Bedrohungsakteure entwickeln sich ständig weiter. Egal, ob es sich um nationalstaatliche Akteure, Cybercrime-Gruppen, Ransomware-Banden oder Nischenteams handelt, die es auf bestimmte Systeme abgesehen haben – Angreifer führen ständig neue Tools, Techniken und Verfahren ein. Diese Bedrohungen zu stoppen, ist vor allem deshalb schwierig, weil Cyber Threat Intelligence (CTI) nach wie vor fragmentiert ist. Aufschlussreiche Bedrohungsindikatoren sind häufig vorhanden, aber über die Bedrohungsinformationen und Netzwerkaktivitäten des eingehenden (und ausgehenden) Internetverkehrs, des WAN-Verkehrs, des Cloud-Verkehrs und des Datenverkehrs von Remote-Benutzern verstreut.
Bis zur Cato SASE Cloud Plattform war es für die meisten Unternehmen schwierig, wenn nicht gar unmöglich, eine 360-Grad-Sicht zu erhalten. Aus diesem Grund hat Cato Cato CTRL, die CTI-Gruppe von Cato, gegründet. Cato CTRL nutzt die volle Leistungsfähigkeit von Cato und unterstützt Unternehmen mit taktischen Daten für das SOC, operative Threat Intelligence für Manager und strategischen Briefings für die Geschäftsführung und Aufsichtsratsgremien.
Im Rahmen dieser Arbeit berichtet Cato CTRL regelmäßig über Trends und wichtige Ereignisse, die die Sicherheitsbranche beeinflussen. Aus diesem Grund freut sich Cato CTRL, den ersten seiner neu gestalteten Cato CTRL SASE Threat Reports vorstellen zu können. Der Bericht fasst die Erkenntnisse zusammen, die Cato CTRL aus den Verkehrsströmen von mehr als 2.200 Kunden, 1,26 Billionen Netzwerkströmen und 21,45 Milliarden blockierten Angriffen im ersten Quartal 2024 gewonnen hat. (Zum Vergleich: Das sind fast viermal so viele Ströme wie die 350 Milliarden, die wir für Q1 2022 analysiert haben).
Unlock Groundbreaking Cybersecurity Insights from Cato CTRL’s Inaugural Report | Get it NowWas zeichnet Cato SASE Cloud für CTI aus?
Aufmerksame Leser werden feststellen, dass wir von einem überarbeiteten Bericht gesprochen haben. Cato sammelt und berichtet seit langem über Bedrohungstrends in der Branche. Wir wollten jedoch den Spielraum unseres Forschungsbereiches erweitern und die Leistungsfähigkeit der Cato SASE Cloud voll ausschöpfen
Als globales Netzwerk von mehr als 2.200 Unternehmen sammelt die Cato SASE Cloud Plattform Einblicke in das Geschehen in Unternehmensnetzwerken in verschiedenen Branchen und Ländern. Cato speichert die Metadaten jedes Verkehrsflusses von jedem Endpoint der über die Cato SASE Cloud-Plattform kommuniziert, in einem riesigen Data Lake, der mit Hunderten von Sicherheits-Feeds angereichert und durch proprietäre ML/AI-Algorithmen und menschliche Intelligenz analysiert wird.
Das Ergebnis ist ein einzigartiger Datenspeicher, der Cato CTRL Einblicke in Sicherheitsbedrohungen und deren identifizierende Netzwerkmerkmale für den gesamten Datenverkehr bietet, unabhängig davon, ob er aus dem Internet oder dem WAN stammt oder für das Internet oder das WAN bestimmt ist, für alle Endpoints – Standorte, Remote-Benutzer und Cloud-Ressourcen. Selbst wenn die mehrstufige Verteidigungsstrategie von Cato den Angriff abgewehrt hat, werden die Bedrohungen protokolliert und identifiziert, was diese Art von Analyse ermöglicht.
Der neue Bericht enthält Trends und Einblicke in die Situation von Unternehmen und verwandten Branchen im Hinblick auf die Reduzierung von CVEs, verdächtige Ereignisse, auf die geachtet werden sollte, und gängiges Sicherheitsverhalten von Unternehmen. Wir haben auch Erkenntnisse aus dem Dark Web und der Hacker-Community gesammelt, insbesondere über die Verwendung von KI-Tools durch Bedrohungsakteure. Abschließend geben wir praktische Ratschläge, wie die Bedrohungen entschärft und die im Bericht erörterten Einschränkungen beseitigt werden können.
Die wichtigsten Ergebnisse
Zu den wichtigsten Ergebnissen des mehr als 30 Seiten umfassenden Berichts zählen unter anderem:
KI erobert das Unternehmen im Sturm. Die am häufigsten von Unternehmen eingesetzten KI-Tools waren Microsoft Copilot, OpenAI ChatGPT und ein weiteres, das Sie wahrscheinlich interessieren wird.
Werfen Sie einen Blick in den Hacker-Untergrund. Im Rahmen seiner Recherchen verfolgt Cato CTRL spannende Diskussionen in verschiedenen Hackerforen. Dem Bericht zufolge nutzen Angreifer LLM, um bestehende Tools wie SQLMap zu verbessern, damit sie Schwachstellen effizienter finden und ausnutzen können. Wir entdeckten Werbung für Dienste, die gefälschte Anmeldedaten generieren und Deep Fakes erstellen. Wir haben auch weiterhin die Personalrekrutierung zur Erstellung eines bösartigen ChatGPT überwacht.
Achten Sie darauf, wo Sie einkaufen. Bedrohungsakteure richten Domains ein, die bekannte Marken imitieren. Wir haben die am häufigsten gefälschten Marken ermittelt, damit Sie die richtigen Filter zum Schutz Ihrer Benutzer konfigurieren können.
Unternehmen vertrauen ihren Netzwerken zu sehr: Viele Unternehmen nutzen weiterhin ungesicherte Protokolle über ihr WAN – 62 % des gesamten Web-Datenverkehrs ist HTTP, 54 % des gesamten Datenverkehrs ist Telnet und 46 % des gesamten Datenverkehrs ist SMB v1 oder v2. Wenn Bedrohungsakteure erst einmal in ein Netzwerk eingedrungen sind, haben sie in der Regel weniger Probleme, kritische Daten bei der Übertragung über das Netzwerk auszuspähen. Lateral-Movement-Attacken, bei denen sich Angreifer über Netzwerke bewegen, wurden am häufigsten in der Landwirtschaft, im Immobiliensektor sowie in der Reise- und Tourismusbranche festgestellt.
Zero-Day ist das geringste Ihrer Probleme. Während wir in der Branche den Zero-Day-Bedrohungen viel Aufmerksamkeit schenken, versuchen Bedrohungsakteure in Wirklichkeit oft, ungepatchte Systeme auszunutzen, indem sie die neuesten Schwachstellen meiden. Drei Jahre nach seiner Entdeckung gibt es einen CVE, der nach wie vor zu den am häufigsten verwendeten Exploits gehört. Im Bericht können Sie nachsehen, um welche es sich handelt.
Die „Nicht“-Annahme von DNSSEC. Unsere Daten zeigen, dass nur 1 % des DNS-Verkehrs Secure DNS nutzt. Wir glauben, dass dies in erster Linie darauf zurückzuführen ist, dass DNS eine kritische Komponente sowohl für das Internet als auch für Unternehmensabläufe ist. Unternehmen befürchten, dass die Komplexität der Implementierung zu Fehlkonfigurationen führen könnte, die ihre Anwendungen und Dienste beeinträchtigen könnten.
Holen Sie sich den Bericht und erfahren Sie mehr
Es gibt noch viel mehr zu lesen und zu analysieren. Aber verlassen Sie sich nicht auf unser Wort, sondern lesen Sie den Bericht selbst. Sie können Ihr Exemplar hier kostenlos abholen Um mehr über Cato CTRL zu erfahren, besuchen Sie uns hier: https://www.catonetworks.com/cato-ctrl/
Etay Maor
Etay Maor ist Chief Security Strategist bei Cato Networks, Gründungsmitglied von Cato CTRL und ein branchenweit anerkannter Cybersicherheitsforscher. Bevor er 2021 zu Cato kam, war Etay Chief Security Officer bei IntSights, wo er die strategische Cybersicherheitsforschung leitete. Etay hatte außerdem leitende Sicherheitspositionen bei IBM inne, sowie bei den Cyber Threats Research Labs von RSA Security, wo er Malware-Forschungs- und Aufklärungsteams leitete. Etay ist außerordentlicher Professor am Boston College und Mitglied der Call for Paper (CFP)-Komitees für die RSA-Konferenz und die QuBits-Konferenz. Er hat einen BA in Informatik und einen MA in Terrorismusbekämpfung und Cyber-Terrorismus.
Vitaly Simonovich
Vitaly Simonovich ist Threat Intelligence Researcher bei Cato Networks und Mitglied von Cato Ctrl. Er verfügt über mehr als acht Jahre Erfahrung im Bereich Cybersicherheit mit Schwerpunkt auf Anwendungs- und Datensicherheit. Zuvor arbeitete Vitaly bei Incapsula und Imperva, wo er Teams von Sicherheitsanalysten und -forschern leitete. Neben seiner Arbeit leistet Vitaly einen aktiven Beitrag zur Cybersicherheits-Community mit regelmäßigen Vorträgen, Webinaren und Blogartikeln zum Thema.