Quantify the value of Netskope One SSE – Get the 2024 Forrester Total Economic Impact™ study

fechar
fechar
  • Por que Netskope divisa

    Mudando a forma como a rede e a segurança trabalham juntas.

  • Nossos clientes divisa

    A Netskope atende a mais de 3.400 clientes em todo o mundo, incluindo mais de 30 das empresas da Fortune 100

  • Nossos parceiros divisa

    Fazemos parceria com líderes de segurança para ajudá-lo a proteger sua jornada para a nuvem.

Líder em SSE. Agora é líder em SASE de fornecedor único.

Descubra por que a Netskope estreou como líder no Quadrante Mágico™ do Gartner® para Single-Vendor SASE

Obtenha o Relatório
Do Ponto de Vista do Cliente

Leia como os clientes inovadores estão navegando com sucesso no cenário atual de mudanças na rede & segurança por meio da plataforma Netskope One.

Baixe o eBook
Do Ponto de Vista do Cliente
A estratégia de comercialização da Netskope, focada em Parcerias, permite que nossos Parceiros maximizem seu crescimento e lucratividade enquanto transformam a segurança corporativa.

Saiba mais sobre os parceiros da Netskope
Grupo de diversos jovens profissionais sorrindo
Sua Rede do Amanhã

Planeje seu caminho rumo a uma rede mais rápida, segura e resiliente projetada para os aplicativos e usuários aos quais você oferece suporte.

Receba o whitepaper
Sua Rede do Amanhã
Netskope Cloud Exchange

O Cloud Exchange (CE) da Netskope oferece aos clientes ferramentas de integração poderosas para tirar proveito dos investimentos em estratégias de segurança.

Saiba mais sobre o Cloud Exchange
Vista aérea de uma cidade
  • Security Service Edge divisa

    Proteger-se contra ameaças avançadas e com nuvens e salvaguardar os dados em todos os vetores.

  • SD-WAN divisa

    Confidentemente, proporcionar acesso seguro e de alto desempenho a cada usuário remoto, dispositivo, site, e nuvem.

  • Secure Access Service Edge divisa

    O Netskope One SASE oferece uma solução SASE nativa da nuvem, totalmente convergente e de fornecedor único.

A plataforma do futuro é a Netskope

O Security Service Edge (SSE), o Cloud Access Security Broker (CASB), o Cloud Firewall, o Next Generation Secure Web Gateway (SWG) e o Private Access for ZTNA foram integrados nativamente em uma única solução para ajudar todas as empresas em sua jornada para a arquitetura Secure Access Service Edge (SASE).

Vá para a plataforma
Vídeo da Netskope
Next Gen SASE Branch é híbrida — conectada, segura e automatizada

Netskope Next Gen SASE Branch converge o Context-Aware SASE Fabric, Zero-Trust Hybrid Security e SkopeAI-Powered Cloud Orchestrator em uma oferta de nuvem unificada, inaugurando uma experiência de filial totalmente modernizada para empresas sem fronteiras.

Saiba mais sobre Next Gen SASE Branch
Pessoas no escritório de espaço aberto
SASE Architecture For Dummies (Arquitetura SASE para leigos)

Obtenha sua cópia gratuita do único guia de planejamento SASE que você realmente precisará.

Baixe o eBook
Livro eletrônico SASE Architecture For Dummies (Arquitetura SASE para leigos)
Mude para serviços de segurança na nuvem líderes de mercado com latência mínima e alta confiabilidade.

Conheça a NewEdge
Rodovia iluminada através de ziguezagues na encosta da montanha
Permita com segurança o uso de aplicativos generativos de IA com controle de acesso a aplicativos, treinamento de usuários em tempo real e a melhor proteção de dados da categoria.

Saiba como protegemos o uso de IA generativa
Ative com segurança o ChatGPT e a IA generativa
Soluções de zero trust para a implementação de SSE e SASE

Conheça o Zero Trust
Passeio de barco em mar aberto
Netskope obtém alta autorização do FedRAMP

Escolha o Netskope GovCloud para acelerar a transformação de sua agência.

Saiba mais sobre o Netskope GovCloud
Netskope GovCloud
  • Recursos divisa

    Saiba mais sobre como a Netskope pode ajudá-lo a proteger sua jornada para a nuvem.

  • Blog divisa

    Saiba como a Netskope permite a transformação da segurança e da rede por meio do serviço de acesso seguro de borda (SASE)

  • Eventos e workshops divisa

    Esteja atualizado sobre as últimas tendências de segurança e conecte-se com seus pares.

  • Security Defined divisa

    Tudo o que você precisa saber em nossa enciclopédia de segurança cibernética.

Podcast Security Visionaries

Previsões para 2025
Neste episódio de Security Visionaries, temos a companhia de Kiersten Todt, presidente da Wondros e ex-chefe de gabinete da Agência de Segurança Cibernética e de Infraestrutura (CISA), para discutir as previsões para 2025 e além.

Reproduzir o podcast Navegue por todos os podcasts
Previsões para 2025
Últimos blogs

Leia como a Netskope pode viabilizar a jornada Zero Trust e SASE por meio de recursos de borda de serviço de acesso seguro (SASE).

Leia o Blog
Nascer do sol e céu nublado
SASE Week 2024 On-Demand

Aprenda a navegar pelos últimos avanços em SASE e confiança zero e explore como essas estruturas estão se adaptando para enfrentar os desafios de segurança cibernética e infraestrutura

Explorar sessões
SASE Week 2024
O que é SASE?

Saiba mais sobre a futura convergência de ferramentas de redes e segurança no modelo predominante e atual de negócios na nuvem.

Saiba mais sobre a SASE
  • Empresa divisa

    Ajudamos você a antecipar os desafios da nuvem, dos dados e da segurança da rede.

  • Carreira divisa

    Junte-se aos mais de 3.000 membros incríveis da equipe da Netskope que estão criando a plataforma de segurança nativa da nuvem líder do setor.

  • Customer Solutions divisa

    Estamos aqui junto com você a cada passo da sua trajetória, assegurando seu sucesso com a Netskope.

  • Treinamento e credenciamentos divisa

    Os treinamentos da Netskope vão ajudar você a ser um especialista em segurança na nuvem.

Apoiando a sustentabilidade por meio da segurança de dados

A Netskope tem o orgulho de participar da Visão 2045: uma iniciativa destinada a aumentar a conscientização sobre o papel da indústria privada na sustentabilidade.

Saiba mais
Apoiando a sustentabilidade por meio da segurança de dados
Ajude a moldar o futuro da segurança na nuvem

Na Netskope, os fundadores e líderes trabalham lado a lado com seus colegas, até mesmo os especialistas mais renomados deixam seus egos na porta, e as melhores ideias vencem.

Faça parte da equipe
Vagas na Netskope
Netskope dedicated service and support professionals will ensure you successful deploy and experience the full value of our platform.

Ir para Soluções para Clientes
Netskope Professional Services
Proteja sua jornada de transformação digital e aproveite ao máximo seus aplicativos de nuvem, web e privados com o treinamento da Netskope.

Saiba mais sobre Treinamentos e Certificações
Grupo de jovens profissionais trabalhando

Introdução link link

Os atacantes estão adicionando novos e sofisticados recursos de comando e controle (C2) em seus malwares, que facilmente evitam as defesas estáticas comuns com base em assinaturas IPS ou listas de bloqueio de IP/domínio/URL usando ferramentas comuns e amplamente disponíveis da estrutura C2, como Cobalt Strike, Brute Ratel, Mythic, Metasploit, Sliver e Merlin. Essas ferramentas fornecem recursos pós-exploração, incluindo comando e controle, escalonamento de privilégios e ações no host, e foram originalmente projetadas para testes de penetração e operações de equipe vermelha.

No entanto, os atacantes sequestraram e incorporaram esses mesmos kits de ferramentas para fins maliciosos, pois muitos produtos são de código aberto, como Mythic e Merlin, enquanto outros produtos comerciais, como Cobalt Strike e Brute Ratel, foram roubados pelos atacantes por meio de cópias hackeadas ou código-fonte vazado. Isso efetivamente transformou essas mesmas ferramentas em estruturas C2 adversárias para pós-exploração maliciosa.

As ferramentas podem facilmente moldar e alterar muitos parâmetros das comunicações C2, permitindo que o malware evite as defesas atuais com ainda mais facilidade e por períodos mais longos, causando maiores danos nas redes das vítimas, incluindo: roubo de mais dados, descoberta de dados mais valiosos, indisponibilidade de aplicativos/serviços comerciais e manutenção do acesso oculto às redes para danos futuros.

As abordagens atuais para detectar o malware mais recente usando estruturas C2 utilizam assinaturas e indicadores estáticos, incluindo detecção de executáveis de implantes, assinaturas IPS para detecção de tráfego C2 e filtros IP/URL que são inadequados para lidar com os perfis dinâmicos e maleáveis das ferramentas da estrutura C2 amplamente disponíveis.

É necessária uma nova abordagem que não esteja tão rigidamente vinculada a ataques conhecidos, mas baseada na detecção de anomalias de um conjunto abrangente de sinais alimentados em modelos treinados de aprendizado de máquina com rastreamento detalhado do risco do dispositivo e do usuário. Essa abordagem complementará as abordagens existentes, mas pode aumentar drasticamente as taxas de detecção, mantendo baixos os falsos positivos e protegendo o futuro contra a evolução dos padrões de tráfego de C2, que são facilmente ativados por essas mesmas ferramentas da estrutura C2.

Este artigo discute as lacunas nas abordagens atuais e o aumento da eficácia do uso de uma abordagem focada em aprendizado de máquina com sinais de rede adicionais e métricas de risco refinadas com base em modelos no nível do usuário e da organização. Também discutimos alguns dos principais desafios em testar a eficácia de qualquer solução de detecção de farol C2.

 

Estruturas C2 adversárias link link

Cobalt Strike, Metasploit, Mythic e Brute Ratel são algumas das ferramentas comerciais e de código aberto de simulação de adversários originalmente projetadas para testes de detecção de malware pela equipe vermelha. Esses kits de ferramentas às vezes são chamados de ferramentas de emulação de ameaças ou estruturas C2, pois fornecem um rico conjunto de recursos (Gill) para simular a atividade real de ameaças durante as operações da equipe vermelha, com foco nas partes de comando e controle pós-exploração da cadeia de ataque.

Podemos usar alguns desses termos de forma intercambiável ao longo do artigo, mas geralmente usamos estruturas C2 para enfatizar que essas ferramentas estão sendo usadas por agentes mal-intencionados para impactar os ambientes de produção e que o problema a ser resolvido é muito mais do que simulações ou emulações feitas por equipes vermelhas internas amigáveis.

Essas ferramentas da estrutura C2 foram incorporadas, hackeadas ou roubadas e usadas por vários atacantes (“Cobalt Strike: operação policial internacional aborda o uso ilegal da ferramenta de teste de canivetes suíços”), incluindo atores estatais como o APT29 da Rússia na SolarWinds (“O ataque à cadeia de suprimentos da SolarWinds usa o SUNBURST Backdoor”) e o TA415 da RPC (Larson e Blackford) para aprimore e desenvolva os recursos de comunicação furtiva de vários RATs, botnets e malwares habilitados para C2.

O Cobalt Strike é a ferramenta de estrutura C2 mais popular e a usamos como um exemplo específico ao longo deste artigo, embora as observações se apliquem a todas as ferramentas semelhantes. O diagrama de arquitetura de alto nível do Cobalt Strike a seguir mostra seus componentes básicos (Rahman) e o fluxo de ataque em tempo de execução.

Arquitetura de alto nível Cobalt Strike

Figura 1: Arquitetura de alto nível Cobalt Strike

 

#

Etapa de ataque

Description

1

Acesso inicial/infecçãoVetor de infecção inicial, incluindo o downloader e o loader para a carga útil do beacon.

2

Ligue para casa (C2)

O Beacon chama o Team Server normalmente utilizando HTTP/HTTPS/DNS. Pode utilizar ofuscação de domínio/IP por meio de redirecionadores, como proxies, fronting de domínio (por exemplo. CDNs) ou mascaramento de domínio. Os beacons também podem encadear as comunicações para contornar a segmentação interna da rede.

3

Comando e controle do atacanteO atacante controla o Beacon, emitindo vários comandos. Pode utilizar Aggressor Scripts para automatizar/otimizar o fluxo de trabalho.

4

Executar comandosO Beacon pode usar Execute Assembly (executáveis.NET) em um processo separado ou arquivos de objeto Beacon dentro da sessão/processo do Beacon, estendendo os recursos pós-exploração. A injeção de memória é usada para evitar a detecção das defesas de terminais focadas em arquivos e atividades de disco associadas a arquivos maliciosos.

5

Ações no hostVárias ações integradas são fornecidas para novos recursos por meio de extensões como BOFs ou Execute Assembly.

Tabela 1: Cadeia de ataque usando o Cobalt Strike C2 Framework

 

O Cobalt Strike e kits de ferramentas similares permitem uma ampla e fácil configuração no tráfego HTTP/S, produzindo tráfego C2 que geralmente parece benigno, parece tráfego HTTP/Web normal e é semelhante ao tráfego de navegadores da Web ou aplicativos populares. Há configurações padrão fornecidas com as ferramentas que emulam malwares conhecidos e aplicativos válidos conhecidos.

Embora o DNS também seja suportado como um protocolo C2, focaremos a discussão no HTTP/S C2, pois ele reflete a maior parte do tráfego de rede entrada/saída de uma organização, é mais complexo devido à variedade de aplicativos que usam HTTP/S e atrai a maioria dos agentes mal-intencionados que estão tentando se esconder em meio ao ruído da rede, incluindo beacons C2 benignos legítimos.

Os kits de ferramentas são altamente configuráveis (por meio de perfis maleáveis) e podem variar facilmente o tempo, a frequência, o volume, os protocolos do aplicativo, os IPs/domínios de destino, os agentes do usuário, os cabeçalhos HTTP, os verbos HTTP, os URIs, os parâmetros, os certificados SSL/TLS, o atraso de sinalização com instabilidade aleatória e a carga/conteúdo. As ferramentas da estrutura C2 também permitem um grande número de ações pós-exploração, que são criptografadas, baixadas e executadas na memória, tornando a atividade pós-comprometimento muito difícil de detectar nos endpoints.

Vamos nos concentrar nos recursos específicos de comunicação C2 das ferramentas da estrutura C2 (por exemplo, beaconing C2) e na facilidade com que as comunicações são alteradas (por exemplo, por meio dos perfis maleáveis C2 da Cobalt Strike) e nos desafios colocados às organizações que tentam detectar malware furtivo.

Existem vários bons recursos que discutem a funcionalidade dos perfis maleáveis (Gill) do Cobalt Strike, mas destacaremos alguns dos recursos mais usados. Aqui está um trecho do perfil maleável para imitar o aplicativo de navegador Gmail no Cobalt Strike (Mudge):

Figura 2: Perfil maleável C2 (gmail)

Figura 2: Perfil maleável C2 (gmail)

 

Algumas das principais funcionalidades e áreas do perfil são:

Seção | Configurações

Descrição | Capacidades

certificado https# Use um certificado existente ou gere um certificado autoassinado, conforme mostrado neste
# exemplo.
opções globais# As opções globais abaixo definem o tempo de sono do farol C2 para 60 segundos com uma variação aleatória
# de +/- 15%, mostrando a capacidade de variar o tempo de chamada para casa para evitar # fácil detecção.

set sleeptime " 60000 ";
set jitter " 15 ";


# Outras opções globais especificam parâmetros de ação pós-exploração no host, como o nome do processo
# gerado para executar comandos usando injeção na memória ou o # pipename usado para comunicações IPC.
Eles não são relevantes para o C2.
defina o nome do tubo " interprocess_## "; defina spawn como " userinit.exe ";
http-get# O caminho uri usado para comunicações


com
o





servidor beacon- > pode ser variado com um conjunto de listas uri " /_/scs/mail-static/_/js/ "; # As comunicações do cliente (servidor beacon- >), incluindo cookies, cabeçalhos e codificação #, podem ser especificadas e variadas facilmente no
nível do protocolo HTTP, cliente {metadata {}} # Da mesma forma, servidor- As comunicações do beacon > também podem ser variadas no servidor de nível de protocolo HTTP #
{
header {}}
}


# O Cobalt Strike permite moldar o fluxo de comunicação bidirecional entre o
cliente # Beacon e o C2 Team Server (“Um passo a passo da transação HTTP do Beacon”):
# 0. http-stager {} opcional stager para baixar o Beacon
# 1 completo. http-get {client} cliente -- ligue para casa → servidor
nº 2. http-get {server} servidor -- cmds → cliente
nº 3. http-post {client} cliente -- saída cmd
→ servidor nº 4. http-get {server} servidor -- confirm → client

Tabela 2: Descrição do perfil maleável C2 (gmail)

 

Como pode ser visto acima, modificações simples desses perfis podem facilmente alterar o comportamento das comunicações C2 para imitar aplicativos comuns, seus beacons e tráfego da web. Existem mais de 240 perfis públicos maleáveis somente para o Cobalt Strike, prontamente disponíveis para uso ou que podem ser facilmente modificados.

 

Abordagens de detecção atuais link link

As abordagens atuais para detectar tráfego C2 malicioso tendem a corresponder a assinaturas de bytes codificadas ou usar expressões regulares para corresponder à carga útil ou aos cabeçalhos (assinaturas IPS), ou são baseadas na correspondência de listas de IP/domínio/URL. Essas abordagens são estáticas e facilmente evitadas pela natureza dinâmica e configurável dos kits de ferramentas da estrutura C2 incorporados pelos atacantes.

Assinaturas IPS

Para ilustrar os desafios das soluções IPS, aqui está uma das regras do Snort para detectar o Zeus Trojan (Snort):

Figura 3: Regra do Snort (Zeus Trojan)

Figura 3: Regra do Snort (Zeus Trojan)

 

O Snort e muitas soluções IPS permitem várias combinações de conteúdo ou cabeçalhos nas camadas 3 e 4, bem como no nível do aplicativo, conforme indicado pelos verbos de ação na regra. Muitas correspondências, como a opção de regra de conteúdo, são correspondências estáticas de byte/caractere, enquanto a opção de regra pcre é uma correspondência de expressão regular.

Ao olhar lado a lado tanto para o lado adversário (por exemplo, o perfil maleável C2 para o Gmail visto anteriormente) quanto para o lado defensivo (por exemplo, a regra de bufo de Zeus), a correspondência estática e a fragilidade codificadas ficam claras. Imagine que um invasor tenha criado e implantado uma nova variante do Zeus que usava o Cobalt Strike e um Snort IPS tivesse a regra Zeus acima em vigor que detectou efetivamente o novo malware. O invasor poderia facilmente alterar um caractere no perfil, como adicionar um espaço no MSIE para evitar a correspondência: content: " |3B 20|MSIE|20| "; e o malware poderia escapar da assinatura IPS.

Embora haja consciência contextual e rastreamento de estado, a abordagem de assinatura IPS é inerentemente limitada devido à sua correspondência estática, que res