L’analisi predittiva può ridurre i rischi associati ai data breach

Con la crescente professionalizzazione del crimine informatico, prevedere le azioni degli attaccanti sulla base della profilazione sta diventando sempre più impegnativo per i professionisti della sicurezza informatica. Per affrontare questa sfida, WithSecure™ (precedentemente nota come F-Secure Business) ha pubblicato un nuovo studio che dimostra un modello alternativo di previsione dello svolgimento degli attacchi.

Negli ultimi anni, il settore della criminalità informatica è diventato sempre più orientato ai servizi*, ovvero diversi threat actor forniscono servizi specializzati gli uni agli altri. Di conseguenza, per gli analisti della sicurezza è diventato sempre più difficile comprendere gli aggressori e la minaccia che rappresentano basandosi esclusivamente sul loro uso di una particolare tattica, tecnica o procedura (TTP).

È una tendenza che secondo Neeraj Singh, ricercatore senior di WithSecure™ Intelligence, è destinata a peggiorare.

“Bisogna anche considerare che gli attaccanti ampliano costantemente il loro kit di strumenti,  includendo nuove risorse da utilizzare negli attacchi. Ciò significa che hanno a disposizione più mezzi per portare avanti un attacco rispetto al passato. Questo tipo di cambiamenti rende meno efficaci le tecniche di profilazione tradizionali, che consentono di comprendere e prevedere tipi specifici di attacchi associandoli a particolari TTP o set di strumenti”, spiega.

Un nuovo studio di WithSecure™ sulle tattiche e gli strumenti comuni osservati nei data breach dimostra un approccio alternativo per prevedere come possono svolgersi gli attacchi informatici.

Utilizzando i dati raccolti dagli attacchi informatici osservati da WithSecure™ nel 2023, i ricercatori sono stati in grado di correlare tattiche/strumenti utilizzati insieme negli attacchi, correlazioni che forniscono una base per ulteriori analisi.

Ad esempio, i ricercatori hanno scoperto che sia la scoperta sia la raccolta portano comunemente all’esfiltrazione e alle tattiche di comando e controllo, indicando che gli avversari fanno affidamento sulle informazioni raccolte e rubate dai computer delle vittime e inviate agli attaccanti per eseguire le fasi successive del ciclo di vita di un attacco.

Secondo Singh, correlazioni come queste possono fornire una solida base per fare ulteriori previsioni sui diversi percorsi seguiti durante gli attacchi.

“L’apprendimento automatico può basarsi sulle tecniche tradizionali di analisi dei dati per addestrare modelli predittivi in grado di determinare la probabilità che tattiche e set di strumenti diversi vengano utilizzati in luoghi diversi. Questo è il tipo di preparazione che le organizzazioni possono utilizzare per iniziare a ridurre il rischio che gli attaccanti utilizzino determinati approcci contro di loro”, afferma Singh.