Quantify the value of Netskope One SSE – Get the 2024 Forrester Total Economic Impact™ study

cerrar
cerrar
  • Por qué Netskope chevron

    Cambiar la forma en que las redes y la seguridad trabajan juntas.

  • Nuestros clientes chevron

    Netskope atiende a más de 3.400 clientes en todo el mundo, incluidos más de 30 de las 100 empresas más importantes de Fortune

  • Nuestros Partners chevron

    Nos asociamos con líderes en seguridad para ayudarlo a asegurar su viaje a la nube.

Líder en SSE. Ahora es líder en SASE de un solo proveedor.

Descubre por qué Netskope debutó como Líder en el Cuadrante Mágico de Gartner® 2024 para Secure Access Service Edge (SASE) de Proveedor Único.

Obtenga el informe
Testimonios de Clientes

Lea cómo los clientes innovadores navegan con éxito por el cambiante panorama actual de las redes y la seguridad a través de la Plataforma Netskope One.

Obtenga el eBook
Testimonios de Clientes
La estrategia de venta centrada en el partner de Netskope permite a nuestros canales maximizar su expansión y rentabilidad y, al mismo tiempo, transformar la seguridad de su empresa.

Más información sobre los socios de Netskope
Grupo de jóvenes profesionales diversos sonriendo
Tu red del mañana

Planifique su camino hacia una red más rápida, más segura y más resistente diseñada para las aplicaciones y los usuarios a los que da soporte.

Obtenga el whitepaper
Tu red del mañana
Netskope Cloud Exchange

Cloud Exchange (CE) de Netskope ofrece a sus clientes herramientas de integración eficaces para que saquen partido a su inversión en estrategias de seguridad.

Más información sobre Cloud Exchange
Vista aérea de una ciudad
  • Security Service Edge chevron

    Protéjase contra las amenazas avanzadas y en la nube y salvaguarde los datos en todos los vectores.

  • SD-WAN chevron

    Proporcione con confianza un acceso seguro y de alto rendimiento a cada usuario remoto, dispositivo, sitio y nube.

  • Secure Access Service Edge chevron

    Netskope One SASE proporciona una solución SASE nativa en la nube, totalmente convergente y de un único proveedor.

La plataforma del futuro es Netskope

Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG) y Private Access for ZTNA integrados de forma nativa en una única solución para ayudar a todas las empresas en su viaje hacia la arquitectura Secure Access Service Edge (SASE).

Todos los productos
Vídeo de Netskope
Next Gen SASE Branch es híbrida: conectada, segura y automatizada

Netskope Next Gen SASE Branch converge Context-Aware SASE Fabric, Zero-Trust Hybrid Security y SkopeAI-Powered Cloud Orchestrator en una oferta de nube unificada, marcando el comienzo de una experiencia de sucursal completamente modernizada para la empresa sin fronteras.

Obtenga más información sobre Next Gen SASE Branch
Personas en la oficina de espacios abiertos.
Arquitectura SASE para principiantes

Obtenga un ejemplar gratuito del único manual que necesitará sobre diseño de una arquitectura SASE.

Obtenga el eBook
Libro electrónico de arquitectura SASE para principiantes
Cambie a los servicios de seguridad en la nube líderes del mercado con una latencia mínima y una alta fiabilidad.

Más información sobre NewEdge
Autopista iluminada a través de las curvas de la ladera de la montaña
Habilite de forma segura el uso de aplicaciones de IA generativa con control de acceso a aplicaciones, capacitación de usuarios en tiempo real y la mejor protección de datos de su clase.

Descubra cómo aseguramos el uso generativo de IA
Habilite de forma segura ChatGPT y IA generativa
Soluciones de confianza cero para implementaciones de SSE y SASE

Más información sobre Confianza Cero
Conducción en barco en mar abierto
Netskope logra la alta autorización FedRAMP

Elija Netskope GovCloud para acelerar la transformación de su agencia.

Más información sobre Netskope GovCloud
Netskope GovCloud
  • Recursos chevron

    Obtenga más información sobre cómo Netskope puede ayudarle a proteger su viaje hacia la nube.

  • Blog chevron

    Descubra cómo Netskope permite la transformación de la seguridad y las redes a través del perímetro de servicio de acceso seguro (SASE)

  • Eventos y Talleres chevron

    Manténgase a la vanguardia de las últimas tendencias de seguridad y conéctese con sus pares.

  • Seguridad definida chevron

    Todo lo que necesitas saber en nuestra enciclopedia de ciberseguridad.

Podcast Security Visionaries

Predicciones para 2025
En este episodio de Security Visionaries, nos acompaña Kiersten Todt, presidenta de Wondros y ex jefa de personal de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), para analizar las predicciones para 2025 y más allá.

Reproducir el pódcast Ver todos los podcasts
Predicciones para 2025
Últimos blogs

Lea cómo Netskope puede habilitar el viaje hacia Zero Trust y SASE a través de las capacidades de perímetro de servicio de acceso seguro (SASE).

Lea el blog
Amanecer y cielo nublado
SASE Week 2024 bajo demanda

Aprenda a navegar por los últimos avances en SASE y Zero Trust y explore cómo estos marcos se están adaptando para abordar los desafíos de ciberseguridad e infraestructura

Explorar sesiones
SASE Week 2024
¿Qué es SASE?

Infórmese sobre la futura convergencia de las herramientas de red y seguridad en el modelo de negocio actual de la nube.

Conozca el SASE
  • Empresa chevron

    Le ayudamos a mantenerse a la vanguardia de los desafíos de seguridad de la nube, los datos y la red.

  • Ofertas de Trabajo chevron

    Únase a los +3,000 increíbles miembros del equipo de Netskopeque construyen la plataforma de seguridad nativa en la nube líder en el sector.

  • Soluciones para clientes chevron

    Le apoyamos en cada paso del camino, garantizando su éxito con Netskope.

  • Formación y Acreditaciones chevron

    La formación de Netskope le ayudará a convertirse en un experto en seguridad en la nube.

Apoyar la sostenibilidad a través de la seguridad de los datos

Netskope se enorgullece de participar en Vision 2045: una iniciativa destinada a crear conciencia sobre el papel de la industria privada en la sostenibilidad.

Descubra más
Apoyando la sustentabilidad a través de la seguridad de los datos
Ayude a dar forma al futuro de la seguridad en la nube

At Netskope, founders and leaders work shoulder-to-shoulder with their colleagues, even the most renowned experts check their egos at the door, and the best ideas win.

Únete al equipo
Empleo en Netskope
Netskope dedicated service and support professionals will ensure you successful deploy and experience the full value of our platform.

Ir a Soluciones para clientes
Servicios profesionales de Netskope
Asegure su viaje de transformación digital y aproveche al máximo sus aplicaciones en la nube, web y privadas con la capacitación de Netskope.

Infórmese sobre Capacitaciones y Certificaciones
Grupo de jóvenes profesionales que trabajan

Informe sobre la nube y las amenazas: principales tácticas y técnicas del adversario

azul claro más
Esta edición del Informe sobre Nube y Amenazas de Netskope se centra en las tácticas y técnicas más utilizadas contra los clientes de Netskope durante los nueve primeros meses de 2023, en los que Wizard Spider ha atacado a más Organización que ningún otro grupo.
Nube oscura sobre la puesta de sol
17 minutos de lectura

Aspectos destacados del informe enlace enlace

  • Los enlaces y archivos adjuntos de spearphishing son las principales técnicas de acceso inicial rastreadas por Netskope Threat Labs este año, en las que los adversarios consiguen engañar a las víctimas para que abran los enlaces y archivos adjuntos a través del correo electrónico, la voz, el texto, las redes sociales y los motores de búsqueda.
  • La ejecución del usuario es la principal técnica de ejecución, y los adversarios tienen la tasa más alta de éxito a la hora de engañar a sus víctimas para que descarguen troyanos cuando los alojan utilizando aplicaciones populares en la nube.
  • Para el comando y control y la exfiltración de datos, los adversarios están favoreciendo en gran medida el uso de HTTP y HTTPS para pasar desapercibidos y mezclarse con el tráfico benigno.
  • La mayor parte de la actividad de los adversarios en la plataforma Netskope Security Cloud proviene de adversarios criminales, siendo la mayor actividad atribuible a Wizard Spider, un grupo ruso responsable de la creación del TrickBot Malware.
  • Los verticales del sector de los servicios financieros y la sanidad son los que registran el mayor porcentaje de actividad atribuible a grupos de adversarios geopolíticos en la plataforma Netskope Security Cloud.

 

test answer

Resumen ejecutivo enlace enlace

La ciberseguridad es una batalla entre dos oponentes: los defensores que buscan proteger a sus usuarios, sus datos y sus sistemas, y los adversarios, que buscan dañarlos y explotarlos. La herramienta más valiosa del defensor es su conocimiento del adversario. Como defensores, buscamos comprender las motivaciones y los objetivos del adversario, así como las tácticas y técnicas que utilizan para lograr esos objetivos. A continuación, diseñamos nuestros sistemas para que sean resistentes a esas tácticas y técnicas e implementamos controles para detectar la actividad del adversario.

Esta edición del Informe sobre amenazas y la nube de Netskope se centra en las tácticas y técnicas más utilizadas contra los clientes de Netskope durante los nueve primeros meses de 2023. Para facilitar una comunicación y comprensión más eficientes, presentamos este Informe en términos del marco ATT& CK de MITRE. El marco proporciona una categorización completa de las tácticas y técnicas de los adversarios, así como la agrupación y la nomenclatura de los adversarios.

En todo el mundo, los clientes de Netskope fueron el blanco más común de los adversarios criminales, siendo Wizard Spider el grupo que más organizaciones atacó. Los ladrones de información y Ransomware siguieron siendo herramientas populares empleadas por adversarios con motivaciones financieras. Menos comunes fueron los adversarios con motivaciones geopolíticas, cuyas herramientas más populares fueron los troyanos de acceso remoto que crean puertas traseras en la Organización a la que se dirigen.

La geografía y el sector son factores significativos a la hora de determinar qué adversarios es probable que tengan como objetivo una Organización. Los adversarios geopolíticos tienden a dirigirse a regiones y sectores específicos por su propiedad intelectual, mientras que los adversarios con motivaciones financieras tienden a desarrollar libros de jugadas optimizados para dirigirse a organizaciones similares, donde pueden reciclar tácticas y técnicas con una personalización mínima. Completamos este Informe explorando cuáles son los adversarios más activos en múltiples verticales del Sector y regiones geográficas.

 

sdofjsfojefgejelosij

Técnicas Superiores enlace enlace

Esta sección explora las tácticas y técnicas más comunes utilizadas por los adversarios para obtener acceso a los sistemas de sus objetivos, ejecutar código malicioso y comunicarse con sistemas comprometidos. Destacamos cuatro tácticas en las que la Netskope Security Cloud Plataforma proporciona visibilidad, y resaltamos las seis técnicas más comúnmente observadas dentro de esas tácticas:

  • Acceso inicial Las técnicas que utilizan los adversarios para entrar en los sistemas de sus objetivos.
  • Ejecución Las técnicas que utilizan los adversarios para ejecutar código malicioso.
  • Comando y control Las técnicas que utilizan los adversarios para comunicarse con los sistemas comprometidos.
  • Exfiltración Las técnicas que utilizan los adversarios para robar información de sus víctimas.

 

Acceso inicial: spearphishing

Cuando se bloquea el acceso remoto a un sistema y el sistema se aplica parches contra vulnerabilidades de seguridad conocidas, la forma más fácil para que un adversario acceda a ese sistema suele ser a través de sus usuarios. Por esa razón, las técnicas de ingeniería social han seguido siendo un pilar del libro de jugadas del adversario. Por ejemplo, el acceso inicial durante el hackeo de MGM de septiembre de 2023 se logró a través de vishing (phishing de voz) llamando al servicio de asistencia de la víctima. Entre las diversas técnicas de phishing, los enlaces de spearphishing y los archivos adjuntos de spearphishing son dos de las más populares en la Netskope Security Cloud Platform en 2023.

El análisis de los enlaces de phishing en los que hacen clic las víctimas puede proporcionar información sobre dónde los adversarios están teniendo más éxito al dirigirse a sus víctimas. Por un amplio margen, los usuarios que hicieron clic con mayor frecuencia en enlaces de phishing dirigidos a aplicaciones en la nube, y un tercio de esos enlaces de phishing se dirigieron a productos de Microsoft. Esto no es sorprendente, ya que Microsoft OneDrive es la aplicación en la nube más popular en la empresa por un amplio margen, junto con otros productos de Microsoft, incluidos SharePoint, Outlook y Teams.

Principales objetivos de phishing por enlaces en los que se hizo clic

Principales objetivos de phishing en la nube por enlaces en los que se hizo clic

¿Cómo engañan los adversarios a sus víctimas para que hagan clic en enlaces de phishing? Aunque el correo electrónico sigue siendo un canal muy común, la tasa de éxito en él es bastante baja por múltiples razones. En primer lugar, las organizaciones tienden a emplear sofisticados filtros antiphishing para bloquear el correo electrónico fraudulento y evitar que llegue a sus víctimas. En segundo lugar, las organizaciones suelen formar a sus usuarios para que sean capaces de reconocer el phishing Correo electrónico. En respuesta, los atacantes están utilizando una variedad de otras tácticas para llegar a sus víctimas:

Optimización para motores de búsqueda (SEO ) - Los adversarios crean páginas Web que emplean técnicas de SEO para asegurarse aparecer en los motores de búsqueda más populares, incluidos Bing y Google. Por lo general, las páginas se elaboran en torno a vacíos de datos (conjuntos específicos de palabras clave que no tienen muchos resultados) y están dirigidas a grupos demográficos específicos.

Redes sociales y aplicaciones de mensajería : los adversarios abusan de las aplicaciones populares de redes sociales (como Facebook) y aplicaciones de mensajería (como WhatsApp) para llegar a sus víctimas utilizando una variedad de cebos diferentes.

Mensajes de voz y de texto - Los Dispositivos Móviles carecen a menudo de los controles de seguridad presentes en los Dispositivos más tradicionales, como los ordenadores portátiles, lo que los convierte en un objetivo popular para los ataques de suplantación de identidad. Las víctimas de llamadas o mensajes de texto se están convirtiendo en métodos cada vez más populares para difundir enlaces de phishing.

Cuentas personales de correo electrónico - Las cuentas personales de correo electrónico suelen tener controles antiphishing menos estrictos, por lo que más correos electrónicos de phishing pueden llegar a sus víctimas. Dado que las cuentas personales de correo electrónico suelen utilizarse en los mismos sistemas que las víctimas utilizan para trabajar, la suplantación de identidad para acceder a activos sensibles gestionados por la Organización a través de cuentas personales de correo electrónico puede ser una estrategia de gran éxito para los adversarios.

Los archivos adjuntos de spearphishing son un tipo especial de phishing en el que el adversario utiliza los archivos adjuntos tanto para crear un aire de legitimidad (por lo general, estos archivos adjuntos parecen facturas profesionales) como para eludir los controles de seguridad que no inspeccionan los archivos adjuntos. Si bien existe cierta variedad en los tipos de archivos que los adversarios usan para los archivos adjuntos de phishing (hojas de cálculo de Microsoft Excel, archivos ZIP, etcétera), la mayoría de estos tipos de archivos son raros. Un asombroso 90% de los archivos adjuntos de phishing son archivos PDF diseñados para atraer a las víctimas para que hagan clic en un enlace de phishing.

Principales tipos de archivos adjuntos de phishing

De forma similar a los enlaces de phishing, los adversarios difunden los archivos adjuntos de phishing a través de múltiples canales, incluido el correo electrónico personal. El número de archivos adjuntos de phishing descargados por las víctimas se disparó a más del triple de su nivel de referencia en agosto, ya que los adversarios empezaron a tener más éxito enviando sus cebos a las cuentas personales de Microsoft Live Correo electrónico de sus víctimas. En los últimos nueve meses, hubo 16 veces más usuarios que descargaron un archivo adjunto de phishing desde una aplicación de correo web personal en comparación con los usuarios que descargaron archivos adjuntos de phishing desde aplicaciones de correo web gestionadas por la Organización.

Volumen de descarga de archivos adjuntos de phishing a lo largo del tiempo

 

Ejecución: Ejecución de usuario

La ingeniería social no se limita al acceso inicial. Los adversarios también dependen de los usuarios para ejecutar cargas útiles maliciosas que proporcionan acceso remoto clandestino, roban información sensible o despliegan Ransomware. Convencer a un usuario objetivo para que ejecute una carga maliciosa a menudo requiere que el usuario haga clic en un enlace malintencionado o, de lo contrario, descargue y ejecute un archivo malintencionado. Los adversarios intentan constantemente nuevas formas de engañar a las víctimas y Netskope Threat Labs hace un seguimiento de esos cambios en nuestro Informe mensual. Hay dos temas generales que han dominado 2023. En primer lugar, los adversarios tienen más éxito a la hora de convencer a sus víctimas de que descarguen archivos maliciosos cuando esos archivos se entregan a través de aplicaciones en la nube. En lo que va de año, una media del 55% de los Malware que los usuarios intentaron descargar se entregaron a través de aplicaciones en la nube.

Malware Entrega, Nube vs. Web

En segundo lugar, las aplicaciones en las que se intentó el mayor número de descargas de Malware fueron también algunas de las aplicaciones en la nube más populares en uso en la empresa. Microsoft OneDrive, la aplicación en la nube más popular en la empresa, ocupó el primer puesto con más de una cuarta parte de todas las descargas de la nube Malware. En total, los adversarios consiguieron inducir a los usuarios a descargar Malware para su ejecución desde 477 aplicaciones en la nube distintas en lo que va de año.

Las mejores aplicaciones para Malware Descargas

 

Comando y Control y Exfiltración

Una vez que un adversario ha ejecutado con éxito una carga maliciosa en el entorno de una víctima, a menudo necesita establecer un canal para comunicarse con el sistema comprometido, que es donde entra en juego el comando y el control. La técnica de mando y control más utilizada por los adversarios en 2023 fue el Protocolo de Capa de Aplicación: Protocolos Web, que a menudo iba unida a la Exfiltración a través del Canal C2. Los adversarios tienen múltiples opciones para crear canales de comando y control, incluido el uso de un marco C2 como CobaltStrike, abusar de una aplicación popular en la nube o crear su propia implementación personalizada.

El sigilo es una característica importante de un canal de comando y control. El adversario no solo necesita comunicarse con el sistema comprometido, sino que también necesita evitar ser detectado al hacerlo. Por esta razón, los adversarios utilizan cada vez más HTTP y HTTPS a través de los puertos 80 y 443 como sus principales canales de comunicación C2. Es muy probable que se permita el tráfico HTTP y HTTPS desde un sistema infectado y se mezclará con la abundancia de tráfico HTTP y HTTPS que ya está en la red. Contrasta este enfoque con Malware que se comunica a través de puertos o protocolos poco utilizados, como IRC o FTP. Dicha comunicación sería comparativamente fácil de detectar y fácil de bloquear, incluso con un cortafuegos de capa 3 y especialmente con un cortafuegos de capa 7. Según un análisis de decenas de miles de muestras de Malware detectadas en 2023, HTTP (80) y HTTPS (443) fueron los protocolos C2 y de exfiltración de datos favoritos por un amplio margen, utilizados por más de dos tercios de las muestras de Malware. El siguiente protocolo más popular fue el DNS, seguido de una variedad de otros puertos y protocolos poco utilizados.

Top Malware Puertos de comunicación

 

Análisis del adversario enlace enlace

Netskope Threat Labs rastrea a los adversarios que atacan activamente a los clientes de Netskope para comprender mejor sus motivaciones, tácticas y técnicas. A continuación, aprovechamos esa información para ayudar a nuestros clientes a defender sus sistemas contra esos adversarios. Los adversarios que rastrea Netskope Threat Labs se dividen generalmente en dos categorías, en función de sus motivaciones.

Criminal
El principal objetivo de los grupos de adversarios criminales es el beneficio económico, y su conjunto de herramientas suele incluir ladrones de información y Ransomware. La extorsión ha sido un negocio extremadamente rentable para los ciberdelincuentes durante los últimos años, con un estimado de 457 millones de dólares en pagos de rescate realizados en 2022. La mayoría de los adversarios criminales han diversificado sus operaciones para utilizar tanto Ransomware como infosecuestradores con el fin de aumentar las probabilidades de que la víctima pague. Si encriptar sus sistemas con Ransomware no fuera suficiente para convencerles de que paguen, tal vez la divulgación pública de la información sensible robada a la Organización ayudaría. Aunque intentamos etiquetar a cada grupo criminal adversario según el país en el que operan, muchos grupos trabajan a nivel transnacional. Además, muchos ahora operan en un modelo de afiliados, lo que hace que sus operaciones sean aún más dispersas. Como resultado, normalmente asociamos un grupo con el país o la región de la que se cree que provienen sus miembros principales.

Geopolítico
Los grupos adversarios geopolíticos están motivados por cuestiones geopolíticas. Por lo general, son estados-nación o sus representantes, y sus actividades suelen reflejar conflictos políticos, económicos, militares o sociales más amplios. Por ejemplo, grupos adversarios rusos lanzaron ciberataques contra Ucrania que coincidieron con su invasión a ese país. Los grupos geopolíticos suelen participar en operaciones cibernéticas contra otros Estados-nación, y dichas operaciones se han convertido en un componente crítico de las relaciones internacionales modernas. Las líneas entre adversarios geopolíticos y criminales a veces se difuminan, y algunos grupos geopolíticos también participan en actividades motivadas financieramente. Por ejemplo, el actual régimen norcoreano financia el desarrollo de su programa de misiles a través del cibercrimen. Las operaciones cibernéticas específicas emprendidas por los adversarios geopolíticos varían, incluyendo el ciberespionaje contra organizaciones gubernamentales y no gubernamentales y el sabotaje de infraestructuras críticas para desestabilizar a un adversario. Los adversarios geopolíticos también participan en la guerra de la información, difundiendo propaganda, manipulando la opinión pública e influyendo en las elecciones populares.

Atribuir actividad a un grupo adversario específico puede ser un desafío. Los adversarios intentan ocultar sus verdaderas identidades o incluso lanzan intencionadamente operaciones de falsa bandera en las que intentan hacer que sus ataques parezcan provenir de otro grupo. Varios grupos a menudo usan las mismas tácticas y técnicas, algunos van tan lejos como para usar exactamente las mismas herramientas o incluso comparten infraestructura. Incluso definir grupos adversarios puede ser un desafío, ya que los grupos evolucionan o los miembros se mueven entre grupos. Por estas razones, las atribuciones de los adversarios son difusas y están sujetas a cambios y evoluciones a medida que sale a la luz nueva información. En el resto de este Informe, presentamos estadísticas sobre las actividades de los adversarios observadas en la Plataforma Netskope Security Cloud y los grupos probablemente responsables de dichas actividades.

 

Principales grupos adversarios

El principal grupo de adversarios que tenía como objetivo a los usuarios de la Netskope Security Cloud Plataforma era Wizard Spider (a.k.a. UNC1878, TEMP.MixMaster, Grim Spider), un adversario criminal con base en Rusia al que se atribuye la creación del TrickBot Malware. El TrickBot Malware fue creado originalmente como un troyano bancario, pero desde entonces ha evolucionado hasta convertirse en una compleja plataforma Malware que contiene componentes de robo de información, movimiento lateral, mando y control y exfiltración de datos. Como es típico de los grupos de adversarios criminales, Wizard Spider se ha dirigido a una amplia variedad de Organización de víctimas con Ransomware. Entre las tácticas y técnicas utilizadas por Wizard Spider se incluyen las seis técnicas destacadas en este Informe en torno al spearphishing, la ejecución de usuarios y el comando y control.

Otros grupos de adversarios criminales activos que recurren en gran medida a Ransomware son TA505 (alias. Hive0065), responsable del Clop Ransomware, y FIN7 (alias GOLD NIAGARA, ITG14, Carbon Spider), que utilizó el REvil Ransomware y creó el Darkside Ransomware. Mientras que los principales grupos de adversarios criminales que tienen como objetivo a los clientes de Netskope son rusos y ucranianos, los principales grupos de adversarios geopolíticos son chinos, liderados por memupass (alias. Cicada, POTASSIUM, Stone Panda, APT10, Red Apollo, CVNX, HOGFISH) y Aquatic Panda, que se han dirigido a distintos tipos de Organización en todo el mundo.

 

Diferencias geográficas y sectoriales

La geografía y el sector son factores significativos a la hora de determinar qué adversarios es probable que tengan como objetivo una Organización. Los adversarios geopolíticos tienden a dirigirse a regiones y sectores específicos por su propiedad intelectual, mientras que los adversarios con motivaciones financieras tienden a desarrollar libros de jugadas optimizados para dirigirse a organizaciones similares, donde pueden reciclar técnicas con una personalización mínima. Por verticales del sector, hay dos que destacan: los servicios financieros y la sanidad. En esas dos verticales, la división entre las actividades criminales y geopolíticas de los adversarios es casi 50/50. Mientras tanto, en el resto de verticales del sector, la división se acerca más al 80/20. Esto indica que la Organización en el sector de los servicios financieros y de la sanidad es con más frecuencia el objetivo de los adversarios geopolíticos.

Motivaciones de los adversarios por sector objetivo

Estas diferencias también son evidentes cuando se comparan las fuentes probables de la actividad de los adversarios en cada Sector. Dado que muchos de los adversarios criminales que rastreamos están ubicados en Rusia, el Sector con mayor porcentaje de actividad criminal también tiene los porcentajes más altos de actividad atribuible a grupos con base en Rusia. Mientras tanto, los servicios financieros y la sanidad (el sector al que se dirigen más adversarios geopolíticos) tienen una mezcla más uniforme de adversarios que les apuntan desde Rusia, Oriente Próximo y China. Las otras ubicaciones de los adversarios que no se muestran en el gráfico a continuación incluyen Corea del Norte, Pakistán, India, Vietnam y Nigeria.

Actividad adversaria del sector

Por regiones, los adversarios más activos también difieren significativamente, con dos regiones destacadas: Australia y América del Norte. Ambas regiones destacan por tener el mayor porcentaje de actividad adversaria atribuible a grupos criminales. Esto indica que los usuarios de EE. UU. y Australia tienen más probabilidades de ser atacados por adversarios criminales, mientras que en otras partes del mundo, la división de la actividad geopolítica y criminal de los adversarios está más cerca del 50/50.

Motivaciones del adversario por región objetivo

El desglose de la actividad regional de los adversarios sigue un patrón similar al de los datos del Sector: las regiones objetivo de los grupos criminales tienden a serlo de grupos con sede en Rusia, mientras que las regiones con un mayor porcentaje de actividad geopolítica tienden a ver un porcentaje más significativo de actividad adversaria atribuida a grupos geopolíticos de China.

Actividad del adversario regional

 

Recomendaciones

El marco ATT&CK de Mitre proporciona un lenguaje común para los grupos adversarios, sus tácticas y sus técnicas. Los defensores pueden usar este marco para determinar si sus defensas están adecuadamente emparejadas contra sus adversarios. Para cada una de las técnicas analizadas en este Informe, esta sección ofrece recomendaciones específicas.

Acceso inicial: Enlaces de spearphishing
Implemente defensas antiphishing que vayan más allá del Correo electrónico para garantizar que los usuarios estén protegidos contra los enlaces de spearphishing independientemente de dónde se originen. Una solución SWG que inspeccione el tráfico DNS, el tráfico en la nube y el tráfico Web en busca de indicios de phishing puede impedir que los usuarios visiten enlaces de phishing selectivo independientemente de su origen, utilizando firmas e inteligencia para protegerse contra las amenazas de phishing conocidas y la IA para protegerse contra las amenazas desconocidas y selectivas. Netskope clientes pueden configurar sus Netskope Next Gen Secure Web Gateway para protegerse contra el phishing. Remote Browser Isolation (RBI) puede proporcionar una protección adicional cuando exista la necesidad de visitar sitios web de categorías que puedan presentar un mayor riesgo, como los dominios recién observados y registrados, el correo web personal y las redes sociales.

Acceso inicial: archivos adjuntos de spearphishing
Si bien las protecciones de enlaces de spearphishing también pueden ayudar a proteger contra los usuarios que hacen clic en los enlaces en los archivos adjuntos de spearphishing, una defensa más sólida proporcionará protecciones adicionales contra los usuarios que descargan archivos adjuntos de spearphishing. Dado que pueden proceder de múltiples fuentes, una estrategia eficaz inspeccionará todas las descargas HTTP y HTTPS, incluido todo el tráfico de Web y de la nube, en busca de pruebas de spearphishing utilizando inteligencia de amenazas, firmas, heurística e IA. Netskope los clientes pueden configurar su Netskope Next Gen Secure Web Gateway con una Política de Protección frente a Amenazas que se aplica a las descargas de todo tipo de archivos de todas las fuentes. Inspeccionar las descargas de contenidos desde aplicaciones populares en la nube (como Microsoft OneDrive) es especialmente importante para protegerse de los adversarios que abusan de dichas aplicaciones para enviar Malware.

Ejecución: Enlace malicioso y Ejecución: Archivo malicioso
Dado que los adversarios utilizan múltiples canales para distribuir Malware, incluidas aplicaciones populares en la nube como Microsoft OneDrive, una estrategia defensiva eficaz debe inspeccionar todo el tráfico -incluidos Web y la nube- en busca de contenido malicioso. Asegúrese de que los tipos de archivos de alto riesgo, como ejecutables y archivos, se inspeccionen minuciosamente mediante una combinación de análisis estáticos y dinámicos antes de descargarlos. Los clientes de Netskope Advanced Threat Protection pueden utilizar una Política de Prevención de Paciente Cero para retener las descargas hasta que hayan sido completamente inspeccionadas por múltiples motores de análisis estáticos y dinámicos, incluidos los que utilizan IA para detectar ataques dirigidos. Netskope los clientes pueden configurar su Netskope Next Gen Secure Web Gateway con una Política de Protección frente a Amenazas que se aplica a las descargas de todo tipo de archivos de todas las fuentes. Para reducir aún más la superficie de riesgo, configure Política para bloquear las descargas de aplicaciones que no se utilizan en su Organización para reducir su superficie de riesgo a sólo aquellas aplicaciones e instancias (empresa vs. personal) que son necesarias. Bloquee las descargas de todos los tipos de archivos riesgosos de dominios recién registrados, dominios recién observados y otras categorías riesgosas.

Mando y control: Protocolo de la capa de aplicación: Protocolos Web
Una estrategia eficaz para detectar y prevenir el tráfico C2 adversario a través de los protocolos Web incluye el uso de un SWG y un IPS para bloquear la comunicación con infraestructuras C2 conocidas y que muestren patrones C2 comunes. Los clientes de Netskope Advanced Threat Protection pueden utilizar las funciones IPS y Advanced UEBA para identificar el tráfico C2 y otras señales de comportamiento posterior a la infracción. El bloqueo de dominios recién registrados, dominios recién observados y alertas sobre patrones de tráfico de red inusuales también puede reducir la superficie de riesgo y permitir la detección temprana. La seguridad de DNS y el firewall en la nube también se pueden utilizar para protegerse contra el tráfico C2 que no es HTTP/HTTPS.

Exfiltración: Exfiltración a través del canal C2
Las mismas protecciones para detectar e impedir el tráfico C2 adversario también pueden ser eficaces contra la exfiltración de datos a través del mismo canal C2 o de cualquier otro protocolo Web. Netskope Los clientes que utilicen DLP pueden configurar Políticas que restrinjan dónde pueden cargarse los datos, limitando de forma efectiva los canales a través de los cuales el atacante es capaz de exfiltrar datos. Los clientes de Netskope que utilizan la UEBA avanzada disponen de protecciones adicionales contra la C2 que incluyen la identificación de anomalías en la transferencia de datos, como picos de cargas a lugares inusuales y la transferencia de contenidos cifrados o codificados (una técnica habitual utilizada por los adversarios).

En resumen, una evaluación de qué tráfico se inspecciona y qué se omite es vital para que sus defensas protejan a los usuarios, los datos, las aplicaciones y la infraestructura de estos adversarios. Sabiendo que está inspeccionando todo el tráfico posible, el siguiente paso es alinear las defensas con las seis técnicas señaladas en este Informe. Algunas defensas se basarán en firmas y patrones, mientras que las innovaciones en IA/ML (por ejemplo, algoritmos, extractores de características y detección de anomalías) se pueden usar para proteger contra amenazas desconocidas o de día cero. Una o dos veces al año, evalúe cómo pivotan los adversarios para evadir las defensas actuales y revise qué defensas Nuevo están disponibles para proteger a sus usuarios, datos, aplicaciones e infraestructura.

Acerca de este informe enlace enlace

Netskope Threat Labs publica trimestralmente un Informe sobre Nube y Amenazas para destacar un conjunto específico de retos de ciberseguridad. El propósito de este Informe es proporcionar inteligencia estratégica y procesable sobre las amenazas activas.

Netskope proporciona protección contra amenazas y datos a millones de usuarios en todo el mundo. La información presentada en este Informe se basa en datos de uso anonimizados recogidos por la PlataformaNetskope Security Cloud relativos a un subconjunto de clientes de Netskope con autorización previa. Este Informe contiene información sobre las detecciones realizadas por Netskope's Next Generation Secure Web Gateway (SWG), sin tener en cuenta la importancia del impacto de cada amenaza individual. Por lo tanto, las tácticas y técnicas destacadas en el Informe se limitan a las que son observables en el tráfico HTTP/HTTPS, y los grupos de adversarios rastreados en este Informe se limitan a los que utilizan dichas técnicas. Las estadísticas presentadas en este Informe son un reflejo tanto de la actividad de los adversarios como del comportamiento de los usuarios. Por ejemplo, en la sección Acceso inicial: Spearphishing se analizan los enlaces de phishing reales en los que hacen clic los usuarios, no el universo de todos los enlaces de phishing creados por los adversarios. Las estadísticas de este Informe se basan en el periodo comprendido entre el 1 de enero de 2023 y el 23 de septiembre de 2023.

Netskope Threat Labs enlace enlace

Integrado por los investigadores más destacados del sector en materia de amenazas en la nube y Malware, Netskope Threat Labs descubre, analiza y diseña defensas contra las últimas amenazas de Web, la nube y los datos que afectan a las empresas. Nuestros investigadores son presentadores y voluntarios habituales en las principales conferencias de seguridad, incluidas DEF CON, Black Hat y RSA.

azul claro más

Informes de nube y amenazas

El informe Netskope Cloud and Threat Report ofrece una visión única sobre la adopción de aplicaciones en la nube, los cambios en el panorama de las amenazas en la nube y los riesgos para los datos de la empresa.

Tormenta con relámpagos sobre la ciudad por la noche

Acelere su estrategia de seguridad con el líder en SASE.