chiudere
lente d'ingrandimento
Inizia Ora
lente d'ingrandimento
gallone
Appoggiare Lingua
chiudere
""
Il manuale AI Security
Questo manuale esplora sei sfide fondamentali per la sicurezza che le organizzazioni devono affrontare quando adottano l'intelligenza artificiale, insieme a strategie comprovate e concrete per affrontarle.
gallone Scarica l'eBook
Experience Netskope
Prova direttamente la piattaforma Netskope
Ecco la tua occasione per sperimentare in prima persona la piattaforma single-cloud di Netskope One. Iscriviti a laboratori pratici e a ritmo autonomo, unisciti a noi per dimostrazioni mensili di prodotti dal vivo, fai un test drive gratuito di Netskope Private Access o partecipa a workshop dal vivo guidati da istruttori.
gallone Experience Netskope
Un leader in SSE. Ora è un leader nel settore SASE a singolo fornitore.
Netskope è riconosciuto come Leader Più Lontano in Visione sia per le piattaforme SSE che SASE
2 volte leader nel Quadrante Magico di Gartner® per piattaforme SASE
Una piattaforma unificata costruita per il tuo percorso
gallone Scarica il Report
""
Netskope One AI Security
Le aziende hanno bisogno di un’AI sicura per far crescere il proprio business, ma i controlli e i guardrail non devono richiedere sacrifici in termini di velocità o esperienza d’uso.Netskope ti aiuta a dire di sì a tutti i vantaggi dell'AI.
gallone Scopri Netskope One AI Security
""
Netskope One AI Security
Le aziende hanno bisogno di un’AI sicura per far crescere il proprio business, ma i controlli e i guardrail non devono richiedere sacrifici in termini di velocità o esperienza d’uso.Netskope ti aiuta a dire di sì a tutti i vantaggi dell'AI.
gallone Scopri Netskope One AI Security
eBook sulla Modern Data Loss Prevention (DLP) for Dummies
Modern Data Loss Prevention (DLP) for Dummies
Ricevi consigli e trucchi per passare a un DLP fornito dal cloud.
gallone Scarica l'eBook
Modern SD-WAN for SASE Dummies Book
Modern SD-WAN for SASE Dummies
Smettila di inseguire la tua architettura di rete
gallone Scarica l'eBook
Comprendere dove risiede il rischio
Advanced Analytics trasforma il modo in cui i team di operazioni di sicurezza applicano insight basati sui dati per implementare policy migliori. Con l'Advanced Analytics, puoi identificare tendenze, concentrarti sulle aree di interesse e utilizzare i dati per agire.
gallone Scarica la brochure
2025-10-UZTNA-ebook
6 motivi per cui Universal ZTNA è una via di fuga intelligente dal caos VPN e NAC
Abbandona la complessità delle VPN e del NAC. Scopri come Universal ZTNA protegge ogni utente e dispositivo con un framework coerente.
gallone Scarica l'eBook
""
BDO unisce networking e sicurezza per proteggere un'infrastruttura cloud-first e AI-friendly
gallone Leggi il caso di studio
Netskope GovCloud
Netskope ottiene l'autorizzazione FedRAMP High
Scegli Netskope GovCloud per accelerare la trasformazione della tua agenzia.
gallone Scopri Netskope GovCloud
The Lens
""
Read about the latest news and opinions from the team at Netskope. The Lens combines our blogs, our podcasts and case studies, with new content added every week.
gallone Subscribe to The Lens
Supporto tecnico Netskope
Supporto tecnico Netskope
I nostri ingegneri di supporto qualificati sono dislocati in tutto il mondo e possiedono competenze diversificate in sicurezza cloud, networking, virtualizzazione, content delivery e sviluppo software, garantendo un'assistenza tecnica tempestiva e di qualità.
gallone Supporto tecnico
""
IA nella corsia veloce
Il roadshow AI in the Fast Lane di Netskope riunisce professionisti della sicurezza per discutere di come le organizzazioni utilizzano oggi l'IA e di come una strategia di sicurezza completa possa creare un modello più intelligente, sicuro e a prova di futuro.
gallone Trova un evento vicino a te
Video Netskope
Formazione Netskope
La formazione Netskope ti aiuterà a diventare un esperto di sicurezza cloud. Siamo qui per aiutarti a proteggere il tuo percorso di trasformazione digitale e a sfruttare al meglio le tue applicazioni cloud, web e private.
gallone Esplora l'addestramento Netskope
""
Massimizza il tuo ROI SASE con Netskope Business Value Services
Inizia a dimostrare il ROI. Netskope BVS è un servizio di consulenza gratuito che quantifica l'impatto finanziario e strategico della tua trasformazione SASE.
gallone Richiedi una consulenza
Facciamo grandi cose insieme
""
La strategia go-to-market incentrata sui partner di Netskope permette ai nostri partner di massimizzare la loro crescita e redditività, trasformando al contempo la sicurezza aziendale.
gallone Netskope Partners
Cloud and Threat Report

Le migliori tattiche e tecniche degli avversari

Questa edizione del Netskope Cloud and Threat Report si concentra sulle tattiche e tecniche più comunemente utilizzate contro i clienti Netskope nei primi nove mesi del 2023. A livello globale, i clienti di Netskope sono stati più comunemente bersagli da avversari criminali, con Wizard Spider che ha preso di mira più organizzazioni di qualsiasi altro gruppo. Completiamo questo rapporto esplorando quali sono gli avversari più attivi in molteplici settori industriali e regioni geografiche.

Tag
Rapporti su Cloud e Minacce Next Gen Secure Web Gateway Threat Protection
Cambia la lingua
Tedesco, inglese, spagnolo, francese, portoghese, 日本語

Salta a una sezione

Punti salienti del rapporto Sommario esecutivo Tecniche migliori
Accesso iniziale: Spearphishing Esecuzione: Esecuzione dell'Utente Comando e controllo ed esfiltrazione
Analisi dell'avversario
Principali gruppi avversari Differenze geografiche e industriali Raccomandazioni
Informazioni su questo rapporto Netskope Threat Labs
17 minuti di lettura

Punti salienti del rapporto collegamento collegamento

  • I link e gli allegati di spearphishing sono le principali tecniche di accesso iniziale monitorate quest'anno da Netskope Threat Labs, con avversari che sono riusciti a ingannare le vittime facendole aprire link e allegati tramite email, voce, messaggi, social media e motori di ricerca.
  • L'esecuzione da parte degli utenti è la tecnica di esecuzione principale, con gli avversari che hanno il più alto tasso di successo nel ingannare le loro vittime affinché scaricano i Trojan quando li ospitano tramite app cloud popolari.
  • Per il comando e controllo e l'esfiltrazione dei dati, gli avversari favoriscono fortemente l'uso di HTTP e HTTPS per passare inosservati e mimetizzarsi con il traffico benigno.
  • La maggior parte delle attività degli avversari sulla piattaforma Netskope Security Cloud proviene da criminali informatici, con la maggior parte delle attività attribuibile a Wizard Spider, un gruppo russo responsabile della creazione del malware TrickBot.
  • I settori verticali dei servizi finanziari e dell'assistenza sanitaria presentano la percentuale più elevata di attività attribuibile a gruppi avversari geopolitici sulla piattaforma Netskope Security Cloud.

 

Sommario esecutivo collegamento collegamento

La cybersecurity è una battaglia tra due avversari: i difensori che cercano di proteggere i loro utenti, i loro dati e i loro sistemi, e gli avversari, che cercano di danneggiarli e sfruttarli. Lo strumento più prezioso del difensore è la sua conoscenza dell'avversario. Come difensori, cerchiamo di comprendere le motivazioni e gli obiettivi dell'avversario, così come le tattiche e le tecniche che utilizza per raggiungerli. Successivamente progettiamo i nostri sistemi per essere resilienti a queste tattiche e tecniche e implementiamo controlli per rilevare l'attività degli avversari.

Questa edizione del Netskope Cloud and Threat Report si concentra sulle tattiche e tecniche più comunemente utilizzate contro i clienti Netskope nei primi nove mesi del 2023. Per facilitare una comunicazione e una comprensione più efficienti, presentiamo questo rapporto in termini del quadro MITRE ATT&CK . Il quadro fornisce una categorizzazione completa delle tattiche e tecniche avversarie, nonché il raggruppamento e la denominazione degli avversari.

A livello globale, i clienti di Netskope sono stati più comunemente bersagli da avversari criminali, con Wizard Spider che ha preso di mira più organizzazioni di qualsiasi altro gruppo. I furtori di informazioni e il ransomware sono rimasti strumenti popolari impiegati dagli avversari motivati finanziariamente. Meno comuni erano gli avversari motivati geopoliticamente, i cui strumenti più popolari erano i Trojan ad accesso remoto che creano backdoor nelle organizzazioni che prevengono di mira.

Geografia e industria sono fattori significativi nel determinare quali avversari tendono a prendere di mira un'organizzazione. Gli avversari geopolitici tendono a colpire regioni e settori specifici per la loro proprietà intellettuale, mentre gli avversari motivati finanziariamente tendono a sviluppare manuali ottimizzati per colpire organizzazioni simili, dove possono riciclare tattiche e tecniche con una personalizzazione minima. Completiamo questo rapporto esplorando quali sono gli avversari più attivi in molteplici settori industriali e regioni geografiche.

 

Tecniche migliori collegamento collegamento

Questa sezione esplora le tattiche e le tecniche più comuni usate dagli avversari per accedere ai sistemi dei loro bersagli, eseguire codice malevolo e comunicare con sistemi compromessi. Evidenziiamo quattro tattiche in cui la piattaforma Netskope Security Cloud offre visibilità, e evidenziamo le sei tecniche più comunemente osservate all'interno di queste tattiche:

  • Accesso iniziale Le tecniche che gli avversari utilizzano per entrare nei sistemi dei loro obiettivi.
  • Esecuzione Le tecniche utilizzate dagli avversari per eseguire codice dannoso.
  • Comando e Controllo Le tecniche che gli avversari usano per comunicare con sistemi compromessi.
  • Esfiltrazione Le tecniche utilizzate dagli avversari per rubare informazioni alle loro vittime.

 

Accesso iniziale: Spearphishing

Quando l'accesso remoto a un sistema è bloccato e il sistema è protetto da vulnerabilità di sicurezza note, il modo più semplice per un avversario di accedere a tale sistema è spesso tramite i suoi utenti. Per questo motivo, le tecniche di ingegneria sociale hanno continuato a essere un pilastro delle strategie di attacco degli avversari. Ad esempio, l'accesso iniziale durante l'attacco informatico alla MGM del settembre 2023 è stato ottenuto tramite vishing (phishing vocale) chiamando l'helpdesk della vittima. Tra le varie tecniche di phishing , i collegamenti di spearphishing e gli allegati di spearphishing sono due delle più diffuse sulla Netskope Security Cloud Platform nel 2023.

Analizzando i link di phishing su cui hanno cliccato le vittime è possibile capire dove gli aggressori hanno più successo nel prendere di mira le loro vittime. Con un ampio margine, gli utenti hanno cliccato più frequentemente sui link di phishing che prendevano di mira le app cloud, con un terzo di questi link di phishing che prendevano di mira i prodotti Microsoft. Ciò non sorprende, poiché Microsoft OneDrive è di gran lunga l'app cloud più diffusa in ambito aziendale, insieme ad altri prodotti Microsoft tra cui SharePoint, Outlook e Teams.

Principali bersagli di phishing per link cliccati

Principali obiettivi di phishing cloud tramite link cliccati

Come fanno gli avversari a ingannare le loro vittime facendole cliccare su link di phishing? Sebbene l'email continui a essere un canale molto comune, il tasso di successo lì è piuttosto basso per diversi motivi. Innanzitutto, le organizzazioni tendono a utilizzare filtri anti-phishing sofisticati per bloccare le email di phishing che non raggiungono mai le loro vittime. In secondo luogo, le organizzazioni di solito addestrano i loro utenti a riconoscere le email di phishing. In risposta, gli aggressori stanno usando una varietà di altre tattiche per raggiungere le loro vittime:

Ottimizzazione per i motori di ricerca (SEO) : gli avversari creano pagine web che utilizzano tecniche SEO per assicurarsi di essere elencate nei motori di ricerca più popolari, tra cui Bing e Google. Le pagine sono solitamente create attorno a vuoti di dati (insiemi specifici di parole chiave che non producono molti risultati) e sono rivolte a specifici gruppi demografici.

Social media e app di messaggistica : gli aggressori sfruttano le app di social media più diffuse (come Facebook) e di messaggistica (come WhatsApp) per raggiungere le loro vittime utilizzando una varietà di esche diverse.

Messaggi vocali e di testo – I dispositivi mobili spesso non dispongono dei controlli di sicurezza presenti su dispositivi più tradizionali come i laptop, rendendoli un bersaglio popolare per attacchi di phishing. Chiamare o inviare messaggi alle vittime sta diventando sempre più diffuso metodi per diffondere link di phishing.

Account email personali – Gli account email personali tendono ad avere controlli anti-phishing meno rigidi, quindi più email di phishing riescono a raggiungere le loro vittime. Poiché gli account email personali sono spesso utilizzati sugli stessi sistemi che le vittime impiegano per il lavoro, il phishing per accedere a risorse sensibili gestite dall'organizzazione tramite account email personali può essere una strategia di grande successo per gli avversari.

Gli allegati spearphishing sono un tipo speciale di phishing in cui l'avversario li utilizza sia per creare un'aria di legittimità – tipicamente questi allegati sembrano fatture professionali – sia per aggirare i controlli di sicurezza che non ispezionano gli allegati. Sebbene ci sia una certa varietà nei tipi di file che gli avversari usano per gli allegati antiphishing – fogli di calcolo Microsoft Excel, file ZIP, ecc. – la maggior parte di questi tipi di file è rara. Un impressionante 90% degli allegati di phishing sono PDF pensati per indurre le vittime a cliccare su un link di phishing.

Principali tipi di allegati per phishing

Analogamente ai link di phishing, gli aggressori diffondono gli allegati di phishing su più canali, tra cui la posta elettronica personale. Il numero di allegati di phishing scaricati dalle vittime è più che triplicato rispetto al livello base ad agosto, poiché gli aggressori hanno iniziato ad avere più successo inviando le loro esche agli account di posta elettronica personali Microsoft Live delle vittime. Negli ultimi nove mesi, il numero di utenti che hanno scaricato allegati di phishing da un'app di posta elettronica personale è stato 16 volte superiore rispetto a quello degli utenti che hanno scaricato allegati di phishing da app di posta elettronica gestite da organizzazioni.

Volume di download di allegati phishing nel tempo

 

Esecuzione: Esecuzione dell'Utente

L'ingegneria sociale non si limita all'accesso iniziale. Gli avversari dipendono anche dagli utenti per eseguire payload dannosi che forniscono accesso remoto clandestino, rubano informazioni sensibili o implementano ransomware. Convincere un utente target a eseguire un payload malevolo spesso richiede che l'utente clicchi su un Link Malizioso o che scarichi ed esegue un file malevolo. Gli avversari cercano costantemente New modi per ingannare le vittime affinché lo fanno, e Netskope Threat Labs traccia di questi cambiamenti nei nostri rapporti mensili. Ci sono due temi principali che hanno dominato il 2023. Innanzitutto, gli avversari hanno più successo nel convincere le loro vittime a scaricare file dannosi quando questi vengono consegnati tramite app cloud. Finora quest'anno, in media il 55% dei malware che gli utenti hanno tentato di scaricare è stato inviato tramite app cloud.

Distribuzione di malware, cloud vs. Web

In secondo luogo, le app con il maggior numero di download di malware erano anche tra le app cloud più popolari in uso nelle aziende. Microsoft OneDrive, l'app cloud più popolare nelle aziende, ha conquistato il primo posto con più di un quarto di tutti i download di malware cloud. In totale, gli avversari sono riusciti a indurre gli utenti a scaricare malware da 477 app cloud distinte finora quest'anno.

Le migliori app per il download di malware

 

Comando e controllo ed esfiltrazione

Dopo che un avversario ha eseguito con successo un payload malevolo nell'ambiente di una vittima, spesso deve stabilire un canale per comunicare con il sistema compromesso, ed è qui che entrano in gioco il comando e il controllo. La tecnica di comando e controllo più comune usata dagli avversari nel 2023 è stata il Application Layer Protocol: Web Protocols, spesso abbinato all'esfiltrazione tramite canale C2. Gli avversari hanno molteplici opzioni per creare canali di comando e controllo, incluso l'uso di un framework C2 come CobaltStrike, l'abuso di una popolare app cloud o la creazione di una propria implementazione personalizzata.

La furtività è una caratteristica importante di un canale di comando e controllo. Non solo l'avversario deve comunicare con il sistema compromesso, ma deve anche evitare di essere rilevato mentre lo fa. Per questo motivo, gli avversari utilizzano sempre più HTTP e HTTPS sulle porte 80 e 443 come principali canali di comunicazione C2. Il traffico HTTP e HTTPS è molto probabile che venga permesso da un sistema infetto e si confonda con l'abbondanza di traffico HTTP e HTTPS già presente nella rete. Confronta questo approccio con il malware che comunica tramite porte o protocolli raramente usati, come IRC o FTP. Tale comunicazione sarebbe relativamente facile da rilevare e facile da bloccare, anche con un firewall di livello 3 e soprattutto con un firewall di livello 7. Basandosi sull'analisi di decine di migliaia di campioni di malware rilevati nel 2023, HTTP (80) e HTTPS (443) erano i protocolli di esfiltrazione C2 e dati preferiti di gran lunga, utilizzati da più di due terzi dei campioni di malware. Il protocollo successivo più popolare fu il DNS, seguito da una varietà di altre porte e protocolli raramente utilizzati.

Le principali conversioni per la comunicazione di malware

 

Analisi dell'avversario collegamento collegamento

Netskope Threat Labs monitora gli avversari che prendono di mira attivamente i clienti Netskope per comprenderne meglio le motivazioni, le tattiche e le tecniche. Utilizziamo poi queste informazioni per aiutare i nostri clienti a difendere i loro sistemi da questi avversari. Gli avversari monitorati da Netskope Threat Labs rientrano generalmente in due categorie, in base alle loro motivazioni.

Penale
L'obiettivo principale dei gruppi criminali avversari è il guadagno finanziario e il loro set di strumenti comprende solitamente ladri di informazioni e ransomware. Negli ultimi anni l'estorsione è stata un'attività estremamente redditizia per i criminali informatici: si stima che nel 2022 siano stati effettuati pagamenti di riscatto per un valore di 457 milioni di dollari. La maggior parte dei criminali ha diversificato le proprie operazioni utilizzando sia ransomware che infostealer per aumentare le probabilità che la vittima paghi. Se la crittografia dei loro sistemi con un ransomware non fosse stata sufficiente a convincerli a pagare, forse la divulgazione pubblica delle informazioni sensibili rubate all'organizzazione avrebbe potuto aiutare. Sebbene si cerchi di etichettare ciascun gruppo criminale avversario in base al Paese in cui opera, molti gruppi operano a livello transnazionale. Inoltre, molti ora operano secondo un modello di affiliazione, rendendo le loro attività ancora più disperse. Di conseguenza, solitamente associamo un gruppo al paese o alla regione in cui si ritiene che risiedano i suoi membri principali.

Geopolitica
I gruppi avversari geopolitici sono motivati da questioni geopolitiche. In genere si tratta di Stati nazionali o di loro delegati, e le loro attività rispecchiano solitamente conflitti politici, economici, militari o sociali più ampi. Ad esempio, gruppi avversari russi hanno lanciato attacchi informatici contro l'Ucraina in concomitanza con l'invasione del Paese. I gruppi geopolitici sono solitamente impegnati in operazioni informatiche contro altri stati nazionali e tali operazioni sono diventate una componente fondamentale delle moderne relazioni internazionali. A volte i confini tra avversari geopolitici e criminali sono poco definiti, e alcuni gruppi geopolitici sono anche coinvolti in attività motivate da interessi finanziari. Ad esempio, l'attuale regime nordcoreano finanzia lo sviluppo del suo programma missilistico attraverso la criminalità informatica. Le specifiche operazioni informatiche intraprese dagli avversari geopolitici variano e comprendono lo spionaggio informatico contro organizzazioni governative e non governative e il sabotaggio di infrastrutture critiche per destabilizzare un avversario. Gli avversari geopolitici sono anche impegnati in una guerra dell'informazione, diffondendo propaganda, manipolando l'opinione pubblica e influenzando le elezioni popolari.

Attribuire attività a uno specifico gruppo avversario può essere una sfida. Gli avversari cercano di nascondere la loro vera identità o addirittura di lanciare intenzionalmente operazioni sotto falsa bandiera, in cui cercano di far apparire i loro attacchi come se provenissero da un altro gruppo. Spesso più gruppi utilizzano le stesse tattiche e tecniche, alcuni arrivando addirittura a utilizzare gli stessi identici strumenti o addirittura a condividere l'infrastruttura. Anche definire i gruppi avversari può essere difficile, poiché i gruppi si evolvono o i membri si spostano da un gruppo all'altro. Per queste ragioni, le attribuzioni degli avversari sono vaghe e soggette a cambiamenti ed evoluzioni man mano che emergono New informazioni. Nel resto del rapporto presentiamo statistiche sulle attività degli avversari osservate sulla piattaforma Netskope Security Cloud e sui gruppi più probabilmente responsabili di tali attività.

 

Principali gruppi avversari

Il principale gruppo avversario che prende di mira gli utenti della piattaforma Netskope Security Cloud era Wizard Spider (alias UNC1878, TEMP. MixMaster, Grim Spider), un avversario criminale con base in Russia accreditato come il creatore del malware TrickBot . Il malware TrickBot è stato originariamente creato come trojan bancario, ma da allora si è evoluto in una complessa piattaforma malware contenente componenti per il furto di informazioni, il movimento laterale, il comando e controllo e l'esfiltrazione dei dati. Come spesso accade nei gruppi avversari criminali, Wizard Spider ha preso di mira una vasta gamma di organizzazioni vittime con ransomware. Tra le tattiche e le tecniche utilizzate da Wizard Spider figurano le sei tecniche evidenziate in questo rapporto riguardanti il spearphishing, l'esecuzione dell'utente e il comando e controllo.

Altri gruppi avversari criminali attivi che si affidano fortemente al ransomware includevano TA505 (noto anche come Hive0065), responsabile del ransomware Clop, e FIN7 (noto anche come GOLD NIAGARA, ITG14, Carbon Spider), che ha utilizzato il ransomware REvil e creato il ransomware Darkside . Mentre i principali gruppi avversari criminali che prendono di mira i clienti di Netskope sono russi e ucraini, i principali gruppi avversari geopolitici sono i cinesi, guidati da memupass (alias Cicada, POTASSIUM, Stone Panda, APT10, Red Apollo, CVNX, HOGFISH) e Aquatic Panda, entrambi che hanno preso di mira diversi tipi di organizzazioni in tutto il mondo.

 

Differenze geografiche e industriali

Geografia e industria sono fattori significativi nel determinare quali avversari tendono a prendere di mira un'organizzazione. Gli avversari geopolitici tendono a prendere di mira regioni e settori specifici per la loro proprietà intellettuale, mentre gli avversari motivati finanziariamente tendono a sviluppare strategie ottimizzate per colpire organizzazioni simili, dove possono riciclare tecniche con una personalizzazione minima. In base al settore verticale, due settori si distinguono: i servizi finanziari e l'assistenza sanitaria. In questi due settori verticali, la divisione tra attività criminali e attività geopolitiche avversarie è quasi del 50/50. Nel frattempo, negli altri settori verticali, la divisione è più vicina all'80/20. Ciò indica che le organizzazioni nei settori dei servizi finanziari e sanitari sono più comunemente prese di mira dagli avversari geopolitici.

Motivazioni dell'avversario per settore target

Queste differenze sono evidenti anche quando si confrontano le probabili fonti dell'attività avversaria in ciascun settore. Poiché molti degli avversari criminali che stiamo monitorando si trovano in Russia, le industrie con la percentuale più alta di attività criminale hanno anche le più alte percentuali attribuibili a gruppi basati in Russia. Nel frattempo, i servizi finanziari e la sanità (i settori prese di mira da avversari più geopolitici) hanno una combinazione più equilibrata di avversari provenienti da Russia, Medio Oriente e Cina. Le altre località avversarie non mostrate nel grafico sottostante includono Corea del Nord, Pakistan, India, Vietnam e Nigeria.

Attività avversaria dell'industria

Per regione, gli avversari più attivi differiscono significativamente, con due regioni di rilievo: Australia e Nord America. Entrambe queste regioni si distinguono per la più alta percentuale di attività avversaria attribuibile a gruppi criminali. Ciò indica che gli utenti negli Stati Uniti e in Australia sono più propensi a essere prese di mira da avversari criminali, mentre in altre parti del mondo la suddivisione tra attività geopolitica e criminale è più vicina al 50/50.

Motivazioni dell'avversario per regione bersaglio

La ripartizione delle attività avversarie regionali segue uno schema simile ai dati del settore: le regioni prese di mira dai gruppi criminali tendono a essere prese di mira da gruppi con sede in Russia, mentre le regioni con una percentuale più alta di attività geopolitica tendono a vedere una percentuale più significativa di attività avversaria attribuita a gruppi geopolitici in Cina.

Attività avversaria regionale

 

Raccomandazioni

Il framework Mitre ATT&CK fornisce un linguaggio comune per i gruppi avversari, le loro tattiche e le loro tecniche. I difensori possono utilizzare questo quadro per determinare se le loro difese sono adeguatamente abbinate contro gli avversari. Per ciascuna delle tecniche discusse in questo rapporto, questa sezione fornisce raccomandazioni specifiche.

Accesso iniziale: link di spearphishing
Implementa difese anti-phishing che vadano oltre la posta elettronica per garantire che gli utenti siano protetti dai link di spear phishing, indipendentemente dalla loro origine. Una soluzione SWG che ispeziona il traffico DNS, il traffico cloud e il traffico web alla ricerca di prove di phishing può impedire agli utenti di visitare link di spear phishing indipendentemente dall'origine, utilizzando firme e intelligence per proteggere dalle minacce di phishing note e l'intelligenza artificiale per proteggere dalle minacce sconosciute e mirate. I clienti Netskope possono configurare il loro Netskope Next Gen Secure Web Gateway per proteggersi dal phishing. La tecnologia Remote Browser Isolation (RBI) può fornire una protezione aggiuntiva quando è necessario visitare siti Web appartenenti a categorie che possono presentare un rischio più elevato, come domini appena osservati e appena registrati, posta elettronica personale e social media.

Accesso iniziale: Allegati Spearphishing
Sebbene le protezioni dei link contro il spearphishing possano anche aiutare a proteggere dagli utenti che cliccano su link in allegati spearphishing, una difesa più solida fornirà ulteriori protezioni contro il download di allegati di spearphishing. Poiché possono provenire da più fonti, una strategia efficace ispezionerà tutti i download HTTP e HTTPS, inclusi tutti i traffici web e cloud, alla ricerca di prove di spearphishing utilizzando intelligence sulle minacce, firme, euristiche e IA. Netskope clienti possono configurare il loroNetskope NG-SWG con una Threat Protection Policy che si applica ai download di tutti i tipi di file da tutte le fonti. Ispezionare i download di contenuti da app cloud popolari (come Microsoft OneDrive) è particolarmente importante per proteggere contro avversari che abusano di tali app per distribuire malware.

Esecuzione: Collegamento Malevolo ed Esecuzione: File Malevolo
Poiché gli aggressori utilizzano più canali per diffondere malware, tra cui le app cloud più diffuse come Microsoft OneDrive, una strategia difensiva efficace deve ispezionare tutto il traffico, incluso il web e il cloud, alla ricerca di contenuti dannosi. Assicurarsi che i tipi di file ad alto rischio, come file eseguibili e archivi, vengano ispezionati attentamente utilizzando una combinazione di analisi statica e dinamica prima di essere scaricati. I clienti Netskope Advanced Threat Protection possono utilizzare una Policydi prevenzione del paziente zero per sospendere i download finché non saranno stati completamente ispezionati da più motori di analisi statici e dinamici, compresi quelli che utilizzano l'intelligenza artificiale per rilevare attacchi mirati. I clienti Netskope possono configurare il loro Netskope Next Gen Secure Web Gateway con una politica di protezione dalle minacce che si applica ai download di tutti i tipi di file da tutte le fonti. Per ridurre ulteriormente la superficie di rischio, configura Policy in modo da bloccare i download dalle app non utilizzate nella tua organizzazione, in modo da ridurre la superficie di rischio solo alle app e alle istanze (aziendali e personali) necessarie. Blocca i download di tutti i tipi di file rischiosi da domini appena registrati, domini appena osservati e altre categorie rischiose.

Comando e Controllo: Livello applicativo Protocollo: Protocolli Web
Una strategia efficace per rilevare e prevenire il traffico C2 degli avversari tramite protocolli web include l'uso di un SWG e di un IPS per bloccare la comunicazione con infrastrutture C2 note e mostrare i comuni pattern C2. I clienti Netskope Advanced Threat Protection possono utilizzare le funzionalità IPS e Advanced UEBA per identificare il traffico C2 e altri segnali di comportamento post-compromessa. Bloccare domini appena registrati, domini appena osservati e avvisare su pattern di traffico di rete insoliti può anche ridurre la superficie del rischio e consentire una rilevazione precoce. La sicurezza DNS e il Cloud Firewall possono anche essere utilizzati per proteggere dal traffico C2 non HTTP/HTTPS.

Esfiltrazione: Esfiltrazione sul canale C2
Le stesse protezioni per rilevare e prevenire il traffico C2 avversario possono essere efficaci anche contro l'esfiltrazione di dati sullo stesso canale C2 o su qualsiasi altro protocollo web. I clienti Netskope che utilizzano DLP possono configurare policy che limitano i luoghi in cui i dati possono essere caricati, limitando di fatto i canali attraverso i quali l'aggressore è in grado di esfiltrare i dati. I clienti Netskope che utilizzano Advanced UEBA dispongono di protezioni aggiuntive contro C2, tra cui l'identificazione di anomalie nel trasferimento dei dati, tra cui picchi di caricamenti in posizioni insolite e il trasferimento di contenuti crittografati o codificati (una tecnica comune utilizzata dagli avversari).

In sintesi, una valutazione del traffico ispezionato e bypassato è fondamentale per le difese, al fine di proteggere utenti, dati, applicazioni e infrastrutture da questi avversari. Sapendo di ispezionare tutto il traffico possibile, il passo successivo è allineare le difese alle sei tecniche indicate in questo rapporto. Alcune difese si basano su firme e schemi, mentre innovazioni nell'AI/ML (ad esempio, algoritmi, estratori di funzionalità e rilevamento di anomalie) possono essere utilizzate per proteggere da minacce sconosciute o zero-day. Una o due volte all'anno, valuta come gli avversari stanno cambiando di direzione per eludere le difese attuali e rivedi quali difese New disponibili per proteggere i tuoi utenti, dati, applicazioni e infrastrutture.

Informazioni su questo rapporto collegamento collegamento

Netskope Threat Labs pubblica trimestralmente un Rapporto Cloud e Minacce per evidenziare un insieme specifico di sfide di cybersecurity. Lo scopo di questo rapporto è fornire informazioni strategiche e fruibili sulle minacce attive.

Netskope fornisce protezione dai dati e dalle minacce a milioni di utenti in tutto il mondo. Le informazioni presentate in questo rapporto si basano su dati di utilizzo resi anonimi raccolti dalla piattaforma Netskope One in relazione a un sottoinsieme di clienti Netskope previa autorizzazione. Questo rapporto contiene informazioni sui rilevamenti effettuati da Netskope One Next Generation Secure Web Gateway (SWG), senza considerare la rilevanza dell'impatto di ogni singola minaccia. Pertanto, le tattiche e le tecniche evidenziate nel rapporto sono limitate a quelle osservabili nel traffico HTTP/HTTPS e i gruppi di avversari monitorati in questo rapporto sono limitati a quelli che utilizzano tali tecniche. Le statistiche presentate in questo rapporto riflettono sia l'attività degli avversari sia il comportamento degli utenti. Ad esempio, la sezione Accesso iniziale: Spearphishing analizza i link di phishing effettivi su cui gli utenti cliccano, non l'universo di tutti i link di phishing creati dagli avversari. Le statistiche contenute nel presente rapporto si basano sul periodo compreso tra il 1° gennaio 2023 e il 23 settembre 2023.

Netskope Threat Labs collegamento collegamento

Grazie al personale dei più importanti ricercatori del settore in materia di minacce cloud e malware, Netskope Threat Labs scopre, analizza e progetta difese contro le più recenti minacce web, cloud e dati che colpiscono le aziende. I nostri ricercatori sono relatori e volontari abituali alle principali conferenze sulla sicurezza, tra cui DEF CON, Black Hat e RSA.

Risorse correlate

Risultati