Rapporto Netskope Threat Labs: Australia 2024

Salta a una sezione

In questo rapporto Introduzione Ingegneria sociale Distribuzione di contenuti dannosi

TA577 Evil Corp

Sicurezza dei dati Sicurezza dei dati GenAI

Adozione aggressiva Controlli di mitigazione

Raccomandazioni Netskope Threat Labs Informazioni su questo rapporto

10 minuti di lettura

In questo rapporto

Il phishing è una tattica avversaria popolare in Australia, dove 5 utenti aziendali su 1.000 cliccano mensilmente su un link di phishing, e gli avversari prendono di mira comunemente le app cloud più popolari.
In Australia gli strumenti di prevenzione della perdita di dati sono onnipresenti: l'80% delle organizzazioni implementa controlli DLP e il 6% degli utenti viola ogni mese la politica sulla protezione dei dati.
Sebbene le organizzazioni in Australia abbiano adottato le app genAI allo stesso ritmo del resto del mondo, sono state più aggressive nell'applicare determinati tipi di controlli, in particolare il coaching degli utenti in tempo reale, per ridurre i rischi per i dati associati a genAI.

Introduzione

Questo rapporto si concentra su tre tipi di minacce che le organizzazioni australiane affrontano

Ingegneria sociale : gli aggressori utilizzano tattiche come il phishing e l'impersonificazione per sfruttare il comportamento umano e aggirare le misure di sicurezza.
Distribuzione di contenuti dannosi : gli aggressori tentano di indurre le vittime ad accedere a contenuti dannosi sul Web o nel cloud.
Sicurezza dei dati : la sicurezza dei dati è a rischio a causa di violazioni mirate da parte di avversari esterni e di utenti interni che gestiscono in modo improprio i dati.

L'ingegneria sociale è una delle minacce informatiche più significative per l'Australia. L'ingegneria sociale include phishing, aggiornamenti software finti, truffe di supporto tecnico e Trojan. Il phishing è una delle tattiche di ingegneria sociale più diffuse: in Australia, 5 persone su 1.000 cliccano ogni mese su un link di phishing. Questo tasso è leggermente superiore alla media globale. Le vittime cliccano su link presenti in vari posti, tra cui e-mail, app di messaggistica, social media, annunci pubblicitari e risultati dei motori di ricerca. Tra gli obiettivi più comuni del phishing ci sono gli account cloud, che gli aggressori cercano di sfruttare per rubare dati, venderli su marketplace illeciti o per sferrare ulteriori attacchi.

Distribuzione di contenuti dannosi

Ogni mese, circa l'1% degli utenti in Australia tenta di accedere a contenuti dannosi sul Web o nel cloud e viene bloccato dai motori di protezione avanzata dalle minacce di Netskope. I contenuti dannosi assumono molteplici forme, tra cui contenuti JavaScript dannosi eseguiti dal browser e download di malware che infettano il sistema operativo host. Di seguito è riportato un elenco delle cinque principali famiglie di malware rilevate in Australia nell'ultimo anno.

Backdoor.Zusy (alias TinyBanker) è un Trojan bancario basato sul codice sorgente di Zeus, con l'obiettivo di rubare informazioni personali tramite iniezione di codice nei siti web.
Downloader.SLoad (noto anche come Starslord) è un downloader spesso utilizzato per distribuire Ramnit.
Trojan.FakeUpdater (noto anche come SocGholish) è un downloader JavaScript che fornisce vari payload, tra cui Dridex e Azorult.
Trojan.Parrottds è un sistema di direzione del traffico basato su JavaScript utilizzato per reindirizzare il traffico verso varie posizioni dannose dal 2019.
Trojan.VexTrio è un sistema di direzione del traffico basato su JavaScript attivo dal 2017 e utilizzato da numerose organizzazioni criminali per reindirizzare le vittime verso varie posizioni dannose.

Distribuire malware tramite app cloud popolari è una tecnica che gli avversari usano per passare inosservati. Ogni mese, l'86% delle organizzazioni ha utenti che tentano di scaricare malware da app cloud. Mentre l'elenco completo delle app si attesta a centinaia, tre app appaiono comunemente tra le organizzazioni australiane. Il grafico seguente presenta queste tre app in termini di percentuale di organizzazioni che vedono malware scaricato dall'app ogni mese. GitHub è in cima perché viene utilizzato per ospitare una varietà di hacktool. OneDrive e Amazon S3 sono in cima perché sono onnipresenti. Gli avversari tentano di condividere payload dannosi in queste app con la consapevolezza che le app saranno ampiamente utilizzate nelle organizzazioni target.

le migliori app per download dannosi - Threat Labs Report: Australia 2024

Netskope Threat Labs traccia gli avversari che prendono di mira attivamente i clienti Netskope per comprenderne le motivazioni, tattiche e tecniche, così da poter costruire difese migliori contro di loro. Generalmente categorizziamo le motivazioni avversarie come criminali o geopolitiche. I due principali gruppi avversari che hanno preso di mira organizzazioni in Australia nell'ultimo anno erano gruppi criminali con sede in Russia.

TA577

Posizione: Russia
Motivazione: Criminale
Alias: Hive0118

TA577 ha preso di mira diversi settori in tutto il mondo, consegnando payload malware, tra cui Qbot, Ursnif e Cobalt Strike.

Evil Corp

Posizione: Russia
Motivazione: Criminale
Alias: Indrik Spider, Manatee Tempest, DEV-0243
ID Mitre: G0119

Nei primi tempi, Evil Corp utilizzava principalmente il trojan bancario Dridex, prima di passare al ransomware e utilizzare BitPaymer, WastedLocker e Hades. Evil Corp utilizza JavaScript per distribuire i propri payload e si avvale del famoso strumento del team rosso Cobalt Strike per stabilire la persistenza negli ambienti delle vittime.

Attribuire attività a uno specifico gruppo avversario può essere una sfida. Gli avversari cercano di nascondere le loro vere identità o addirittura lanciano intenzionalmente operazioni di false flag cercando di far sembrare i loro attacchi provenienti da un altro gruppo. Più gruppi spesso utilizzano le stesse tattiche e tecniche, alcuni arrivando persino a utilizzare gli stessi strumenti o infrastrutture. Definire i gruppi avversari può essere difficile man mano che i gruppi si evolvono o i membri si spostano tra i gruppi. Le attribuzioni agli avversari sono vaghe e soggette a cambiamenti ed evoluzioni man mano che New informazioni vengono alla luce.

Sicurezza dei dati

La sicurezza dei dati è una priorità per le organizzazioni in Australia: l'80% delle organizzazioni della regione utilizza la prevenzione della perdita di dati (DLP) per controllare il flusso di dati sensibili. Circa il 6% degli utenti in Australia viola ogni mese le norme sulla sicurezza dei dati aziendali; le violazioni più comuni riguardano il caricamento di vari tipi di dati in posizioni non autorizzate. I tre tipi di dati più comuni coinvolti nelle violazioni della politica sui dati sono i dati regolamentati, la proprietà intellettuale, le password e le chiavi. I tipi di dati regolamentati includono informazioni personali, finanziarie e sanitarie.

Tipi di violazioni della politica sui dati - Threat Labs Report: Australia 2024

Sicurezza dei dati GenAI

La sicurezza dei dati GenAI rappresenta un rischio crescente che le organizzazioni australiane affrontano da due prospettive.

Input: quali dati inviano gli utenti alle app genAI?
Output: Come sfruttano gli utenti i risultati ricevuti dalle app genAI?

Per l'input, il rischio principale è la perdita di dati. Per quanto riguarda i risultati, i rischi includono la correttezza (le app genAI sono molto efficaci nel fornire allucinazioni e disinformazione) e preoccupazioni legali (molte aziende hanno addestrato le loro app genAI su contenuti protetti da copyright o con licenza). Questo rapporto si concentra sugli input, poiché la protezione dei dati sensibili è tipicamente la massima priorità per la maggior parte delle organizzazioni.

Adozione aggressiva

L'adozione di GenAI è stata aggressiva in Australia, con la percentuale di organizzazioni che la utilizzano è cresciuta dal 75% un anno fa al 93% oggi. Le organizzazioni in Australia utilizzano in media 9 diverse app genAI, e in media l'8% degli individui in ogni organizzazione utilizza le app genAI ogni mese. La tendenza all'adozione in Australia rispecchia l'adozione aggressiva che si è verificata a livello mondiale nell'ultimo anno. Le app genAI più popolari in Australia includono chatbot, assistenti di scrittura, copiloti e app per prendere appunti, che rispecchiano molte tendenze globali.

Le app genAI più popolari basate sulla percentuale di organizzazioni che le utilizzano - Threat Labs Report: Australia 2024

Controlli di mitigazione

Per gestire la sicurezza dei dati in questo ambiente di adozione aggressiva, il 98% delle organizzazioni in Australia ha controlli per limitare l'uso delle app genAI. Questa sezione elenca ciascuno dei controlli e fornisce ulteriori approfondimenti sulla loro applicazione.

Bloccare app che non hanno uno scopo commerciale legittimo

Le organizzazioni in Australia bloccano in media 2,3 app genAI al mese, con le principali organizzazioni che bloccano più di 50 app al mese. Quante app un'organizzazione blocca sembra dipendere da preferenza e non correlate a fattori come la dimensione del settore o dell'organizzazione. Ad esempio, le organizzazioni dei settori delle utenze, della finanza e del governo sono tra le organizzazioni con più blocchi e meno blocchi. Le app più bloccate appartengono a diverse categorie, tra cui assistenti di scrittura, chatbot, generatori di immagini e generatori audio, con molte somiglianze con le tendenze globali.

Le app di intelligenza artificiale più bloccate in base alla percentuale di organizzazioni che hanno imposto un divieto assoluto sull'app - Rapporto Threat Labs: Australia 2024

Coaching utente in tempo reale

Il coaching in tempo reale aiuta gli utenti a prendere decisioni informate sulla sicurezza dei dati quando si trovano di fronte a scelte difficili. Ad esempio, potrebbe ricordare a un utente che un'app genAI che sta per utilizzare non è presente nell'elenco delle app approvate e chiedergli se desidera comunque utilizzarla. Se utilizzato insieme a DLP, potrebbe avvisare un utente che un messaggio che sta pubblicando contiene informazioni sensibili e chiedergli se desidera comunque procedere con l'invio. Questa strategia consente agli utenti di fare autonomamente la scelta giusta. Nel corso dell'ultimo anno, le organizzazioni in Australia hanno adottato in modo aggressivo il coaching degli utenti in tempo reale, passando da meno del 30% di un anno fa al 53% di oggi, precedendo il resto del mondo con un margine significativo e in crescita.

Percentuale di organizzazioni che utilizzano il coaching utente in tempo reale per controllare l'accesso alle app AI - Threat Labs Report: Australia 2024

DLP

L'uso del DLP come controllo genAI è popolare anche in Australia, con il 43% delle organizzazioni che utilizza il DLP per prevenire il caricamento di dati sensibili nelle app genAI, rispecchiando la popolarità del DLP come controllo della sicurezza dei dati per la genAI nel resto del mondo. Il divario tra il 43% che usa DLP per la genAI e l'80% che usa DLP in generale suggerisce che il DLP per la genAI probabilmente crescerà in popolarità. La distribuzione dei dati delle violazioni delle politiche per le app genAI appare piuttosto diversa dalle più generali violazioni delle politiche sui dati. Il codice sorgente rappresenta quasi la metà di tutte le violazioni, mentre la proprietà intellettuale, i dati regolamentati, le password e le chiavi rappresentano l'altra metà. Riscrivere, rifattorizzare o debugare il codice sorgente è uno dei principali casi d'uso per le app genAI, ma le violazioni della politica sui dati indicano che gli utenti spesso scelgono app non approvate per soddisfare questi casi.

Tipo di violazioni delle policy sui dati per le app genAI - Rapporto Threat Labs: Australia 2024

Raccomandazioni

Netskope Threat Labs raccomanda alle organizzazioni australiane di rivedere la loro postura di sicurezza per assicurarsi di essere adeguatamente protette da queste tendenze:

Ispeziona tutti i download HTTP e HTTPS, inclusi tutti i traffici web e cloud, per evitare che malware possa infiltrarsi nella tua rete. Netskope clienti possono configurare il loroNetskope NG-SWG con una Threat Protection Policy che si applica ai download di tutte le categorie e a tutti i tipi di file.
Assicurarsi che i tipi di file ad alto rischio, come file eseguibili e archivi, vengano ispezionati attentamente utilizzando una combinazione di analisi statica e dinamica prima di essere scaricati. I clienti Netskope Advanced Threat Protection possono utilizzare una Policydi prevenzione del paziente zero per sospendere i download finché non saranno stati completamente ispezionati.
Configurare i criteri per bloccare i download da app e istanze non utilizzate nella tua organizzazione, in modo da ridurre la superficie di rischio solo alle app e alle istanze necessarie per l'azienda.
Configura la Politica per bloccare i caricamenti su app e istanze non utilizzate nella tua organizzazione per ridurre il rischio di esposizione accidentale o deliberata di dati da parte di insider o abusi da parte di attaccanti.
Utilizzare un sistema di prevenzione delle intrusioni (IPS) in grado di identificare e bloccare modelli di traffico dannosi, come il traffico di comando e controllo associato a malware diffusi. Bloccando questo tipo di comunicazione è possibile prevenire ulteriori danni, limitando la capacità dell'aggressore di eseguire ulteriori azioni.
Utilizza la tecnologia Remote Browser Isolation (RBI) per ottenere una protezione aggiuntiva quando è necessario visitare siti web che rientrano in categorie che possono presentare rischi più elevati, come domini appena osservati e appena registrati.

Netskope Threat Labs

Composta dai massimi ricercatori del settore in minacce cloud e malware, Netskope Threat Labs scopre, analizza e progetta difese contro le ultime minacce cloud che colpiscono le aziende. I nostri ricercatori sono presentatori e volontari regolari nelle principali conferenze sulla sicurezza, tra cui DefCon, BlackHat e RSA.

Informazioni su questo rapporto

Netskope offre protezione contro le minacce a milioni di utenti in tutto il mondo. Le informazioni presentate in questo rapporto si basano su dati di utilizzo anonimizzati raccolti dalla piattaforma Netskope One relativi a un sottoinsieme di clienti Netskope con autorizzazione preventiva.

Questo rapporto contiene informazioni sulle rilevazioni sollevate dal Netskope One Next Generation Secure Web Gateway (SWG), senza considerare l'importanza dell'impatto di ciascuna minaccia individuale. Le statistiche in questo rapporto si basano sul periodo che va dal 1° ottobre 2023 al 31 ottobre 2024. Le statistiche riflettono le tattiche degli attaccanti, il comportamento degli utenti e le politiche dell'organizzazione.

Rapporto Threat Labs: Australia 2024