Les cybercriminels d'aujourd'hui sont extrêmement organisés et profitent souvent des tendances sociales pour fournir des lots d'armes qui sont utilisés pour lancer une attaque contre les victimes. Ces packages sont généralement envoyés via des e-mails de phishing ou des sites Web malveillants contenant de fausses informations ciblant les peurs et l'incertitude. Cette technique est souvent corrélée à des tendances ou des événements majeurs, comme la pandémie, des mouvements sociaux comme Black Lives Matter, ou des changements majeurs de gouvernement, par exemple, la prochaine élection présidentielle américaine.Ces derniers mois, par exemple, les chercheurs de Threat intelligence ont vu une augmentation des attaques de ransomware ciblant les personnes les plus touchées par le COVID-19, comme les hôpitaux et les prestataires de soins de santé. En fait, 41 hôpitaux ont signalé des attaques de ransomwares au cours du premier semestre 2020. Les gangs de ransomwares, généralement associés à des organisations criminelles bien connues et bien établies, font également évoluer leurs tactiques d'extorsion, notamment en faisant publiquement honte aux organisations de victimes et en menaçant en publiant des fichiers sur le Internet ou vente aux enchères de PII (Personally Identifiable Information) au plus offrant.
Cybercriminalité organisée
Cependant, la cybercriminalité organisée n'est pas nouvelle. Pendant des années, les chercheurs ont suivi la commercialisation des logiciels malveillants et de nombreux groupes criminels ont développé des programmes d'affiliation qui paient les cybercriminels pour les aider à propager et à développer une souche particulière de logiciels malveillants. Un exemple est le ransomware GandCrab, qui connaît un grand succès et qui aurait généré plus de 2 milliards d'euros de revenus pour le groupe à l'origine du malware sur une période de 15 mois à compter de janvier 2018. Ransomware-as-a-Service n'est qu'un exemple. de la façon dont les logiciels malveillants sont commercialisés, permettant aux cybercriminels de lancer rapidement et facilement des attaques modulaires qui sont facilement achetées et assemblées pour lancer et relancer une attaque en un clic. Alors que les acteurs de la menace évoluent et adaptent constamment leurs tactiques, techniques et procédures (TTP), les chercheurs en sécurité sont mis au défi de rester au fait de leurs comportements afin de fournir des renseignements opportuns et précis sur les menaces auxquelles ils sont confrontés. . Prise en charge de la détection et de la réponse efficaces aux menaces.
L'apprentissage automatique peut apporter des solutions aux problèmes de données
L'un des plus grands défis auxquels sont confrontés les chercheurs sur les menaces est le volume considérable d'informations qu'ils doivent examiner, y compris la collecte, la normalisation, la validation et l'analyse des données sur les menaces, qui sont toutes des tâches chronophages. Par exemple, AT&T Alien Labs ™, l'unité de renseignement sur les menaces d'AT&T Cybersecurity, ingère jusqu'à 20 millions d'artefacts de menace par jour. Cela inclut des observations globales sur l'évolution des TTP des acteurs de la menace, y compris les outils communs, l'infrastructure informatique et d'autres moyens qu'ils utilisent dans les attaques. Pour transformer ces informations en renseignements sur les menaces, la recherche sur les menaces doit passer par plusieurs étapes de validation et d'analyse, et cela doit être fait rapidement pour suivre les cybercriminels. Même si les chercheurs ont du mal à analyser des montagnes de données, le passage à une main-d'œuvre distribuée ajoute un autre défi en augmentant la taille et la complexité de la surface d'attaque. une organisation est responsable de la protection 24/7/365. Sans le contexte de renseignements sur les menaces mis à jour en permanence et exploitables, les analystes du SOC finissent par se noyer sous les alertes. En fait, 63 % des entreprises au bas de la maturité de la cybersécurité et 52 % des entreprises au milieu ont déclaré dans un récent sondage qu'elles ignoraient plus de 25 % des événements de sécurité, soit un quart des événements qu'un adversaire potentiel pourrait cacher. quelque part dans le réseau. Pour résoudre le problème des mégadonnées, les chercheurs sur les menaces se tournent de plus en plus vers l'apprentissage automatique comme moyen de faciliter l'analyse des menaces et, essentiellement, de les aider à trouver l'aiguille proverbiale dans la botte de foin. Cela est d'autant plus vrai que 76 % des professionnels de la sécurité estiment être confrontés à une pénurie de compétences en cybersécurité, ce qui signifie qu'ils sont déjà contraints dans leurs rôles. Par exemple, l'apprentissage automatique peut aider les enquêteurs en enrichissant les informations sur les indicateurs de compromission (IoC), les preuves de trace qui aident les professionnels de la sécurité à détecter une attaque. Cela inclut l'aide à l'identification et à la prévision de l'infrastructure associée aux IoC, comme les serveurs de commande et de contrôle (C&C), les adresses IP utilisées pour lancer des attaques ou les domaines nouvellement enregistrés qui seront éventuellement utilisés à des fins malveillantes. .
Modèles d'apprentissage automatique utilisés pour identifier, prédire et détecter les logiciels malveillants
Un rapport publié par la Telco Security Alliance (TSA) en juillet 2020 a noté que les membres de l'Alien Labs Open Threat Exchange™ (OTX™) ont contribué à plus d'un million d'IoC liés au COVID entre janvier et juin 2020. Le FBI a également rapporté des chiffres similaires révélant que la cybercriminalité a augmenté de 400 % depuis le début de COVID-19. Pour augmenter l'efficacité de l'identification et de la détection des logiciels malveillants pendant ces périodes de pointe d'activité, des modèles d'apprentissage automatique peuvent être utilisés pour identifier et prédire le comportement des familles de logiciels malveillants à mesure qu'ils se propagent. et transformer. Par exemple, les modèles peuvent regrouper les fichiers de logiciels malveillants en groupes, ce qui permet d'accélérer l'identification et la classification des familles actuelles et en évolution. Pour ce faire, les scientifiques des données prennent un ensemble de données spécifique de fichiers malveillants connus, puis l'utilisent pour former des algorithmes afin de trouver des modèles et de faire des prédictions sur les nouvelles données entrantes. Ces techniques peuvent également fournir une meilleure compréhension des TTP en constante évolution des adversaires. Plus que jamais, être capable de découvrir, d'identifier et de prédire ces macro-comportements est essentiel pour assurer la résilience dans la détection et la réponse aux menaces, d'autant plus que les réseaux se transforment rapidement pour s'adapter à l'environnement de travail et au paysage des menaces en évolution rapide. . La cybercriminalité organisée et les groupes parrainés par l'État ne montrent aucun signe de ralentissement ; en fait, il est plus facile et plus rapide que jamais pour les cybercriminels de lancer de nouvelles campagnes. Tout cela mène à un seul objectif : plus de menaces, plus de variations, sur les menaces et plus d'informations et de données à analyser. Nous avons constaté que cela était particulièrement vrai en temps de crise. Cependant, armés d'analyses de données, d'automatisation et d'apprentissage automatique, les chercheurs sur les menaces disposent des outils nécessaires pour rester au courant des TTP adverses et produire certains des contrôles les plus précieux au monde. Sécurité : informations sur les menaces validées, exploitables et mises à jour en permanence.