您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[Cato Networks]:2024 年第一季度的 CTRL SASE 威胁报 ( 英文版 ) - 发现报告
当前位置:首页/行业研究/报告详情/

2024 年第一季度的 CTRL SASE 威胁报 ( 英文版 )

2024 年第一季度的 CTRL SASE 威胁报 ( 英文版 )

卡托网络: TheCatoCTRLSASE 威胁报告 Q1| 目录 执行摘要 3Introduction6关于CatoCTRL8报告结构9第1 节:一般统计11 入站威胁12出站 威胁 13WA Nbound威胁15第 2部分:缓解的漏洞(CVE)19入境交通20出站 交通22第 3节:可疑活动监控(SAM)25 出站SAM27 WANboundSAM30 第4节:企业安全行为33 安全与不安全协议34 应用程序使用38 第5节:黑客社区41 工装42 Deepfake43 职业与发展46 第6节:推荐Actions47 执行摘要 以下是关键要点 从本季度的分析来看: AI席卷企业 企业中使用的最常见的AI工具是MicrosoftCopilot,OpenAIChatGPT和Emol,这是一种记录与AI机器人的情感和对话的应用程序。这些工具的采用程度最高的是旅行和旅游行业 (79%),而娱乐行业中的采用率最低组织(44%)。 偷看地下的黑客 作为其研究的一部分,CatoCTRL监控来自各种黑客论坛的讨论。该报告发现攻击者正在讨论如何越狱ChatGPT以创建自定义SQLMap命令。我们发现 用于生成虚假凭证和制造深度假货的服务的广告。我们还继续监控招聘以创建恶意ChatGPT。 3卡托CTRLSASE威胁报告2024年第一季度 执行摘要 小心你在哪里购物 威胁参与者正在建立模仿知名品牌的域名。Booking,Amazon和eBay是最欺骗的品牌。 企业在其网络中过于信任 许多企业继续在其WAN上运行不安全的协议,所有Web应用程序流量的62%是HTTP ,所有流量的54%是telnet,所有流量的46%是SMBv1或v2而不是SMBv3。特别是在农业、房地产、旅游和旅游业。 零日是你最少的问题 虽然我们业内非常关注零日威胁,但现实情况是,威胁参与者经常试图利用未修补的系统,避开 使用最新的漏洞,而不是利用未修补的系统。例如,在发现Log4J(CVE-2021-44228)三年后仍然是最常用的漏洞之一。 安全性因行业而异 漏洞和技术在行业中很常见,但也有一些特定于行业的漏洞和技术。娱乐、电信和采矿&MetalsarebeingtargetedwithT1499-EndpointDenialofServicetechniquesmorethanothersectors.IntheServicesandHospitalitysectors,threatactorsusetheT1212- ExploitationforCredentialAccessmorethaninother 最后,50%的媒体和娱乐机构不使用信息安全工具。 4卡托CTRLSASE威胁报告2024年第一季度 执行摘要 即使是良性活动也变得可疑 随着攻击者技术的发展,他们会使用原本可能被认为是良性的操作和方法。组织如何检测并阻止它们通过深入了解网络流量模式和AI/ML算法的使用,Cato开发了可疑活动监控 (SAM)正是出于这个原因。 一个很好的例子是动态DNS服务流量。近一半(44%)的 组织具有到动态DNS的出站流量。单独不应阻止动态DNS流量,因为有合法用途。但是,许多攻击者 relyondynamicDNSfortheiractivities.Byunderstandingthegreatercontext 围绕动态DNS流量,组织可以识别此流量是否是恶意的。 DNSSEC的“联合国”采用 我们的数据表明,只有1%的DNS流量使用安全DNS。我们认为这主要是由于DNS是两个 internetandorganizationaloperations.Organizationsfearthatimplementationcomplexitiesmightresultinmisconfigures,potentiallydiscuptingtheir 应用程序和服务。 5卡托CTRLSASE威胁报告2024年第一季度 Introduction 威胁行为者总是在演变。无论是民族国家行为者,网络犯罪集团、勒索软件团伙或针对特定的利基团队 系统-攻击者不断引入新的工具、技术和程序。网络威胁情报(CTI)仍然支离破碎,隔离点解决方案,而不是通过包括外部数据,入站(和出站)威胁和网络活动( WANbound)在内的整体视图进行收集和分析。没有这样的整体视图,很难准确评估企业内部网络安全的真实状态。 为了满足这一需求,CatoNetworks的CTI小组CatoCTRL利用了CatoSASECloud底层的数据湖来开发 企业威胁。作为全球网络,Cato拥有来自跨CatoSASE通信的每个端点的每个流量流量的细粒度数据 云平台。这个海量数据湖进一步丰富了数百个安全提要,并通过专有的ML/AI算法和人工进行分析 智能。结果是一个独特的数据存储库,为安全威胁及其识别网络提供CatoCTRL见解所有流量的特性,无论它们来自或去往所有端点的Internet或WAN-站点,远程 6卡托CTRLSASE威胁报告2024年第一季度 Introduction 用户和云资源。即使Cato的多层防御策略阻止了攻击,也会记录并识别威胁,从而实现这种分析。 本报告总结了CatoCTRL在2024年第一季度从超过2,200个客户的Cato交通流量中收集的调查结果。在 本季度,我们分析了1.26万亿网络流量,阻止了214.5亿次攻击。(将其放在上下文中,这比我们在2022年第一季度分析的3500亿流量多了近四倍。) 本报告可深入了解整个地区的威胁和可疑活动 这些流量。它还利用MITREATT和CK框架提供所有方向上的所有流量的战略,战术和运营信息。在 此外,该报告还重点介绍了在这些网络上运行的应用程序,协议和工具。 7卡托CTRLSASE威胁报告2024年第一季度 关于卡托CTRL CatoCTRL是唯一融合威胁的CTI组具有细粒度网络洞察力的智能 可能是第一个也是唯一的全球SASE平台,CatoSASECloud 。 数十名前军事情报分析师、研究人员和数据 科学家,以及行业认可的安全专业人员,CatoCTRL利用网络数据,安全堆栈数据,数百个安全源,人类智能操作,AI和ML(机器学习)模型等, 揭示最新的威胁和威胁行为者。 使用行业标准框架,如MITREATT和CK,多个 智能学科,以及多年的红色和蓝色团队技术的现场经验,CatoCTRL进行收集,处理,分析和生产尖端CTI的完整智能生命周期。无论是 SOC的战术数据,管理人员的运营威胁格局,或管理层和董事会的战略情报,CatoCTRL已经覆盖了您。 8卡托CTRLSASE威胁报告2024年第一季度 报告结构 本报告分为六个部分 一般统计 本节概述了从依赖CatoSASECloudPlatform的专用全球网络收集的一般统计数据和指标。 缓解的常见漏洞和风险(CVE) ThissectiondiscusstheCVEidentifiedandmeditatedwithinCato’ssystems. Highlightedaretheactivemeasurestoaddressknown 漏洞并防止潜在的漏洞利用。 9卡托CTRLSASE威胁报告2024年第一季度 报告结构 可疑活动监控(SAM)安全事件 本节探讨了可能发生的安全事件 consideredbenearbutareidentifiedasbeingassociatedwithattacksonCato’sSAMsystem.Byanalyzingtheseevents,CatoCTRLidentifies 需要进一步调查或立即采取行动的潜在威胁、异常和模式。 企业安全行为 在本节中,CatoCTRL深入研究了组织的安全行为,检查了安全和不安全协议的使用情况,员工 应用程序和其他相关数据点。 黑客社区和威胁参与者使用AI工具 CatoCTRL密切监控论坛、暗网和私人聊天渠道中的威胁行为者活动,以深入了解威胁行为者的最新趋势和 技术,特别是越来越多地使用人工智能(AI)工具。 改进安全的建议行动 在最后一节中,CatoCTRL根据前几节的调查结果提供了可操作的建议。 10卡托CTRLSASE威胁报告2024年第一季度 Section1 一般统计 一般统计 为了阻止网络攻击,企业应该使用房屋机器学习 基于公司数据和威胁情报馈送的模块。他们还需要小心组织内的受损系统。威胁参与者正在利用它们来扫描(主要是SMB扫描)网络 脆弱性。横向移动威胁在农业、房地产和旅游和 旅游行业。教育比其他行业经历更多的暴力攻击。用户应该继续接受在线欺诈和 网络浏览时的网络钓鱼,尤其是在访问Apple,Amazon和Booking时。这三个是我们研究中最欺骗的品牌。 入站威胁 我们的声誉引擎检测到最常见的入站威胁类型。 在我们的研究中发现的基于声誉的威胁的一些示例包括。用于利用的IP源,垃圾邮件,扫描仪和恶意域。 4%2% 2% 1%顶级入站威胁 声誉 网络扫描 Web应用程序攻击漏洞扫描蛮力 91% 12卡托CTRLSASE威胁报告2024年第一季度 一般统计 当我们按行业垂直细分入站威胁时,我们看到医疗保健部门在Web应用程序攻击和扫描活动方面处于领先地位, 而教育可以从任何行业中最暴力的攻击中获得。这些攻击是针对远程桌面协议(RDP)端口发起的 各行业垂直行业的入站威胁 100% 90% 80% 70% 60% 50% 40% 30% Web应用程序攻击漏洞扫描 远程代码执行 20% 网络扫描 10% 横向运动 0% 出站威胁 网络扫描(87%与出站威胁相关的流量)最多 常见的出站威胁,是攻击者在侦察组织外部目标时使用的基本工具。大多数攻击在网络期间得到缓解 扫描,阻止尝试扫描公共服务。但是,来自出站威胁的大多数阻止流量都源于尝试扫描SMB端口。 13卡托CTRLSASE威胁报告2024年第一季度 一般统计 4%1%0% 8% 顶级出站威胁 网络扫描命令和控制 声誉 恶意软件 渗滤 87% 在分析跨垂直行业的出站威胁时,我们发现 咨询和媒体部门比其他部门更容易受到泄漏威胁。在咨询部门中,数据更常见的是通过FTP发送到低声誉域。无论哪个部门,防止攻击的最常见方法都是由Cato基于声誉的缓解引擎完成的。 14卡托CTRLSASE威胁报告2024年第一季度 一般统计 各行业垂直行业的外向威胁 100% 90% 80% 70% 60% 50% 40% 声誉 网络扫描恶意软件 30%渗滤 20% 10% 0% 命令和控制 在检查出站流量时,很明显,在网络扫描期间,大多数攻击都得到了缓解,这表明扫描公共服务的尝试被阻止。对数据的分析表明,大多数被阻止的流量都是扫描SMB端口的尝试。 WANbound威胁 在Web应用程序攻击中,我们目睹了通过扫描已知URL来检测易受攻击的Web应用程序的多次尝试。我们还看到了 Windows环境,尝试使用WindowsManagementInstrumentation(WMI)查询系统信息,然后执行命令 远程。我们还看到大量使用WinRSEncryptedExecution来通过加密来隐藏Windows远程Shell(WinRS)中的恶意代码。 15卡托CTRLSASE威胁报告2024年第一季度 一般统计 3%2%2% 9% 顶级WANbound威胁 网络扫描 Web应用程序攻击 横向运动漏洞扫描 远程代码执行 84% 农业、房地产和旅游经历最多 与其他行业相比,与横向运动相关的活动 各行业垂直行业的WANbound威胁 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% Web应用程序攻击漏洞扫描远程代码执行网络扫描 横向运动 0% 16卡托CTRLSASE威胁报告2024年第一季度 一