2024 年第一季度的 CTRL SASE 威胁报 （ 英文版 ）

The Cato CTRLSASE威胁报告 目录 执行摘要 3Intr oduction6关于 Cato CTRL8报告 结构9第1 威胁13WANbound威胁15第 2部分：缓解的漏洞(CVE)19入境交通20出站交通22第 3节：可疑活动监控(SAM)25 出站SAM27 WANboundSAM30 第4节：企业安全行为33 安全与不安全协议 应用程序使用 第5节：黑客社区41 工装42 Deepfake43 职业与发展46 第6节：推荐Actions 47 执行摘要 以下是关键要点从本季度的分析来看： AI席卷企业 企业中使用的最常见的AI工具是MicrosoftCopilot，OpenAIChatGPT和Emol，这是一种记录与AI机器人的情感和对话的应用程序。这些工具的采用程度最高的是旅行和旅游行业（79％），而娱乐行业中的采用率最低组织（44%）。 偷看地下的黑客 作为其研究的一部分,CatoCTRL监控来自各种黑客论坛的讨论。该报告发现攻击者正在讨论如何越狱ChatGPT以创建自定义SQLMap命令。我们发现用于生成虚假凭证和制造深度假货的服务的广告。我们还继续监控招聘以创建恶意ChatGPT。 小心你在哪里购物 威胁参与者正在建立模仿知名品牌的域名。Booking，Amazon和eBay是最欺骗的品牌。 企业在其网络中过于信任 许多企业继续在其WAN上运行不安全的协议，所有Web应用程序流量的62%是HTTP，所有流量的54%是telnet，所有流量的46%是SMBv1或v2而不是SMBv3。特别是在农业、房地产、旅游和旅游业。 零日是你最少的问题 虽然我们业内非常关注零日威胁，但现实情况是，威胁参与者经常试图利用未修补的系统，避开 使用最新的漏洞，而不是利用未修补的系统。例如，在发现Log4J(CVE-2021-44228)三年后仍然是最常用的漏洞之一。 安全性因行业而异 漏洞和技术在行业中很常见，但也有一些特定于行业的漏洞和技术。娱乐、电信和采矿&MetalsarebeingtargetedwithT1499-EndpointDenialofServicetechniquesmorethanother sectors.In the Services and Hospitality sectors,threat actors use the T1212-ExploitationforCredentialAccessmorethaninother最后，50%的媒体和娱乐机构不使用信息安全工具。 即使是良性活动也变得可疑 随着攻击者技术的发展，他们会使用原本可能被认为是良性的操作和方法。组织如何检测并阻止它们通过深入了解网络流量模式和AI/ML算法的使用，Cato开发了可疑活动监控（SAM）正是出于这个原因。 一个很好的例子是动态DNS服务流量。近一半(44%)的组织具有到动态DNS的出站流量。单独不应阻止动态DNS流量，因为有合法用途。但是，许多攻击者relyondynamicDNSfortheiractivities.Byunderstandingthegreatercontext围绕动态DNS流量，组织可以识别此流量是否是恶意的。 DNSSEC的“联合国”采用 我们的数据表明，只有1%的DNS流量使用安全DNS。 我们认为这主要是由于DNS是两个 internetandorganizationaloperations.Organizationsfearthatimplementationcomplexitiesmightresultinmisconfigures,potentiallydiscuptingtheir应用程序和服务。 Introduction 威胁行为者总是在演变。无论是民族国家行为者， 网络犯罪集团、勒索软件团伙或针对特定的利基团队系统-攻击者不断引入新的工具、技术和程序。网络威胁情报(CTI)仍然支离破碎，隔离点解决方案，而不是通过包括外部数据，入站（和出站）威胁和网络活动（WANbound）在内的整体视图进行收集和分析。没有这样的整体视图，很难准确评估企业内部网络安全的真实状态。 为了满足这一需求，CatoNetworks的CTI小组CatoCTRL利用了CatoSASECloud底层的数据湖来开发企业威胁。作为全球网络，Cato拥有来自跨CatoSASE通信的每个端点的每个流量流量的细粒度数据云平台。这个海量数据湖进一步丰富了数百个安全提要，并通过专有的ML/AI算法和人工进行分析智能。结果是一个独特的数据存储库，为安全威胁及其识别网络提供CatoCTRL见解所有流量的特性，无论它们来自或去往所有端点的Internet或WAN-站点，远程 Introduction 用户和云资源。即使Cato的多层防御策略阻止了攻击，也会记录并识别威胁，从而实现这种分析。 本报告总结了CatoCTRL在2024年第一季度从超过2,200个客户的Cato交通流量中收集的调查结果。在本季度，我们分析了1.26万亿网络流量，阻止了214.5亿次攻击。（将其放在上下文中，这比我们在2022年第一季度分析的3500亿流量多了近四倍。） 本报告可深入了解整个地区的威胁和可疑活动这些流量。它还利用MITREATT和CK框架提供所有方向上的所有流量的战略，战术和运营信息。在此外，该报告还重点介绍了在这些网络上运行的应用程序，协议和工具。 关于卡托CTRL Cato CTRL是唯一融合威胁的CTI组具有细粒度网络洞察力的智能可能是第一个也是唯一的全球SASE平台，Cato SASE Cloud。 数十名前军事情报分析师、研究人员和数据科学家，以及行业认可的安全专业人员，CatoCTRL利用网络数据，安全堆栈数据，数百个安全源，人类智能操作，AI和ML（机器学习）模型等，揭示最新的威胁和威胁行为者。 使用行业标准框架，如MITREATT和CK，多个智能学科，以及多年的红色和蓝色团队技术的现场经验，CatoCTRL进行收集，处理，分析和生产尖端CTI的完整智能生命周期。无论是SOC的战术数据，管理人员的运营威胁格局，或管理层和董事会的战略情报，CatoCTRL已经覆盖了您。 报告结构 本报告分为六个部分 本节概述了从依赖CatoSASECloudPlatform的专用全球网络收集的一般统计数据和指标。 缓解的常见漏洞和风险(CVE) ThissectiondiscusstheCVEidentifiedandmeditatedwithinCato’ssystems.Highlightedaretheactivemeasurestoaddressknown漏洞并防止潜在的漏洞利用。 报告结构 可疑活动监控(SAM)安全事件 本节探讨了可能发生的安全事件 consideredbenearbutareidentifiedasbeingassociatedwithattacksonCato’sSAMsystem.Byanalyzingtheseevents,CatoCTRLidentifies需要进一步调查或立即采取行动的潜在威胁、异常和模式。 企业安全行为 在本节中，CatoCTRL深入研究了组织的安全行为，检查了安全和不安全协议的使用情况，员工应用程序和其他相关数据点。 黑客社区和威胁参与者使用AI工具 CatoCTRL密切监控论坛、暗网和私人聊天渠道中的威胁行为者活动，以深入了解威胁行为者的最新趋势和技术，特别是越来越多地使用人工智能(AI)工具。 改进安全的建议行动 在最后一节中，CatoCTRL根据前几节的调查结果提供了可操作的建议。 一般统计 为了阻止网络攻击，企业应该使用房屋机器学习基于公司数据和威胁情报馈送的模块。他们还需要小心组织内的受损系统。威胁参与者正在利用它们来扫描(主要是SMB扫描)网络脆弱性。横向移动威胁在农业、房地产和旅游和旅游行业。教育比其他行业经历更多的暴力攻击。用户应该继续接受在线欺诈和网络浏览时的网络钓鱼，尤其是在访问Apple，Amazon和Booking时。这三个是我们研究中最欺骗的品牌。 入站威胁 我们的声誉引擎检测到最常见的入站威胁类型。在我们的研究中发现的基于声誉的威胁的一些示例包括。用于利用的IP源，垃圾邮件，扫描仪和恶意域。 一般统计 当我们按行业垂直细分入站威胁时，我们看到医疗保健部门在Web应用程序攻击和扫描活动方面处于领先地位， 而教育可以从任何行业中最暴力的攻击中获得。这些攻击是针对远程桌面协议(RDP)端口发起的 各行业垂直行业的入站威胁 出站威胁 网络扫描（87%与出站威胁相关的流量）最多 常见的出站威胁，是攻击者在侦察组织外部目标时使用的基本工具。大多数攻击在网络期间得到缓解扫描，阻止尝试扫描公共服务。但是，来自出站威胁的大多数阻止流量都源于尝试扫描SMB端口。 一般统计 在分析跨垂直行业的出站威胁时，我们发现 咨询和媒体部门比其他部门更容易受到泄漏威胁。在咨询部门中，数据更常见的是通过FTP发送到低声誉域。无论哪个部门，防止攻击的最常见方法都是由Cato基于声誉的缓解引擎完成的。 一般统计 在检查出站流量时，很明显，在网络扫描期间，大多数攻击都得到了缓解，这表明扫描公共服务的尝试被阻止。对数据的分析表明，大多数被阻止的流量都是扫描SMB端口的尝试。 WANbound威胁 在Web应用程序攻击中，我们目睹了通过扫描已知URL来检测易受攻击的Web应用程序的多次尝试。我们还看到了 Windows环境，尝试使用WindowsManagementInstrumentation(WMI)查询系统信息，然后执行命令 远程。我们还看到大量使用WinRSEncryptedExecution来通过加密来隐藏Windows远程Shell(WinRS)中的恶意代码。 一般统计 农业、房地产和旅游经历最多与其他行业相比，与横向运动相关的活动 一般统计 顶级欺骗品牌 网络犯罪分子经常使用网络钓鱼和欺骗等策略来利用强大的品牌进行攻击。Cybersquatting，也称为域名squatting，涉及使用域名从属于其他人的商标的声誉和认可中获利。为了解决这个问题，CatoNetworks开发了一种机器学习算法，该算法可以成功检测抢注实例。 Booking，亚马逊和Ebay是使用至少四种技术之一的前三名欺骗品牌： •Typosquating创建在尝试访问合法站点时包含典型拼写错误用户输入的域名，例如“catonetwrks.com”，它在网络中省略了“o”。 •连击创建一个域，该域结合了合法的 域，其中包含其他单词或字母，例如“cato-networks.com”，该字符会在Cato的URLcatonetworks.com中添加连字符。 一般统计 •水平蹲将目标域插入到域名抢注URL的子域中，例如login.catonetworks.com.fake.com。 •蜂巢使用各种字符组合 在视觉上类似于目标域，例如“catonet0rks.com”，它使用看起来像字母“o”的零数字。在我们的博客中了解有关Cybersquatting和diGerent类型的更多信息。 S e c t i o n 2 缓解漏洞(CVE) 缓解的漏洞(CVE) 当我们检查缓解漏洞（CVE）时，我们发现，虽然有些是行业共享的，但也有行业特定的威胁。威胁行为者试图利用未修补的系统，并不总是使用最新的漏洞。（免责声明：数据可能包含扫描仪活动。） 在发现ApacheLog4JRCE(CVE-2021-44228)三年后，它仍然是最常用的漏洞之一。行业包括MicrosoftExchange服务器端请求伪造(SSRF、CVE-2021-26855)、PHP任意代码执行(CVE-2017-9841)和Micro