les adversaires pour exécuter du code malveillant.
  • Commande et contrôle: techniques utilisées par les adversaires pour communiquer avec des systèmes compromis.
  • Exfiltration: Techniques utilisées par les adversaires pour voler des informations à leurs victimes.

 

Accès initial : harponnage

Lorsque l'accès à distance à un système est verrouillé et que le système est protégé contre les failles de sécurité connues, le moyen le plus simple pour un adversaire d'accéder à ce système est souvent de passer par ses utilisateurs. C'est pourquoi les techniques d'ingénierie sociale continuent d'être un élément central de la stratégie des adversaires. Par exemple, lors du piratage de MGM en septembre 2023, l'accès initial a été obtenu par vishing (hameçonnage vocal) en appelant le service d'assistance de la victime. Parmi les différentes techniques de phishing, les liens de spearphishing et les pièces jointes de spearphishing sont deux des plus répandues sur l'Netskope Security Cloud Platform e en 2023.

L’analyse des liens d’hameçonnage sur lesquels les victimes ont cliqué peut fournir des informations sur les endroits où les adversaires ont le plus de succès en ciblant leurs victimes. De loin, les utilisateurs cliquaient le plus souvent sur les liens de phishing qui ciblaient les applications cloud, un tiers de ces liens ciblant les produits Microsoft. Ce n’est pas surprenant, car Microsoft OneDrive est de loin l’application cloud la plus populaire dans l’entreprise, aux côtés d’autres produits Microsoft, notamment SharePoint, Outlook et Teams.

Principales cibles de phishing en fonction des liens cliqués

Principales cibles du phishing dans le cloud en fonction des liens cliqués

Comment les adversaires incitent-ils leurs victimes à cliquer sur des liens de phishing ? Bien que l’e-mail continue d’être un canal très courant, le taux de réussite y est assez faible pour de multiples raisons. Tout d’abord, les organisations ont tendance à utiliser des filtres anti-hameçonnage sophistiqués pour empêcher les e-mails d’hameçonnage d’atteindre leurs victimes. Deuxièmement, les organisations forment généralement leurs utilisateurs à reconnaître les e-mails de phishing. En réponse, les attaquants utilisent diverses autres tactiques pour atteindre leurs victimes :

Optimisation des moteurs de recherche (SEO) – Les adversaires créent des pages Web qui utilisent des techniques de référencement pour s’assurer qu’elles sont répertoriées sur les moteurs de recherche populaires, notamment Bing et Google. Les pages sont généralement conçues autour de vides de données (des ensembles spécifiques de mots-clés qui n’ont pas beaucoup de résultats) et ciblent des groupes démographiques spécifiques.

Médias sociaux et applications de messagerie – Les adversaires abusent des applications de médias sociaux populaires (comme Facebook) et des applications de messagerie (comme WhatsApp) pour atteindre leurs victimes en utilisant une variété d’appâts différents.

Messages vocaux et textuels – Les périphériques mobiles ne disposent souvent pas des contrôles de sécurité présents sur les périphériques plus traditionnels comme les ordinateurs portables, ce qui en fait une cible populaire pour les attaques de phishing. Les appels ou les textos sont de plus en plus utilisés pour diffuser des liens d’hameçonnage.

Comptes de messagerie personnels – Les comptes de messagerie personnels ont tendance à avoir des contrôles anti-hameçonnage moins stricts, de sorte que davantage d’e-mails de phishing peuvent atteindre leurs victimes. Étant donné que les comptes de messagerie personnels sont souvent utilisés sur les mêmes systèmes que ceux utilisés par les victimes pour le travail, le phishing pour accéder aux ressources sensibles gérées par l’organisation via des comptes de messagerie personnels peut être une stratégie très efficace pour les adversaires.

Les pièces jointes de spearphishing sont un type particulier de phishing où l’adversaire utilise des pièces jointes à la fois pour créer un air de légitimité (ces pièces jointes ressemblent généralement à des factures professionnelles) et pour contourner les contrôles de sécurité qui n’inspectent pas les pièces jointes. Bien qu’il existe une certaine variété dans les types de fichiers utilisés par les adversaires pour les pièces jointes d’hameçonnage (feuilles de calcul Microsoft Excel, fichiers ZIP, etc.), la plupart de ces types de fichiers sont rares. 90 % des pièces jointes d’hameçonnage sont des PDF conçus pour inciter les victimes à cliquer sur un lien d’hameçonnage.

Principaux types de pièces jointes d’hameçonnage

À l’instar des liens de phishing, les adversaires diffusent les pièces jointes de phishing sur plusieurs canaux, y compris les e-mails personnels. Le nombre de pièces jointes d’hameçonnage téléchargées par les victimes a plus que triplé par rapport à son niveau de référence en août, alors que les adversaires commençaient à avoir plus de succès en envoyant leurs appâts sur les comptes de messagerie personnels Microsoft Live de leurs victimes. Au cours des neuf derniers mois, il y a eu 16 fois plus d’utilisateurs qui ont téléchargé une pièce jointe d’hameçonnage à partir d’une application de messagerie Web personnelle que d’utilisateurs qui ont téléchargé des pièces jointes d’hameçonnage à partir d’applications de messagerie Web d’organisation gérée.

Volume de téléchargement des pièces jointes d’hameçonnage au fil du temps

 

Exécution : Exécution par l’utilisateur

L'ingénierie sociale ne se limite pas à l'accès initial. Les adversaires dépendent également des utilisateurs pour exécuter des charges utiles malveillantes qui fournissent un accès distant clandestin, volent des informations sensibles ou déploient des ransomwares. Pour convaincre un utilisateur cible d'exécuter une charge utile malveillante, il est souvent nécessaire que l'utilisateur clique sur un lien malveillant ou télécharge et exécute un fichier malveillant. Les adversaires tentent constamment de nouvelles méthodes pour inciter les victimes à agir de la sorte, et Netskope Threat Labs suit ces évolutions dans ses rapports mensuels. Deux thèmes généraux ont dominé l'année 2023. Tout d'abord, les adversaires parviennent plus facilement à convaincre leurs victimes de télécharger des fichiers malveillants lorsque ceux-ci sont distribués via des applications cloud. % Depuis le début de l'année, en moyenne 55 % des logiciels malveillants que les utilisateurs ont tenté de télécharger ont été diffusés via des applications cloud.

Diffusion de logiciels malveillants, cloud ou Web

Deuxièmement, les applications où le plus grand nombre de téléchargements de logiciels malveillants ont été tentés font également partie des applications cloud les plus populaires utilisées dans l’entreprise. Microsoft OneDrive, l’application cloud la plus populaire dans l’entreprise, a pris la première place avec plus d’un quart de tous les téléchargements de logiciels malveillants dans le cloud. Au total, les adversaires ont réussi à inciter les utilisateurs à télécharger des logiciels malveillants pour les exécuter à partir de 477 applications cloud distinctes jusqu’à présent cette année.

Meilleures applications pour les téléchargements de logiciels malveillants

 

Commandement, contrôle et exfiltration

Une fois qu'un adversaire a réussi à exécuter une charge utile malveillante dans l'environnement d'une victime, il doit souvent établir un canal de communication avec le système compromis. C'est là qu'interviennent les fonctions de commande et de contrôle. La technique de commande et de contrôle la plus couramment utilisée par les adversaires en 2023 était le protocole de couche application : protocoles Web, souvent associé à l'exfiltration via le canal C2. Les adversaires disposent de multiples options pour créer des canaux de commande et de contrôle, notamment en utilisant un cadre C2 tel que CobaltStrike, en exploitant une application cloud populaire ou en créant leur propre implémentation personnalisée.

La furtivité est une caractéristique importante d’un canal de commande et de contrôle. Non seulement l’adversaire doit communiquer avec le système compromis, mais il doit également éviter d’être détecté. Pour cette raison, les adversaires utilisent de plus en plus HTTP et HTTPS sur les ports 80 et 443 comme principaux canaux de communication C2. Il est fort probable que le trafic HTTP et HTTPS soit autorisé à partir d’un système infecté et se fondra dans l’abondance de trafic HTTP et HTTPS déjà présent sur le réseau. Comparez cette approche avec les logiciels malveillants qui communiquent via des ports ou des protocoles rarement utilisés, tels que IRC ou FTP. Une telle communication serait relativement facile à détecter et à bloquer, même avec un pare-feu de couche 3 et surtout avec un pare-feu de couche 7. Sur la base d’une analyse de dizaines de milliers d’échantillons de logiciels malveillants détectés en 2023, HTTP (80) et HTTPS (443) étaient de loin les protocoles C2 et d’exfiltration de données préférés, utilisés par plus des deux tiers des échantillons de logiciels malveillants. Le protocole le plus populaire était le DNS, suivi d’une variété d’autres ports et protocoles rarement utilisés.

Principaux ports de communication contre les logiciels malveillants

 

Analyse de l’adversaire lien lien

Netskope Threat Labs suit les adversaires qui ciblent activement les clients de Netskope afin de mieux comprendre leurs motivations, leurs tactiques et leurs techniques. Nous exploitons ensuite ces informations pour aider nos clients à défendre leurs systèmes contre ces adversaires. Les adversaires suivis par Netskope Threat Labs se répartissent généralement en deux catégories, en fonction de leurs motivations.

Criminel
L'objectif principal des groupes criminels adversaires est le gain financier, et leurs outils comprennent généralement des logiciels de vol d'informations et des ransomwares. L'extorsion est une activité extrêmement lucrative pour les cybercriminels depuis plusieurs années, avec environ 457 millions de dollars de rançons versées en 2022. La plupart des adversaires criminels ont diversifié leurs opérations afin d'utiliser à la fois des ransomwares et des infostealers pour augmenter les chances que la victime paie. Si le fait de crypter leurs systèmes à l'aide d'un ransomware n'était pas suffisant pour les convaincre de payer, peut-être que la divulgation publique d'informations sensibles volées à l'organisation pourrait les aider. Bien que nous nous efforcions de classer chaque groupe criminel en fonction du pays dans lequel il opère, de nombreux groupes ont une activité transnationale. De plus, beaucoup fonctionnent désormais selon un modèle d'affiliation, ce qui rend leurs activités encore plus dispersées. Par conséquent, nous associons généralement un groupe au pays ou à la région d'où proviennent ses principaux membres.

Géopolitique
Les groupes adversaires géopolitiques sont motivés par des questions géopolitiques. Il s'agit généralement d'États-nations ou de leurs mandataires, et leurs activités reflètent souvent des conflits politiques, économiques, militaires ou sociaux plus larges. Par exemple, des groupes adversaires russes ont lancé des cyberattaques contre l'Ukraine qui ont coïncidé avec leur invasion de ce pays. Les groupes géopolitiques mènent généralement des cyberopérations contre d'autres États-nations, et ces opérations sont devenues un élément essentiel des relations internationales modernes. Les frontières entre adversaires géopolitiques et criminels sont parfois floues, certains groupes géopolitiques se livrant également à des activités motivées par l'appât du gain. Par exemple, le régime nord-coréen actuel finance le développement de son programme de missiles par le biais de la cybercriminalité. Les cyberopérations spécifiques menées par les adversaires géopolitiques varient, notamment le cyberespionnage contre des organisations gouvernementales et non gouvernementales et le sabotage d'infrastructures critiques afin de déstabiliser un adversaire. Les adversaires géopolitiques se livrent également à une guerre de l'information, diffusant de la propagande, manipulant l'opinion publique et influençant les élections populaires.

Il peut être difficile d’attribuer une activité à un groupe d’adversaires spécifique. Les adversaires tentent de cacher leur véritable identité ou même de lancer intentionnellement des opérations sous fausse bannière dans lesquelles ils essaient de faire croire que leurs attaques proviennent d’un autre groupe. Plusieurs groupes utilisent souvent les mêmes tactiques et techniques, certains allant jusqu’à utiliser exactement le même outillage ou même à partager l’infrastructure. Même la définition de groupes adversaires peut s’avérer difficile, à mesure que les groupes évoluent ou que les membres passent d’un groupe à l’autre. Pour ces raisons, les attributions de l’adversaire sont floues et susceptibles de changer et d’évoluer au fur et à mesure que de nouvelles informations sont mises en lumière. Dans le reste de ce rapport, nous présentons des statistiques sur les activités des adversaires observées sur la plate-forme Netskope Security Cloud et les groupes les plus susceptibles d’être responsables de ces activités.

 

Principaux groupes d’adversaires

Le principal groupe d'adversaires ciblant les utilisateurs de la plateforme Netskope Security Cloud était Wizard Spider (alias UNC1878, TEMP.MixMaster, Grim Spider), un adversaire criminel basé en Russie, connu pour avoir créé le logiciel malveillant TrickBot. Le logiciel malveillant TrickBot a été initialement conçu comme un cheval de Troie bancaire, mais il a depuis évolué pour devenir une plateforme malveillante complexe comprenant des composants de vol d'informations, de déplacement latéral, de commande et de contrôle, ainsi que d'exfiltration de données. Comme c'est souvent le cas avec les groupes criminels adversaires, Wizard Spider a ciblé un large éventail d'organisations victimes à l'aide de ransomware. Parmi les tactiques et techniques utilisées par Wizard Spider, nous avons identifié six techniques mises en avant dans ce rapport, qui concernent le spearphishing, l'exécution par l'utilisateur et le contrôle et la commande.

Parmi les autres groupes criminels actifs qui s'appuient fortement sur les ransomwares, on peut citer TA505 (alias Hive0065), responsable du ransomware Clop, et FIN7 (alias GOLD NIAGARA, ITG14, Carbon Spider), qui a utilisé le ransomware REvil et créé le ransomware Darkside. Alors que les principaux groupes criminels ciblant les clients de Netskope sont russes et ukrainiens, les principaux groupes géopolitiques sont chinois, menés par memupass (alias Cicada, POTASSIUM, Stone Panda, APT10, Red Apollo, CVNX, HOGFISH) et Aquatic Panda, qui ont tous deux ciblé divers types d'organisations à travers le monde.

 

Différences géographiques et sectorielles

La géographie et le secteur d’activité sont des facteurs importants pour déterminer quels adversaires sont susceptibles de cibler une organisation. Les adversaires géopolitiques ont tendance à cibler des régions et des secteurs spécifiques pour leur propriété intellectuelle, tandis que les adversaires motivés par l’argent ont tendance à développer des manuels optimisés pour cibler des organisations similaires, où ils peuvent recycler des techniques avec une personnalisation minimale. Par secteur vertical, il y en a deux qui se démarquent : les services financiers et les soins de santé. Dans ces deux secteurs verticaux, la répartition entre les activités criminelles et géopolitiques de l’adversaire est de près de 50/50. Pendant ce temps, dans les autres secteurs verticaux, la répartition est plus proche de 80/20. Cela indique que les organisations du secteur des services financiers et de la santé sont plus souvent ciblées par des adversaires géopolitiques.

Motivations de l’adversaire par secteur cible

Ces différences sont également apparentes lorsque l’on compare les sources probables de l’activité adverse, dans chaque industrie. Étant donné qu’un grand nombre des adversaires criminels que nous suivons se trouvent en Russie, les industries ayant le pourcentage le plus élevé d’activités criminelles ont également les pourcentages d’activités les plus élevés attribuables à des groupes basés en Russie. Pendant ce temps, les services financiers et les soins de santé (les secteurs ciblés par les plus d’adversaires géopolitiques) ont un mélange plus équilibré d’adversaires qui les ciblent en provenance de la Russie, du Moyen-Orient et de la Chine. Les autres lieux d’adversaire qui ne sont pas indiqués dans le graphique ci-dessous sont la Corée du Nord, le Pakistan, l’Inde, le Vietnam et le Nigeria.

Activité de l’adversaire de l’industrie

Selon les régions, les adversaires les plus actifs diffèrent également de manière significative, avec deux régions qui se démarquent : l’Australie et l’Amérique du Nord. Ces deux régions se distinguent par le pourcentage le plus élevé d’activités adverses attribuables à des groupes criminels. Cela indique que les utilisateurs aux États-Unis et en Australie sont plus susceptibles d’être ciblés par des adversaires criminels, alors que dans d’autres parties du monde, la répartition de l’activité géopolitique et criminelle des adversaires est plus proche de 50/50.

Motivations de l’adversaire par région cible

La répartition de l’activité des adversaires régionaux suit un schéma similaire à celui des données de l’industrie : les régions ciblées par les groupes criminels ont tendance à être ciblées par des groupes basés en Russie, tandis que les régions où le pourcentage d’activité géopolitique est le plus élevé ont tendance à voir un pourcentage plus important d’activités de l’adversaire attribué à des groupes géopolitiques en Chine.

Activité de l’adversaire régional

 

Recommandations

Le cadre Mitre ATT&CK fournit un langage commun pour les groupes adverses, leurs tactiques et leurs techniques. Les défenseurs peuvent utiliser ce cadre pour déterminer si leurs défenses sont correctement adaptées à leurs adversaires. Pour chacune des techniques abordées dans le présent rapport, la présente section fournit des recommandations précises.

Accès initial : liens de spearphishing
Mettez en place des défenses anti-phishing qui vont au-delà de l’e-mail pour garantir que les utilisateurs sont protégés contre les liens de spearphishing, quelle que soit leur provenance. Une solution SWG qui inspecte le trafic DNS, le trafic cloud et le trafic Web à la recherche de preuves de phishing peut empêcher les utilisateurs de visiter les liens de phishing quelle que soit leur origine, en utilisant des signatures et des informations pour se protéger contre les menaces de phishing connues et l’IA pour se protéger contre les menaces inconnues et ciblées. Netskope clients peuvent configurer leur Netskope Next Gen Secure Web Gateway pour se protéger contre le phishing. Remote Browser Isolation technologie (RBI) peut fournir une protection supplémentaire lorsqu’il est nécessaire de visiter des sites Web dans des catégories qui peuvent présenter un risque plus élevé, comme les domaines nouvellement observés et nouvellement enregistrés, le webmail personnel et les médias sociaux.

Accès initial : pièces jointes de harponnage
Bien que les protections contre les liens de spearphishing puissent également aider à protéger contre les utilisateurs qui cliquent sur des liens dans des pièces jointes de spearphishing, une défense plus robuste fournira des protections supplémentaires contre les utilisateurs qui téléchargent des pièces jointes de spearphishing. Étant donné qu’ils peuvent provenir de plusieurs sources, une stratégie efficace consiste à inspecter tous les téléchargements HTTP et HTTPS, y compris tout le trafic Web et cloud, à la recherche de preuves de spearphishing à l’aide de renseignements sur les menaces, de signatures, d’heuristiques et d’IA. Netskope clients peuvent configurer leur Netskope Next Gen Secure Web Gateway à l’aide d’une stratégie de protection contre les menaces qui s’applique aux téléchargements de tous les types de fichiers à partir de toutes les sources. L’inspection des téléchargements de contenu à partir d’applications cloud populaires (comme Microsoft OneDrive) est particulièrement importante pour se protéger contre les adversaires qui abusent de ces applications pour diffuser des logiciels malveillants.

Exécution : lien malveillant et exécution : fichier malveillant
Étant donné que les adversaires utilisent plusieurs canaux pour diffuser des logiciels malveillants, notamment des applications cloud populaires telles que Microsoft OneDrive, une stratégie défensive efficace doit inspecter tout le trafic, y compris le trafic Web et cloud, à la recherche de contenus malveillants. Veuillez vous assurer que les types de fichiers à haut risque, tels que les fichiers exécutables et les archives, sont minutieusement inspectés à l'aide d'une combinaison d'analyses statiques et dynamiques avant d'être téléchargés. Les clients Netskope Advanced Threat Protection peuvent utiliser une politique de prévention Patient Zéro pour suspendre les téléchargements jusqu'à ce qu'ils aient été entièrement inspectés par plusieurs moteurs d'analyse statique et dynamique, y compris ceux qui utilisent l'IA pour détecter les attaques ciblées. Les clients Netskope peuvent configurer leur NG-SWG Netskope avec une politique de protection contre les menaces qui s'applique aux téléchargements de tous les types de fichiers provenant de toutes les sources. Pour réduire davantage la surface d'exposition aux risques, configurez des stratégies afin de bloquer les téléchargements à partir d'applications qui ne sont pas utilisées dans votre organisation, de manière à limiter la surface d'exposition aux risques aux seules applications et instances (professionnelles ou personnelles) qui sont nécessaires. Bloquez les téléchargements de tous les types de fichiers à risque provenant de domaines nouvellement enregistrés, de domaines nouvellement observés et d'autres catégories à risque.

Commande et contrôle : Couche applicative Protocole : Protocoles Web
Une stratégie efficace pour détecter et prévenir le trafic C2 hostile sur les protocoles Web consiste à utiliser un SWG et un IPS pour bloquer les communications vers les infrastructures C2 connues et à identifier les modèles C2 courants. Les clients Netskope Advanced Threat Protection peuvent utiliser les fonctionnalités IPS et UEBA avancées pour identifier le trafic C2 et d'autres signaux indiquant un comportement post-compromission. Le blocage des domaines nouvellement enregistrés, des domaines nouvellement observés et l'alerte en cas de modèles de trafic réseau inhabituels peuvent également réduire la surface d'exposition aux risques et permettre une détection précoce. La sécurité DNS et le pare-feu cloud peuvent également être utilisés pour protéger contre le trafic C2 non HTTP/HTTPS.

Exfiltration : Exfiltration sur le canal C2
Les mêmes mesures de protection visant à détecter et à empêcher le trafic C2 hostile peuvent également être efficaces contre l'exfiltration de données via le même canal C2 ou tout autre protocole Web. Netskope Les clients utilisant DLP (Prévention des pertes de données) peuvent configurer des politiques qui limitent les emplacements où les données peuvent être téléchargées, restreignant ainsi efficacement les canaux par lesquels l'attaquant peut exfiltrer des données. Les clients Netskope qui utilisent Advanced UEBA bénéficient de protections supplémentaires contre les C2, notamment l'identification des anomalies de transfert de données, telles que les pics de téléchargements vers des emplacements inhabituels et le transfert de contenu crypté ou codé (une technique couramment utilisée par les adversaires).

En résumé, une évaluation du trafic inspecté par rapport au trafic contourné est essentielle pour vos défenses afin de protéger les utilisateurs, les données, les applications et l’infrastructure contre ces adversaires. Sachant que vous inspectez tout le trafic possible, l’étape suivante consiste à aligner les défenses sur les six techniques mentionnées dans ce rapport. Certaines défenses s’appuient sur des signatures et des modèles, tandis que les innovations en matière d’IA/ML (par exemple, les algorithmes, les extracteurs de fonctionnalités et la détection d’anomalies) peuvent être utilisées pour se protéger contre les menaces inconnues ou zero-day. Une ou deux fois par an, évaluez la façon dont les adversaires s’adaptent pour échapper aux défenses actuelles et examinez les nouvelles défenses disponibles pour protéger vos utilisateurs, vos données, vos applications et votre infrastructure.

À propos de ce rapport lien lien

Netskope Threat Labs publie un rapport trimestriel sur le cloud et les menaces pour mettre en évidence un ensemble spécifique de défis en matière de cybersécurité. L’objectif de ce rapport est de fournir des renseignements stratégiques et exploitables sur les menaces actives.

Netskope assure la protection contre les menaces et des données pour des millions d'utilisateurs à travers le monde. Les informations présentées dans ce rapport sont basées sur des données d'utilisation anonymisées collectées par la plateforme Netskope One concernant un sous-ensemble de clients Netskope ayant donné leur autorisation préalable. Ce rapport contient des informations sur les détections signalées par Netskope One Next Generation Secure Web Gateway (SWG), sans tenir compte de l'importance de l'impact de chaque menace individuelle. Par conséquent, les tactiques et techniques mises en évidence dans le rapport se limitent à celles qui sont observables dans le trafic HTTP/HTTPS, et les groupes adverses suivis dans ce rapport se limitent à ceux qui utilisent lesdites techniques. Les statistiques présentées dans ce rapport reflètent à la fois l'activité des adversaires et le comportement des utilisateurs. Par exemple, la section « Accès initial : hameçonnage ciblé » traite des liens de hameçonnage réels sur lesquels les utilisateurs cliquent, et non de l'ensemble des liens de hameçonnage créés par les adversaires. Les statistiques présentées dans ce rapport couvrent la période comprise entre le 1er janvier 2023 et le 23 septembre 2023.

Netskope Threat Labs lien lien

Composé des plus grands chercheurs du secteur des menaces et des logiciels malveillants dans le cloud, Netskope Threat Labs découvre, analyse et conçoit des défenses contre les dernières menaces Web, cloud et données affectant les entreprises. Nos chercheurs interviennent régulièrement et font du bénévolat lors de conférences de haut niveau sur la sécurité, notamment DEF Con, Black Hat et RSA.

Ressources similaires

Résultats