Bedreigingsactoren evolueren, maar Cyber Threat Intelligence (CTI) blijft beperkt tot elke afzonderlijke oplossing. Organisaties hebben behoefte aan een holistische analyse van externe gegevens, inkomende en uitgaande bedreigingen en netwerkactiviteit. Dit maakt het mogelijk de werkelijke staat van cyberbeveiliging in de onderneming te evalueren.
Cato's Cyber Threat Research Lab (Cato CTRL, zie meer details hieronder) heeft onlangs zijn eerste SASE-dreigingsrapport uitgebracht, dat een uitgebreid overzicht en inzicht biedt in bedrijfs- en netwerkbedreigingen. Dit is gebaseerd op Cato's mogelijkheden om netwerken uitgebreid en gedetailleerd te analyseren (zie rapportbronnen hieronder).
Over het rapport
Het SASE Threat Report behandelt bedreigingen vanuit een strategisch, tactisch en operationeel standpunt, waarbij gebruik wordt gemaakt van het MITRE ATT&CK-framework. Het omvat kwaadaardige en verdachte activiteiten, evenals de applicaties, protocollen en tools die op de netwerken draaien.
Het rapport is gebaseerd op:
- Gedetailleerde gegevens over elke verkeersstroom vanaf elk eindpunt dat communiceert via het Cato SASE Cloud Platform
- Honderden beveiligingsfeeds
- Eigen analyse van ML/AI-algoritmen
- Menselijke intelligentie
Cato's gegevens zijn verzameld uit:
- 2200+ klanten
- 1,26 biljoen netwerkstromen
- 21,45 miljard geblokkeerde aanvallen
De diepgang en reikwijdte van deze bronnen geeft Cato als geen ander inzicht in de beveiligingsactiviteiten van ondernemingen.
Wat is Cato CTRL?
Cato CTRL (Cyber Threats Research Lab) is 's werelds eerste unieke combinatie van menselijke topinformatie en uitgebreide netwerk- en beveiligingsinzichten, mogelijk gemaakt door Cato's AI-verbeterde, wereldwijde SASE-platform. Tientallen voormalige militaire inlichtingenanalisten, onderzoekers, datawetenschappers, academici en door de industrie erkende beveiligingsprofessionals analyseren gedetailleerde netwerk- en beveiligingsinzichten. Het resultaat is een alomvattend en uniek beeld van de nieuwste cyberdreigingen en dreigingsactoren.
Cato CTRL voorziet het SOC van tactische data, managers van operationele dreigingsinformatie en management en bestuur van strategische briefings. Dit omvat het monitoren en rapporteren van trends en gebeurtenissen in de beveiligingsindustrie, die ook de analyse en creatie van het SASE Threat Report hebben ondersteund.
Laten we nu eens in het rapport zelf duiken.
Top 8 bevindingen en inzichten uit het Cato CTRL SASE Threat Report
Het uitgebreide rapport biedt een schat aan inzichten en informatie die waardevol is voor elke beveiligings- of IT-professional. De belangrijkste bevindingen zijn:
1. Bedrijven omarmen AI op grote schaal
Bedrijven adopteren AI-tools over de hele linie. Het is niet verrassend dat de meest voorkomende Microsoft Copilot en OpenAI ChatGPT waren. Ze adopteerden ook Emol, een applicatie voor het registreren van emoties en praten met AI-robots.
2. Lees het rapport om te zien waar hackers het over hebben
Hackerforums zijn een waardevolle bron van inlichtingeninformatie, maar het monitoren ervan is een uitdaging. Cato CTRL volgt dergelijke discussies en komt met enkele interessante bevindingen:
- LLM's worden gebruikt om bestaande tools zoals SQLMap te verbeteren. Hierdoor kunnen ze kwetsbaarheden efficiënter opsporen en exploiteren.
- Het genereren van valse inloggegevens en het creëren van deepfakes worden als dienst aangeboden.
- Een kwaadaardige ChatGPT “startup” recruteert professionals voor ontwikkeling.
3. Bekende merken worden vervalst
Merken als Booking, Amazon en eBay worden vervalst voor fraude en andere uitbuitingsdoeleinden. Kopers let op.
4. Bedrijfsnetwerken maken zijdelingse beweging mogelijk
In veel bedrijfsnetwerken kunnen aanvallers zich gemakkelijk over het netwerk verplaatsen, omdat er onbeveiligde protocollen in het WAN bestaan:
- 62% van al het webverkeer is HTTP
- 54% van al het verkeer is telnet
- 46% van al het verkeer is SMB v1 of v2
5. De echte dreiging is niet zero-day
Het zijn eerder ongepatchte systemen en de nieuwste kwetsbaarheden. Log4J (CVE-2021-44228) is bijvoorbeeld nog steeds een van de meest gebruikte exploits.
6. Beveiligingsexploitaties verschillen per sector
Industrieën worden op verschillende manieren benaderd. Bijvoorbeeld:
- Entertainment, telecommunicatie en mijnbouw en metalen worden het doelwit van T1499, Endpoint Denial of Service
- De diensten- en horecasectoren zijn doelwit met de T1212, Exploitatie voor toegang tot toegangsgegevens
Ook de praktijk verschilt. Bijvoorbeeld:
- 50% van de media- en entertainmentorganisaties maakt geen gebruik van informatiebeveiligingsinstrumenten
7. Context is belangrijk
De acties en methoden van aanvallers lijken op het eerste gezicht misschien onschuldig, maar als je er anders naar kijkt, zijn ze feitelijk kwaadaardig. Er is een contextueel begrip van netwerkpatronen nodig, gecombineerd met AI/ML-algoritmen, om verdachte activiteiten te monitoren en te detecteren.
8. 1% adoptie van DNSSEC
DNS is een cruciaal onderdeel van bedrijfsactiviteiten, maar Secure DNS wordt nog niet toegepast. Waarom? Het Cato CTRL-team heeft enkele hypothesen.
Lees het hele rapport om meer inzichten te lezen en dieper in te gaan op de bestaande bedreigingen, kwetsbaarheden, hackgemeenschappen, bedrijfsgedrag en meer.