I takt med att cyberbrott blir allt mer sofistikerade och professionella, blir det allt svårare för cybersäkerhetsexperter att förutsäga angriparnas handlingar baserat på profilering. För att adressera denna utmaning har WithSecure (tidigare känt som F-Secure Business) publicerat en ny studie som visar på en alternativ modell för att förutsäga hur attacker utvecklas.
Under de senaste åren har cyberbrottsindustrin blivit allt mer serviceinriktad, där olika hotaktörer tillhandahåller specialiserade tjänster åt varandra. Följaktligen har det blivit allt svårare för säkerhetsanalytiker att förstå angripare och de hot de utgör enbart baserat på deras användning av en specifik taktik, teknik eller procedur (TTP).
Det är en trend som WithSecure Intelligence Senior Researcher Neeraj Singh säger sannolikt kommer att förvärras.
“Man måste också ta hänsyn till att angripare ständigt utökar sina verktygslådor för att inkludera nya resurser att använda i attacker. Det innebär att de har fler vägar att följa i en attack än någonsin tidigare. Dessa typer av förändringar gör traditionella profileringstekniker, där man förstår och förutsäger specifika typer av attacker genom att koppla dem till specifika TTP:er eller verktygssatser, mindre effektiva,” förklarade han.
En ny WithSecure-studie om vanliga taktiker och verktygssatser som observerats vid dataintrång visar en alternativ metod för att förutsäga hur cyberattacker kan utvecklas.
Genom att använda data som samlats in från cyberattacker som observerats av WithSecure år 2023 kunde forskare korrelera taktiker och verktygssatser som används tillsammans i attacker – korrelationer som utgör en grund för vidare analys.
Till exempel fann forskarna att både upptäckt och insamling vanligtvis leder till exfiltration och kommandokontrolltaktiker, vilket indikerar angriparnas beroende av information som samlats in och stulits från offrets maskiner och sedan skickas tillbaka till angriparna för att utföra nästa steg i attackerens livscykel.
Enligt Singh kan sådana korrelationer ge en stadig grund för att göra ytterligare förutsägelser om olika angreppsvägar som tas under attacker.
“Maskininlärning kan bygga på traditionella dataanalystekniker för att träna prediktiva modeller som kan bestämma sannolikheten för att olika taktiker och verktygssatser används vid olika tillfällen. Det är den typen av förberedelser som organisationer kan använda för att börja minska risken för att angripare använder vissa angreppsapproacher mot dem,” förklarade Singh.