Sta diventando sempre più impegnativo per i professionisti della sicurezza informatica, con la crescente professionalizzazione del crimine informatico, prevedere le azioni degli attaccanti sulla base della profilazione. Per affrontare questa sfida, WithSecure™ (precedentemente nota come F-Secure Business) ha pubblicato un nuovo studio di analisi che dimostra un modello alternativo di previsione dello svolgimento degli attacchi.
Il settore della criminalità informatica sta diventando sempre più orientato ai servizi, ovvero diversi threat actor forniscono servizi specializzati gli uni agli altri. Di conseguenza, per gli analisti della sicurezza è diventato sempre più difficile comprendere gli aggressori e la minaccia che rappresentano basandosi esclusivamente sul loro uso di una particolare tattica, tecnica o procedura (TTP).
Questa tendenza, secondo Neeraj Singh, ricercatore senior di WithSecure™ Intelligence, è destinata a peggiorare: “Bisogna considerare che gli attaccanti ampliano costantemente il loro kit di strumenti, includendo nuove risorse da utilizzare negli attacchi. Ciò significa che hanno a disposizione più mezzi per portare avanti un attacco rispetto al passato. Questo tipo di cambiamenti rende meno efficaci le tecniche di profilazione tradizionali, che consentono di comprendere e prevedere tipi specifici di attacchi associandoli a particolari TTP o set di strumenti”, spiega.
Analisi predittiva: nuovo approccio per prevedere gli attacchi
Un nuovo studio di WithSecure™ sulle tattiche e gli strumenti osservati nei data breach dimostra un approccio alternativo per prevedere come possono svolgersi gli attacchi informatici. Utilizzando i dati raccolti dagli attacchi informatici osservati nel 2023, i ricercatori sono stati in grado di correlare tattiche/strumenti utilizzati insieme negli attacchi, correlazioni che forniscono una base per ulteriori analisi.
Ad esempio, i ricercatori hanno scoperto che sia la scoperta sia la raccolta portano comunemente all’esfiltrazione e alle tattiche di comando e controllo, indicando che gli avversari fanno affidamento sulle informazioni raccolte e rubate dai computer delle vittime e inviate agli attaccanti per eseguire le fasi successive del ciclo di vita di un attacco.
Secondo Singh, correlazioni come queste possono fornire una solida base per fare ulteriori previsioni sui diversi percorsi seguiti durante gli attacchi: “L’apprendimento automatico può basarsi sulle tecniche tradizionali di analisi dei dati per addestrare modelli predittivi in grado di determinare la probabilità che tattiche e set di strumenti diversi vengano utilizzati in luoghi diversi”. Questo tipo di analisi e di preparazione è la tecnica che le organizzazioni sono incoraggiate ad utilizzare se vogliono ridurre i rischi che gli attaccanti utilizzano.
