Relatório de nuvem e ameaças: principais táticas e técnicas adversárias

Esta edição do Relatório de Nuvem e Ameaças da Netskope concentra-se nas táticas e técnicas mais comumente usadas contra os clientes da Netskope durante os primeiros nove meses de 2023, com o Wizard Spider atacando mais organizações do que qualquer outro grupo.

Netskope Threat LabsOutubro de 2023

Destaques do Relatório Resumo executivo Principais técnicas

Acesso inicial: Spearphishing Execução: Execução do usuário Comando e controle e exfiltração

Análise do adversário

Principais grupos adversários Diferenças geográficas e de setor Recomendações

Sobre este relatório Netskope Threat Labs

17 minutos de leitura

Destaques do Relatório

Links e anexos de spearphishing são as principais técnicas de acesso inicial rastreadas pelo Netskope Threat Labs este ano, com os adversários conseguindo enganar as vítimas para que abram os links e anexos por e-mail, voz, texto, mídia social e mecanismos de pesquisa.
A execução do usuário é a principal técnica de execução, com os adversários tendo a maior taxa de sucesso em enganar suas vítimas para que baixem cavalos de Troia quando os hospedam usando aplicativos populares de nuvem.
Para comando e controle e exfiltração de dados, os adversários estão favorecendo fortemente o uso de HTTP e HTTPS para passar despercebidos e se misturar ao tráfego benigno.
A maior parte da atividade dos adversários na plataforma Netskope Security Cloud vem de adversários criminosos, com a maior atividade atribuída ao Wizard Spider, um grupo russo responsável pela criação do malware TrickBot.
Os setores verticais de serviços financeiros e de saúde têm a maior porcentagem de atividade atribuível a grupos de adversários geopolíticos na plataforma Netskope Security Cloud.

resposta de teste

Resumo executivo

A segurança cibernética é uma batalha entre dois oponentes: Os defensores, que buscam proteger seus usuários, seus dados e seus sistemas, e os adversários, que buscam prejudicá-los e explorá-los. A ferramenta mais valiosa do defensor é o conhecimento que ele tem do adversário. Como defensores, procuramos entender as motivações e os objetivos do adversário, bem como as táticas e técnicas que ele usa para atingir esses objetivos. Em seguida, projetamos nossos sistemas para serem resistentes a essas táticas e técnicas e implementamos controles para detectar a atividade do adversário.

Esta edição do Netskope Cloud and Threat Report concentra-se nas táticas e técnicas mais comumente usadas contra os clientes da Netskope durante os primeiros nove meses de 2023. Para facilitar a comunicação e o entendimento mais eficientes, apresentamos este relatório em termos da estrutura do MITRE ATT& CK. A estrutura oferece uma categorização abrangente das táticas e técnicas dos adversários, bem como o agrupamento e a nomeação dos adversários.

Globalmente, os clientes da Netskope foram os mais comumente atacados por adversários criminosos, com o Wizard Spider atacando mais organizações do que qualquer outro grupo. Os ladrões de informações e o ransomware continuaram sendo ferramentas populares empregadas por adversários com motivação financeira. Menos comuns foram os adversários com motivações geopolíticas, cujas ferramentas mais populares foram os cavalos de Troia de acesso remoto que criam backdoors nas organizações que almejam.

sdofjsfojefgejelosij

Principais técnicas

Esta seção explora as táticas e técnicas mais comuns usadas pelos adversários para obter acesso aos sistemas de seus alvos, executar códigos mal-intencionados e se comunicar com sistemas comprometidos. Destacamos quatro táticas em que a plataforma Netskope Security Cloud oferece visibilidade e destacamos as seis técnicas mais comumente observadas nessas táticas:

Acesso inicial As técnicas que os adversários usam para entrar nos sistemas de seus alvos.
Execução As técnicas que os adversários usam para executar códigos maliciosos.
Comando e controle As técnicas que os adversários usam para se comunicar com sistemas comprometidos.
Exfiltração As técnicas que os adversários usam para roubar informações de suas vítimas.

Acesso inicial: Spearphishing

Quando o acesso remoto a um sistema é bloqueado e o sistema é corrigido contra vulnerabilidades de segurança conhecidas, a maneira mais fácil de um adversário acessar esse sistema geralmente é por meio de seus usuários. Por esse motivo, as técnicas de engenharia social continuaram a ser um dos pilares do manual do adversário. Por exemplo, o acesso inicial durante o hack da MGM de setembro de 2023 foi obtido por meio de vishing (phishing de voz), ligando para o helpdesk da vítima. Entre as várias técnicas de phishing, Spearphishing Links e Spearphishing Attachments são duas das mais populares na Netskope Security Cloud Platform em 2023.

A análise dos links de phishing em que as vítimas clicaram pode fornecer insights sobre onde os adversários estão tendo mais sucesso em atingir suas vítimas. Por uma grande margem, os usuários clicaram com mais frequência em links de phishing direcionados a aplicativos de nuvem, com um terço desses links de phishing direcionados a produtos da Microsoft. Isso não é surpreendente, já que o Microsoft OneDrive é o aplicativo de nuvem mais popular nas empresas por uma grande margem, juntamente com outros produtos da Microsoft, incluindo SharePoint, Outlook e Teams.

Principais alvos de phishing por links clicados

Principais alvos de phishing na nuvem por links clicados

Como os adversários estão enganando suas vítimas para que cliquem em links de phishing? Embora o e-mail continue a ser um canal muito comum, a taxa de sucesso é bastante baixa por vários motivos. Primeiro, as organizações tendem a empregar filtros antiphishing sofisticados para impedir que os e-mails de phishing cheguem às suas vítimas. Em segundo lugar, as organizações normalmente treinam seus usuários para que possam reconhecer e-mails de phishing. Em resposta, os invasores estão usando uma variedade de outras táticas para atingir suas vítimas:

Otimização de mecanismos de pesquisa (SEO) - Os adversários criam páginas da Web que empregam técnicas de SEO para garantir que sejam listadas em mecanismos de pesquisa populares, incluindo Bing e Google. Em geral, as páginas são criadas com base em vazios de dados - conjuntos específicos de palavras-chave que não têm muitos resultados - e são direcionadas a dados demográficos específicos.

Mídia social e aplicativos de mensagens - Os adversários abusam de aplicativos populares de mídia social (como o Facebook) e aplicativos de mensagens (como o WhatsApp) para alcançar suas vítimas usando uma variedade de iscas diferentes.

Mensagens de voz e texto - Os dispositivos móveis geralmente não têm os controles de segurança presentes em dispositivos mais tradicionais, como laptops, o que os torna um alvo popular para ataques de phishing. Ligar ou enviar mensagens de texto para as vítimas estão se tornando métodos cada vez mais populares para espalhar links de phishing.

Contas de e-mail pessoais - as contas de e-mail pessoais tendem a ter controles antiphishing menos rigorosos, portanto, mais e-mails de phishing podem chegar às suas vítimas. Como as contas de e-mail pessoais costumam ser usadas nos mesmos sistemas que as vítimas usam para trabalhar, o phishing para acesso a ativos confidenciais gerenciados pela organização por meio de contas de e-mail pessoais pode ser uma estratégia muito bem-sucedida para os adversários.

Os anexos de spearphishing são um tipo especial de phishing em que o adversário usa anexos para criar um ar de legitimidade - geralmente esses anexos parecem faturas profissionais - e também para contornar os controles de segurança que não inspecionam anexos. Embora haja alguma variedade nos tipos de arquivos que os adversários usam para anexos de phishing (planilhas do Microsoft Excel, arquivos ZIP, etc.), a maioria desses tipos de arquivos é rara. Um número impressionante de 90% dos anexos de phishing são PDFs criados para induzir as vítimas a clicar em um link de phishing.

Principais tipos de anexos de phishing

Semelhante aos links de phishing, os adversários espalham anexos de phishing por vários canais, incluindo e-mails pessoais. O número de anexos de phishing baixados pelas vítimas aumentou para mais do que o triplo de seu nível básico em agosto, quando os adversários começaram a ter mais sucesso enviando suas iscas para as contas de e-mail pessoais do Microsoft Live das vítimas. Nos últimos nove meses, o número de usuários que baixaram um anexo de phishing de um aplicativo de webmail pessoal foi 16 vezes maior do que o número de usuários que baixaram anexos de phishing de aplicativos de webmail de organizações gerenciadas.

Volume de download de anexos de phishing ao longo do tempo

Execução: Execução do usuário

A engenharia social não se limita ao acesso inicial. Os adversários também dependem dos usuários para executar cargas úteis mal-intencionadas que fornecem acesso remoto clandestino, roubam informações confidenciais ou implantam ransomware. Convencer um usuário-alvo a executar uma carga útil mal-intencionada geralmente exige que o usuário clique em um link mal -intencionado ou faça o download e execute um arquivo mal-intencionado. Os invasores estão constantemente tentando novas maneiras de enganar as vítimas, e o Netskope Threat Labs acompanha essas mudanças em nossos relatórios mensais. Há dois temas abrangentes que dominaram 2023. Primeiro, os adversários são mais bem-sucedidos em convencer suas vítimas a baixar arquivos mal-intencionados quando esses arquivos são entregues por meio de aplicativos em nuvem. Até agora, neste ano, uma média de 55% do malware que os usuários tentaram baixar foi entregue por meio de aplicativos em nuvem.

Fornecimento de malware, nuvem vs. Web

Em segundo lugar, os aplicativos em que houve o maior número de tentativas de download de malware também eram alguns dos aplicativos em nuvem mais populares em uso na empresa. O Microsoft OneDrive, o aplicativo em nuvem mais popular nas empresas, ficou em primeiro lugar, com mais de um quarto de todos os downloads de malware em nuvem. No total, os adversários foram bem-sucedidos em induzir os usuários a baixar malware para execução em 477 aplicativos de nuvem distintos até agora neste ano.

Principais aplicativos para downloads de malware

Comando e controle e exfiltração

Depois que um adversário executa com êxito uma carga útil mal-intencionada no ambiente da vítima, ele geralmente precisa estabelecer um canal para se comunicar com o sistema comprometido, que é onde o comando e o controle entram em ação. A técnica de comando e controle mais comum usada pelos adversários em 2023 foi o Application Layer Protocol: Protocolos da Web, que foi frequentemente associado à exfiltração pelo canal C2. Os invasores têm várias opções para criar canais de comando e controle, incluindo o uso de uma estrutura C2 como o CobaltStrike, o abuso de um aplicativo de nuvem popular ou a criação de sua própria implementação personalizada.

A furtividade é um recurso importante de um canal de comando e controle. O adversário não só precisa se comunicar com o sistema comprometido, como também precisa evitar a detecção ao fazer isso. Por esse motivo, os adversários estão usando cada vez mais HTTP e HTTPS nas portas 80 e 443 como seus principais canais de comunicação C2. É muito provável que o tráfego HTTP e HTTPS seja permitido a partir de um sistema infectado e se misture com a abundância de tráfego HTTP e HTTPS já existente na rede. Compare essa abordagem com o malware que se comunica por meio de portas ou protocolos raramente usados, como IRC ou FTP. Essa comunicação seria comparativamente fácil de detectar e fácil de bloquear, mesmo com um firewall de camada 3 e especialmente com um firewall de camada 7. Com base em uma análise de dezenas de milhares de amostras de malware detectadas em 2023, HTTP (80) e HTTPS (443) foram os protocolos favoritos de C2 e exfiltração de dados por uma grande margem, usados por mais de dois terços das amostras de malware. O próximo protocolo mais popular foi o DNS, seguido por uma variedade de outras portas e protocolos raramente usados.

Principais portas de comunicação de malware

Análise do adversário

O Netskope Threat Labs rastreia os adversários que estão ativamente visando os clientes da Netskope para entender melhor suas motivações, táticas e técnicas. Em seguida, aproveitamos essas informações para ajudar nossos clientes a defender seus sistemas contra esses adversários. Os adversários que o Netskope Threat Labs rastreia geralmente se enquadram em duas categorias, com base em suas motivações.

Criminal
O principal objetivo dos grupos de adversários criminosos é o ganho financeiro, e seu conjunto de ferramentas normalmente inclui ladrões de informações e ransomware. A extorsão tem sido um negócio extremamente lucrativo para os criminosos cibernéticos nos últimos anos, com uma estimativa de US$ 457 milhões em pagamentos de resgate feitos em 2022. A maioria dos adversários criminosos diversificou suas operações para usar tanto ransomware quanto infostealers para aumentar as chances de uma vítima pagar. Se a criptografia de seus sistemas com ransomware não fosse suficiente para convencê-los a pagar, talvez a divulgação pública de informações confidenciais roubadas da organização ajudasse. Embora tentemos rotular cada grupo criminoso adversário de acordo com o país em que opera, muitos grupos trabalham transnacionalmente. Além disso, muitos estão agora operando em um modelo de afiliados, tornando suas operações ainda mais dispersas. Como resultado, normalmente associamos um grupo ao país ou região onde se acredita que seus principais membros estejam localizados.

Geopolítica
Os grupos adversários geopolíticos são motivados por questões geopolíticas. Em geral, são Estados-nação ou seus representantes, e suas atividades normalmente refletem conflitos políticos, econômicos, militares ou sociais mais amplos. Por exemplo, grupos adversários russos lançaram ataques cibernéticos contra a Ucrânia que coincidiram com a invasão desse país. Os grupos geopolíticos geralmente se envolvem em operações cibernéticas contra outros estados-nação, e essas operações se tornaram um componente essencial das relações internacionais modernas. As linhas entre adversários geopolíticos e criminosos às vezes se confundem, e alguns grupos geopolíticos também se envolvem em atividades com motivação financeira. Por exemplo, o atual regime norte-coreano financia o desenvolvimento de seu programa de mísseis por meio de crimes cibernéticos. As operações cibernéticas específicas realizadas por adversários geopolíticos variam, incluindo a espionagem cibernética contra organizações governamentais e não governamentais e a sabotagem de infraestruturas essenciais para desestabilizar um adversário. Os adversários geopolíticos também se envolvem em guerra de informações, espalhando propaganda, manipulando a opinião pública e influenciando eleições populares.

Atribuir a atividade a um grupo adversário específico pode ser um desafio. Os adversários tentam ocultar suas verdadeiras identidades ou até mesmo lançar intencionalmente operações de bandeira falsa, nas quais tentam fazer com que seus ataques pareçam vir de outro grupo. Vários grupos costumam usar as mesmas táticas e técnicas, alguns chegando ao ponto de usar exatamente as mesmas ferramentas ou até mesmo compartilhar a infraestrutura. Até mesmo a definição de grupos adversários pode ser desafiadora, pois os grupos evoluem ou os membros mudam de grupo. Por esses motivos, as atribuições do adversário são confusas e estão sujeitas a mudanças e evoluções à medida que novas informações são reveladas. No restante deste relatório, apresentamos estatísticas sobre as atividades dos adversários observadas na plataforma Netskope Security Cloud e os grupos mais provavelmente responsáveis por essas atividades.

Principais grupos adversários

O principal grupo de adversários que visava os usuários da plataforma Netskope Security Cloud era o Wizard Spider (também conhecido como UNC1878, TEMP.MixMaster, Grim Spider), um adversário criminoso com sede na Rússia, a quem se atribui a criação do malware TrickBot. O malware TrickBot foi originalmente criado como um Trojan bancário, mas desde então evoluiu para uma plataforma de malware complexa que contém componentes de roubo de informações, movimento lateral, comando e controle e exfiltração de dados. Como é típico de grupos adversários criminosos, o Wizard Spider tem como alvo uma ampla variedade de organizações vítimas de ransomware. Entre as táticas e técnicas usadas pelo Wizard Spider estão as seis técnicas destacadas neste relatório sobre spearphishing, execução de usuários e comando e controle.

Outros grupos adversários criminosos ativos que dependem fortemente de ransomware incluem o TA505 (também conhecido como Hive0065), responsável pelo ransomware Clop, e FIN7 (a.k.a. GOLD NIAGARA, ITG14, Carbon Spider), que usou o ransomware REvil e criou o ransomware Darkside. Enquanto os principais grupos de adversários criminosos que visam os clientes da Netskope são russos e ucranianos, os principais grupos de adversários geopolíticos são chineses, liderados pelo memupass (também conhecido como Cicada, POTASSIUM, Stone Panda, APT10, Red Apollo, CVNX, HOGFISH) e Aquatic Panda, ambos direcionados a uma variedade de diferentes tipos de organizações em todo o mundo.

Diferenças geográficas e de setor

A geografia e o setor são fatores importantes para determinar quais adversários provavelmente terão como alvo uma organização. Os adversários geopolíticos tendem a visar regiões e setores específicos para obter sua propriedade intelectual, enquanto os adversários com motivação financeira tendem a desenvolver manuais otimizados para visar organizações semelhantes, onde podem reciclar técnicas com o mínimo de personalização. Por setor vertical, há dois que se destacam: serviços financeiros e saúde. Nessas duas verticais, a divisão entre atividades criminosas e de adversários geopolíticos é quase 50/50. Enquanto isso, nas outras verticais do setor, a divisão está mais próxima de 80/20. Isso indica que as organizações dos setores de serviços financeiros e de saúde são mais comumente visadas por adversários geopolíticos.

Motivações dos adversários por setor-alvo

Essas diferenças também são evidentes quando se comparam as fontes prováveis da atividade do adversário em cada setor. Como muitos dos adversários criminosos que estamos rastreando estão localizados na Rússia, os setores com a maior porcentagem de atividade criminosa também têm as maiores porcentagens de atividade atribuíveis a grupos baseados na Rússia. Enquanto isso, os serviços financeiros e de saúde (os setores visados por mais adversários geopolíticos) têm uma mistura mais uniforme de adversários da Rússia, do Oriente Médio e da China. As outras localidades adversárias não mostradas no gráfico abaixo incluem Coreia do Norte, Paquistão, Índia, Vietnã e Nigéria.

Atividade de adversários do setor

Por região, os adversários mais ativos também diferem significativamente, com duas regiões de destaque: Austrália e América do Norte. Isso indica que os usuários nos EUA e na Austrália têm maior probabilidade de serem alvos de adversários criminosos, enquanto em outras partes do mundo a divisão da atividade adversária geopolítica e criminosa está mais próxima de 50/50.

Motivações dos adversários por região-alvo

O detalhamento da atividade regional dos adversários segue um padrão semelhante ao dos dados do setor: as regiões visadas por grupos criminosos tendem a ser visadas por grupos sediados na Rússia, enquanto as regiões com uma porcentagem maior de atividade geopolítica tendem a ver uma porcentagem mais significativa de atividade dos adversários atribuída a grupos geopolíticos na China.

Atividade Adversária Regional

Recomendações

A estrutura Mitre ATT&CK fornece uma linguagem comum para grupos adversários, suas táticas e suas técnicas. Os defensores podem usar essa estrutura para determinar se suas defesas estão adequadamente combinadas com seus adversários. Para cada uma das técnicas discutidas neste relatório, esta seção fornece recomendações específicas.

Acesso inicial: Links de spearphishing
Implemente defesas antiphishing que vão além do e-mail para garantir que os usuários estejam protegidos contra links de spearphishing, independentemente de sua origem. Uma solução SWG que inspeciona o tráfego DNS, o tráfego da nuvem e o tráfego da Web em busca de evidências de phishing pode impedir que os usuários visitem links de spearphishing, independentemente da origem, usando assinaturas e inteligência para proteger contra ameaças de phishing conhecidas e IA para proteger contra ameaças desconhecidas e direcionadas. Netskope os clientes podem configurar seus Netskope Next Gen Secure Web Gateway para se protegerem contra phishing. A tecnologia Remote Browser Isolation (RBI) pode oferecer proteção adicional quando há necessidade de visitar sites em categorias que podem apresentar maior risco, como domínios recém-observados e recém-registrados, webmail pessoal e mídias sociais.

Acesso inicial: Anexos de Spearphishing
Embora as proteções de link de spearphishing também possam ajudar a proteger os usuários que clicam em links em anexos de spearphishing, uma defesa mais robusta fornecerá proteções adicionais contra usuários que baixam anexos de spearphishing. Como eles podem vir de várias fontes, uma estratégia eficaz inspecionará todos os downloads HTTP e HTTPS, incluindo todo o tráfego da Web e da nuvem, em busca de evidências de spearphishing usando inteligência contra ameaças, assinaturas, heurística e IA. Netskope os clientes podem configurar sua política de Netskope Next Gen Secure Web Gateway com uma política de Threat Protection que se aplica a downloads de todos os tipos de arquivos de todas as fontes. A inspeção de downloads de conteúdo de aplicativos de nuvem populares (como o Microsoft OneDrive) é particularmente importante para proteger contra adversários que abusam desses aplicativos para distribuir malware.

Execução: Malicious Link e Execution : Arquivo Malicioso
Como os adversários usam vários canais para distribuir malware, inclusive aplicativos de nuvem populares, como o Microsoft OneDrive, uma estratégia defensiva eficaz deve inspecionar todo o tráfego, inclusive da Web e da nuvem, em busca de conteúdo mal-intencionado. Certifique-se de que os tipos de arquivos de alto risco, como executáveis e arquivos, sejam inspecionados minuciosamente usando uma combinação de análise estática e dinâmica antes de serem baixados. Os clientes da Proteção Avançada contra Ameaças da Netskope podem usar uma Política de Prevenção Zero do Paciente para reter os downloads até que eles tenham sido totalmente inspecionados por vários mecanismos de análise estática e dinâmica, incluindo aqueles que usam IA para detectar ataques direcionados. Netskope Os clientes podem configurar o Netskope NG-SWG com uma política de proteção contra ameaças que se aplica a downloads de todos os tipos de arquivos de todas as fontes. Para reduzir ainda mais a superfície de risco, configure políticas para bloquear downloads de aplicativos que não são usados em sua organização, a fim de reduzir a superfície de risco para apenas os aplicativos e as instâncias (da empresa ou pessoais) necessários. Bloqueie downloads de todos os tipos de arquivos de risco de domínios recém-registrados, domínios recém-observados e outras categorias de risco.

Comando e controle: Protocolo da camada de aplicativos: Protocolos da Web
Uma estratégia eficaz para detectar e impedir o tráfego C2 do adversário por meio de protocolos da Web inclui o uso de um SWG e um IPS para bloquear a comunicação com a infraestrutura C2 conhecida e exibir padrões C2 comuns. Os clientes do Netskope Advanced Threat Protection podem usar os recursos IPS e Advanced UEBA para identificar o tráfego C2 e outros sinais de comportamento pós-comprometimento. O bloqueio de domínios recém-registrados, de domínios recém-observados e o alerta sobre padrões incomuns de tráfego de rede também podem reduzir a superfície de risco e permitir a detecção precoce. O DNS Security e o Cloud Firewall também podem ser usados para proteger contra o tráfego C2 não HTTP/HTTPS.

Exfiltração: Exfiltração pelo canal C2
As mesmas proteções para detectar e impedir o tráfego C2 do adversário também podem ser eficazes contra a exfiltração de dados pelo mesmo canal C2 ou por qualquer outro protocolo da Web. Os clientes da Netskope que usam DLP podem configurar políticas que restringem onde os dados podem ser carregados, limitando efetivamente os canais pelos quais o invasor pode exfiltrar dados. Os clientes da Netskope que usam o Advanced UEBA têm proteções adicionais contra C2 que incluem a identificação de anomalias na transferência de dados, inclusive picos de uploads para locais incomuns e a transferência de conteúdo criptografado ou codificado (uma técnica comum usada por adversários).

Em resumo, uma avaliação de qual tráfego é inspecionado versus contornado é vital para que suas defesas protejam usuários, dados, aplicativos e infraestrutura contra esses adversários. Sabendo que o senhor está inspecionando todo o tráfego possível, a próxima etapa é alinhar as defesas às seis técnicas mencionadas neste relatório. Algumas defesas dependerão de assinaturas e padrões, enquanto as inovações em IA/ML (por exemplo, algoritmos, extratores de recursos e detecção de anomalias) podem ser usadas para proteger contra ameaças desconhecidas ou de dia zero. Uma ou duas vezes por ano, avalie como os adversários estão se movimentando para evitar as defesas atuais e analise quais novas defesas estão disponíveis para proteger seus usuários, dados, aplicativos e infraestrutura.

Sobre este relatório

O Netskope Threat Labs publica trimestralmente um relatório sobre nuvem e ameaças para destacar um conjunto específico de desafios de segurança cibernética. O objetivo deste relatório é fornecer inteligência estratégica e acionável sobre ameaças ativas.

A Netskope oferece proteção contra ameaças e dados a milhões de usuários em todo o mundo. As informações apresentadas neste relatório baseiam-se em dados de uso anônimos coletados pela plataforma Netskope Security Cloud em relação a um subconjunto de clientes da Netskope com autorização prévia. Este relatório contém informações sobre as detecções levantadas pelo Next Generation Secure Web Gateway (SWG) da Netskope, sem considerar a importância do impacto de cada ameaça individual. Portanto, as táticas e técnicas destacadas no relatório estão limitadas àquelas observáveis no tráfego HTTP/HTTPS, e os grupos de adversários rastreados neste relatório estão limitados àqueles que usam essas técnicas. As estatísticas apresentadas neste relatório são um reflexo tanto da atividade do adversário quanto do comportamento do usuário. Por exemplo, a seção Acesso inicial: Spearphishing discute os links de phishing reais em que os usuários estão clicando, e não o universo de todos os links de phishing criados pelos adversários. As estatísticas neste relatório são baseadas no período de 1º de janeiro de 2023 a 23 de setembro de 2023.

Netskope Threat Labs

Com a equipe dos principais pesquisadores de malware e ameaças na nuvem do setor, o Netskope Threat Labs descobre, analisa e projeta defesas contra as mais recentes ameaças à Web, à nuvem e aos dados que afetam as empresas. Nossos pesquisadores são apresentadores regulares e voluntários nas principais conferências de segurança, incluindo DEF CON, Black Hat e RSA.

Relatórios de nuvem e ameaças

O Netskope Cloud and Threat Report traz informações exclusivas sobre a adoção de aplicativos na nuvem, mudanças no panorama das ameaças preparadas para a nuvem e os riscos para os dados corporativos.

Procurar relatórios

Tempestade com relâmpagos sobre a cidade à noite

Acelere seu programa de segurança com o líder em SASE.

Iniciar