2024 年第一季度的 CTRL SASE 威胁报 （ 英文版 ）

卡托网络: TheCatoCTRLSASE 威胁报告 Q1| 目录 执行摘要 3Introduction6关于CatoCTRL8报告结构9第1 节：一般统计11 入站威胁12出站 威胁 13WA Nbound威胁15第 2部分：缓解的漏洞(CVE)19入境交通20出站 交通22第 3节：可疑活动监控(SAM)25 出站SAM27 WANboundSAM30 第4节：企业安全行为33 安全与不安全协议34 应用程序使用38 第5节：黑客社区41 工装42 Deepfake43 职业与发展46 第6节：推荐Actions47 执行摘要 以下是关键要点 从本季度的分析来看： AI席卷企业 企业中使用的最常见的AI工具是MicrosoftCopilot，OpenAIChatGPT和Emol，这是一种记录与AI机器人的情感和对话的应用程序。这些工具的采用程度最高的是旅行和旅游行业 （79％），而娱乐行业中的采用率最低组织（44%）。 偷看地下的黑客 作为其研究的一部分,CatoCTRL监控来自各种黑客论坛的讨论。该报告发现攻击者正在讨论如何越狱ChatGPT以创建自定义SQLMap命令。我们发现 用于生成虚假凭证和制造深度假货的服务的广告。我们还继续监控招聘以创建恶意ChatGPT。 3卡托CTRLSASE威胁报告2024年第一季度 执行摘要 小心你在哪里购物 威胁参与者正在建立模仿知名品牌的域名。Booking，Amazon和eBay是最欺骗的品牌。 企业在其网络中过于信任 许多企业继续在其WAN上运行不安全的协议，所有Web应用程序流量的62%是HTTP ，所有流量的54%是telnet，所有流量的46%是SMBv1或v2而不是SMBv3。特别是在农业、房地产、旅游和旅游业。 零日是你最少的问题 虽然我们业内非常关注零日威胁，但现实情况是，威胁参与者经常试图利用未修补的系统，避开 使用最新的漏洞，而不是利用未修补的系统。例如，在发现Log4J(CVE-2021-44228)三年后仍然是最常用的漏洞之一。 安全性因行业而异 漏洞和技术在行业中很常见，但也有一些特定于行业的漏洞和技术。娱乐、电信和采矿&MetalsarebeingtargetedwithT1499-EndpointDenialofServicetechniquesmorethanothersectors.IntheServicesandHospitalitysectors,threatactorsusetheT1212- ExploitationforCredentialAccessmorethaninother 最后，50%的媒体和娱乐机构不使用信息安全工具。 4卡托CTRLSASE威胁报告2024年第一季度 执行摘要 即使是良性活动也变得可疑 随着攻击者技术的发展，他们会使用原本可能被认为是良性的操作和方法。组织如何检测并阻止它们通过深入了解网络流量模式和AI/ML算法的使用，Cato开发了可疑活动监控 （SAM）正是出于这个原因。 一个很好的例子是动态DNS服务流量。近一半(44%)的 组织具有到动态DNS的出站流量。单独不应阻止动态DNS流量，因为有合法用途。但是，许多攻击者 relyondynamicDNSfortheiractivities.Byunderstandingthegreatercontext 围绕动态DNS流量，组织可以识别此流量是否是恶意的。 DNSSEC的“联合国”采用 我们的数据表明，只有1%的DNS流量使用安全DNS。我们认为这主要是由于DNS是两个 internetandorganizationaloperations.Organizationsfearthatimplementationcomplexitiesmightresultinmisconfigures,potentiallydiscuptingtheir 应用程序和服务。 5卡托CTRLSASE威胁报告2024年第一季度 Introduction 威胁行为者总是在演变。无论是民族国家行为者，网络犯罪集团、勒索软件团伙或针对特定的利基团队 系统-攻击者不断引入新的工具、技术和程序。网络威胁情报(CTI)仍然支离破碎，隔离点解决方案，而不是通过包括外部数据，入站（和出站）威胁和网络活动（ WANbound）在内的整体视图进行收集和分析。没有这样的整体视图，很难准确评估企业内部网络安全的真实状态。 为了满足这一需求，CatoNetworks的CTI小组CatoCTRL利用了CatoSASECloud底层的数据湖来开发 企业威胁。作为全球网络，Cato拥有来自跨CatoSASE通信的每个端点的每个流量流量的细粒度数据 云平台。这个海量数据湖进一步丰富了数百个安全提要，并通过专有的ML/AI算法和人工进行分析 智能。结果是一个独特的数据存储库，为安全威胁及其识别网络提供CatoCTRL见解所有流量的特性，无论它们来自或去往所有端点的Internet或WAN-站点，远程 6卡托CTRLSASE威胁报告2024年第一季度 Introduction 用户和云资源。即使Cato的多层防御策略阻止了攻击，也会记录并识别威胁，从而实现这种分析。 本报告总结了CatoCTRL在2024年第一季度从超过2,200个客户的Cato交通流量中收集的调查结果。在 本季度，我们分析了1.26万亿网络流量，阻止了214.5亿次攻击。（将其放在上下文中，这比我们在2022年第一季度分析的3500亿流量多了近四倍。） 本报告可深入了解整个地区的威胁和可疑活动 这些流量。它还利用MITREATT和CK框架提供所有方向上的所有流量的战略，战术和运营信息。在 此外，该报告还重点介绍了在这些网络上运行的应用程序，协议和工具。 7卡托CTRLSASE威胁报告2024年第一季度 关于卡托CTRL CatoCTRL是唯一融合威胁的CTI组具有细粒度网络洞察力的智能 可能是第一个也是唯一的全球SASE平台，CatoSASECloud 。 数十名前军事情报分析师、研究人员和数据 科学家，以及行业认可的安全专业人员，CatoCTRL利用网络数据，安全堆栈数据，数百个安全源，人类智能操作，AI和ML（机器学习）模型等， 揭示最新的威胁和威胁行为者。 使用行业标准框架，如MITREATT和CK，多个 智能学科，以及多年的红色和蓝色团队技术的现场经验，CatoCTRL进行收集，处理，分析和生产尖端CTI的完整智能生命周期。无论是 SOC的战术数据，管理人员的运营威胁格局，或管理层和董事会的战略情报，CatoCTRL已经覆盖了您。 8卡托CTRLSASE威胁报告2024年第一季度 报告结构 本报告分为六个部分 一般统计 本节概述了从依赖CatoSASECloudPlatform的专用全球网络收集的一般统计数据和指标。 缓解的常见漏洞和风险(CVE) ThissectiondiscusstheCVEidentifiedandmeditatedwithinCato’ssystems. Highlightedaretheactivemeasurestoaddressknown 漏洞并防止潜在的漏洞利用。 9卡托CTRLSASE威胁报告2024年第一季度 报告结构 可疑活动监控(SAM)安全事件 本节探讨了可能发生的安全事件 consideredbenearbutareidentifiedasbeingassociatedwithattacksonCato’sSAMsystem.Byanalyzingtheseevents,CatoCTRLidentifies 需要进一步调查或立即采取行动的潜在威胁、异常和模式。 企业安全行为 在本节中，CatoCTRL深入研究了组织的安全行为，检查了安全和不安全协议的使用情况，员工 应用程序和其他相关数据点。 黑客社区和威胁参与者使用AI工具 CatoCTRL密切监控论坛、暗网和私人聊天渠道中的威胁行为者活动，以深入了解威胁行为者的最新趋势和 技术，特别是越来越多地使用人工智能(AI)工具。 改进安全的建议行动 在最后一节中，CatoCTRL根据前几节的调查结果提供了可操作的建议。 10卡托CTRLSASE威胁报告2024年第一季度 Section1 一般统计 一般统计 为了阻止网络攻击，企业应该使用房屋机器学习 基于公司数据和威胁情报馈送的模块。他们还需要小心组织内的受损系统。威胁参与者正在利用它们来扫描(主要是SMB扫描)网络 脆弱性。横向移动威胁在农业、房地产和旅游和 旅游行业。教育比其他行业经历更多的暴力攻击。用户应该继续接受在线欺诈和 网络浏览时的网络钓鱼，尤其是在访问Apple，Amazon和Booking时。这三个是我们研究中最欺骗的品牌。 入站威胁 我们的声誉引擎检测到最常见的入站威胁类型。 在我们的研究中发现的基于声誉的威胁的一些示例包括。用于利用的IP源，垃圾邮件，扫描仪和恶意域。 4%2% 2% 1%顶级入站威胁 声誉 网络扫描 Web应用程序攻击漏洞扫描蛮力 91% 12卡托CTRLSASE威胁报告2024年第一季度 一般统计 当我们按行业垂直细分入站威胁时，我们看到医疗保健部门在Web应用程序攻击和扫描活动方面处于领先地位， 而教育可以从任何行业中最暴力的攻击中获得。这些攻击是针对远程桌面协议(RDP)端口发起的 各行业垂直行业的入站威胁 100% 90% 80% 70% 60% 50% 40% 30% Web应用程序攻击漏洞扫描 远程代码执行 20% 网络扫描 10% 横向运动 0% 出站威胁 网络扫描（87%与出站威胁相关的流量）最多 常见的出站威胁，是攻击者在侦察组织外部目标时使用的基本工具。大多数攻击在网络期间得到缓解 扫描，阻止尝试扫描公共服务。但是，来自出站威胁的大多数阻止流量都源于尝试扫描SMB端口。 13卡托CTRLSASE威胁报告2024年第一季度 一般统计 4%1%0% 8% 顶级出站威胁 网络扫描命令和控制 声誉 恶意软件 渗滤 87% 在分析跨垂直行业的出站威胁时，我们发现 咨询和媒体部门比其他部门更容易受到泄漏威胁。在咨询部门中，数据更常见的是通过FTP发送到低声誉域。无论哪个部门，防止攻击的最常见方法都是由Cato基于声誉的缓解引擎完成的。 14卡托CTRLSASE威胁报告2024年第一季度 一般统计 各行业垂直行业的外向威胁 100% 90% 80% 70% 60% 50% 40% 声誉 网络扫描恶意软件 30%渗滤 20% 10% 0% 命令和控制 在检查出站流量时，很明显，在网络扫描期间，大多数攻击都得到了缓解，这表明扫描公共服务的尝试被阻止。对数据的分析表明，大多数被阻止的流量都是扫描SMB端口的尝试。 WANbound威胁 在Web应用程序攻击中，我们目睹了通过扫描已知URL来检测易受攻击的Web应用程序的多次尝试。我们还看到了 Windows环境，尝试使用WindowsManagementInstrumentation(WMI)查询系统信息，然后执行命令 远程。我们还看到大量使用WinRSEncryptedExecution来通过加密来隐藏Windows远程Shell(WinRS)中的恶意代码。 15卡托CTRLSASE威胁报告2024年第一季度 一般统计 3%2%2% 9% 顶级WANbound威胁 网络扫描 Web应用程序攻击 横向运动漏洞扫描 远程代码执行 84% 农业、房地产和旅游经历最多 与其他行业相比，与横向运动相关的活动 各行业垂直行业的WANbound威胁 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% Web应用程序攻击漏洞扫描远程代码执行网络扫描 横向运动 0% 16卡托CTRLSASE威胁报告2024年第一季度 一