Rapport Netskope Threat Labs : Assurance 2024

Aller à une section

Dans ce rapport Adoption des applications Cloud Applications cloud utilisées à mauvais escient pour diffuser des logiciels malveillants Top Malware Families Recommandations Netskope Threat Labs À propos de ce rapport

Temps de lecture : 5 minutes

Dans ce rapport

Adoption des applications en nuage : Les utilisateurs de l'assurance interagissent régulièrement avec une moyenne de 24 applications en nuage par mois. Les applications Microsoft telles que OneDrive, Teams, SharePoint et Copilot sont très populaires.

Abus d'applications dans le nuage : En assurance, les trois applications les plus utilisées pour diffuser des logiciels malveillants sont GitHub, OneDrive et SharePoint.

Malware & Ransomware : Parmi les principales familles de logiciels malveillants identifiées figurent le cheval de Troie bancaire Grandoreiro et l'AgentTesla Infostealer.

Adoption des applications Cloud

Les applications en nuage sont omniprésentes dans les entreprises, l'utilisateur moyen interagissant avec 24 applications en nuage différentes chaque mois. Les six premières applications montrent clairement la préférence pour les applications Microsoft dans le secteur de l'assurance. Ces applications spécifiques sont non seulement les plus utilisées, mais elles couvrent également une grande variété de fonctionnalités telles que le stockage, le courrier électronique et la messagerie.

Des applications telles que Microsoft Teams, OneDrive et SharePoint sont courantes dans la plupart des secteurs, mais le secteur de l'assurance se distingue par la prédominance des applications Microsoft dans les six premiers rangs.

Le grand nombre d'applications en nuage utilisées, en particulier les combinaisons d'applications d'entreprise et personnelles, souligne l'importance pour les organismes d'assurance de disposer de politiques garantissant la sécurité du traitement des données sensibles.

Applications cloud utilisées à mauvais escient pour diffuser des logiciels malveillants

Comme les adversaires diffusent des logiciels malveillants par de nombreux canaux différents, les organismes d'assurance doivent s'assurer qu'ils disposent de contrôles de sécurité permettant de bloquer les téléchargements de logiciels malveillants à partir des applications les plus populaires. Environ la moitié des téléchargements mondiaux de logiciels malveillants HTTP/HTTPS proviennent d'applications en nuage populaires, l'autre moitié provenant de différents endroits sur le web. Cette section présente les applications qui ont été bloquées par Netskope au cours de l'année écoulée et qui ont généré le plus grand nombre de téléchargements de logiciels malveillants.

Les applications les plus populaires dans le monde figurent également parmi les applications les plus populaires en termes de nombre de téléchargements de logiciels malveillants, ce qui reflète les tactiques des adversaires (les adversaires ont tendance à abuser des applications les plus populaires en raison de leur popularité), le comportement des utilisateurs (les utilisateurs interagissent plus fréquemment avec les applications populaires) et la politique des organisations (les organisations ont tendance à autoriser les applications les plus populaires). Les deux applications les plus téléchargées, GitHub et OneDrive, ont des chiffres très similaires en termes de téléchargements de logiciels malveillants.

Top Malware Families

Cette liste contient les cinq principales familles de logiciels malveillants et de ransomwares détectées par Netskope et ciblant les utilisateurs du secteur de l'assurance au cours des 12 derniers mois :

Backdoor.Zusy (alias TinyBanker) est un cheval de Troie bancaire basé sur le code source de Zeus, qui vise à voler des informations personnelles par injection de code sur des sites Web.
Downloader.Banload est un téléchargeur basé sur Java largement utilisé pour diffuser divers malwares, en particulier des chevaux de Troie bancaires.
Infostealer.AgentTesla est un RAT basé sur .NET avec de nombreuses capacités, telles que le vol des mots de passe des navigateurs, la capture des frappes au clavier, du presse-papiers, etc.
Trojan.Grandoreiro est un cheval de Troie bancaire LATAM dont l'objectif est de voler des informations bancaires sensibles. Il cible généralement le Brésil, le Mexique, l'Espagne et le Pérou.
Phishing.PhishingX est un fichier PDF malveillant utilisé dans le cadre d'une campagne d'hameçonnage pour rediriger les victimes vers une page d'hameçonnage.

Recommandations

Ce rapport met en évidence l'adoption croissante de l'informatique dématérialisée, y compris l'augmentation des données chargées et téléchargées à partir de diverses applications dématérialisées. Elle met également en évidence une tendance croissante des attaquants à abuser de diverses applications en nuage, en particulier des applications d'entreprise populaires, pour diffuser des logiciels malveillants (principalement des chevaux de Troie) à leurs victimes. Netskope Threat Labs recommande aux organisations du secteur de l'assurance de revoir leur dispositif de sécurité afin de s'assurer qu'elles sont correctement protégées contre ces tendances :

Inspectez tous les téléchargements HTTP et HTTPS, y compris tout le trafic Web et cloud, afin d'empêcher les logiciels malveillants de s'infiltrer dans votre réseau. Les clients Netskope peuvent configurer leur Netskope One NG-SWG avec une politique de protection contre les menaces qui s'applique aux téléchargements de toutes les catégories et à tous les types de fichiers.
Assurez-vous que les types de fichiers à haut risque, tels que les exécutables et les archives, sont minutieusement inspectés à l'aide d'une combinaison d'analyses statiques et dynamiques avant d'être téléchargés. Les clients de Netskope Advanced Threat Protection peuvent utiliser une politique de prévention du patient zéro pour bloquer les téléchargements jusqu’à ce qu’ils aient été entièrement inspectés.
Configurez des politiques pour bloquer les téléchargements depuis des applications et des instances qui ne sont pas utilisées dans votre organisation afin de réduire le risque aux seules applications et instances nécessaires à l'activité.
Configurez des stratégies pour bloquer les téléchargements vers des applications et des instances qui ne sont pas utilisées dans votre organisation afin de réduire le risque d’exposition accidentelle ou délibérée des données par des initiés ou d’abus par des attaquants.
Utilisez un système de prévention des intrusions (IPS) capable d'identifier et de bloquer les modèles de trafic malveillants, tels que le trafic de commande et de contrôle associé à des logiciels malveillants populaires. Le blocage de ce type de communication peut éviter de nouveaux dégâts en limitant la capacité de l'attaquant à effectuer des actions supplémentaires.
Utilisez la technologie Remote Browser Isolation (RBI) pour fournir une protection supplémentaire lorsqu’il est nécessaire de visiter des sites Web qui entrent dans des catégories pouvant présenter un risque plus élevé, comme les domaines nouvellement observés et nouvellement enregistrés.

Netskope Threat Labs

Composé des plus grands chercheurs du secteur des menaces et des logiciels malveillants dans le cloud, Netskope Threat Labs découvre, analyse et conçoit des défenses contre les dernières menaces cloud affectant les entreprises. Nos chercheurs interviennent régulièrement et font du bénévolat lors de conférences de haut niveau sur la sécurité, notamment DefCon, BlackHat et RSA.

À propos de ce rapport

Netskope fournit une protection contre les menaces à des millions d'utilisateurs dans le monde entier. Les informations présentées dans ce rapport sont basées sur des données d'utilisation anonymes collectées par la plateforme Netskope One concernant un sous-ensemble de clients de Netskope ayant reçu une autorisation préalable.

Ce rapport contient des informations sur les détections signalées par Netskope One Next Generation Secure Web Gateway (SWG), sans tenir compte de l'importance de l'impact de chaque menace individuelle. Les statistiques présentées dans ce rapport couvrent la période comprise entre le 1er mai 2023 et le 30 avril 2024. Les statistiques reflètent les tactiques des attaquants, le comportement des utilisateurs et la politique de l'organisation.

Rapport Threat Labs : Assurance 2024