Los ciberdelincuentes de hoy en día están extremadamente organizados y, a menudo, aprovechan las tendencias sociales para proporcionar paquetes de armas que se utilizan para lanzar un ataque contra las víctimas. Estos paquetes generalmente se envían a través de correos electrónicos de phishing o sitios web de malware que contienen información falsa dirigida a los miedos y la incertidumbre. Esta técnica a menudo se correlaciona con las principales tendencias o eventos, como la pandemia, movimientos sociales como Black Lives Matter o cambios de gobierno importantes, por ejemplo, las próximas elecciones presidenciales de EE. UU.
En los últimos meses, por ejemplo, los investigadores de inteligencia de amenazas han visto un aumento en los ataques de ransomware dirigidos a los más afectados por COVID-19, como hospitales y proveedores de atención médica. De hecho, 41 hospitales reportaron ataques de ransomware en la primera mitad de 2020.
Las bandas de ransomware, generalmente asociadas con organizaciones criminales bien establecidas y conocidas, también están evolucionando sus tácticas de extorsión, que incluyen avergonzar públicamente a las organizaciones de víctimas y amenazar con publicar archivos en Internet o subastar PII ( Información de identificación personal) al mejor postor.
Ciberdelincuencia organizada
Sin embargo, el ciberdelito organizado no es nuevo. Durante años, los investigadores han seguido la comercialización de malware, y muchos grupos delictivos han desarrollado programas afiliados que pagan a los ciberdelincuentes para ayudarlos a propagar y desarrollar una cepa particular de malware. Un ejemplo es el altamente exitoso ransomware GandCrab, que se dice que generó más de € 2 mil millones en ingresos para el grupo detrás del malware durante un período de 15 meses a partir de enero de 2018.
El ransomware como servicio es solo un ejemplo de cómo se comercializa el malware, lo que permite a los ciberdelincuentes lanzar rápida y fácilmente ataques modulares que se compran y ensamblan fácilmente para lanzar y relanzar un ataque en a un clic de distancia. A medida que los actores de amenazas evolucionan y adaptan constantemente sus tácticas, técnicas y procedimientos (TTP), los investigadores de seguridad se enfrentan al desafío de mantenerse al tanto de sus comportamientos para proporcionar inteligencia oportuna y precisa sobre las amenazas a las que se enfrentan. Apoyar la detección y respuesta eficaces de amenazas.
El aprendizaje automático puede proporcionar soluciones a problemas de datos
Uno de los mayores desafíos que enfrentan los investigadores de amenazas es el gran volumen de información que deben examinar, incluida la recopilación, estandarización, validación y análisis de datos de amenazas, que es todas las tareas que consumen mucho tiempo. Por ejemplo, AT&T Alien Labs ™, la unidad de inteligencia de amenazas de AT&T Cybersecurity, ingiere hasta 20 millones de artefactos de amenazas por día. Esto incluye observaciones globales sobre la evolución de los TTP de los actores de amenazas, incluidas herramientas comunes, infraestructura de TI y otros medios que utilizan en los ataques. Para convertir esta información en inteligencia de amenazas, la investigación de amenazas debe pasar por varias etapas de validación y análisis, y debe hacerlo rápidamente para mantenerse al día con los ciberdelincuentes.
A pesar de que los investigadores luchan por analizar montañas de datos, el cambio a una fuerza laboral distribuida agrega otro desafío al aumentar el tamaño y la complejidad de la superficie de ataque. una organización es responsable de proteger 24/7/365. Sin el contexto de inteligencia de amenazas procesable y continuamente actualizada, los analistas de SOC terminan ahogados en alertas. De hecho, el 63% de las empresas en el extremo inferior de la madurez de la ciberseguridad y el 52% de las empresas en el medio dijeron en una encuesta reciente que ignoran más del 25% de los eventos de seguridad, o una cuarta parte de los eventos que podría esconder un adversario potencial en algún lugar de la red.
Para resolver el problema de los macrodatos, los investigadores de amenazas recurren cada vez más al aprendizaje automático como una forma de facilitar el análisis de amenazas y, en esencia, ayudarlos a encontrar la proverbial aguja en el pajar. Esto es especialmente cierto ya que el 76% de los profesionales de la seguridad creen que se enfrentan a una escasez de habilidades en ciberseguridad, lo que significa que ya están limitados en sus funciones. Por ejemplo, el aprendizaje automático puede ayudar a los investigadores al enriquecer la información sobre los indicadores de compromiso (IoC), los rastros de evidencia que ayudan a los profesionales de la seguridad a detectar un ataque. Esto incluye ayudar a identificar y predecir la infraestructura asociada con los IoC, como los servidores de comando y control (C&C), las direcciones IP utilizadas para lanzar ataques o los dominios recién registrados que eventualmente se utilizarán con fines maliciosos. .
Modelos de aprendizaje automático utilizados para identificar, predecir y detectar malware
Un informe publicado por Telco Security Alliance (TSA) en julio de 2020 observó que los miembros de Alien Labs Open Threat Exchange ™ (OTX ™) contribuyeron con más de un millón de IoC relacionados con COVID entre enero y junio de 2020. El FBI también informó cifras similares que revelan que el ciberdelito ha aumentado un 400% desde el inicio de COVID-19.
Para aumentar la eficiencia de la identificación y detección de malware durante estos períodos pico de actividad, los modelos de aprendizaje automático se pueden utilizar para identificar y predecir el comportamiento de las familias de malware a medida que se propagan. y transformar. Por ejemplo, los modelos pueden agrupar archivos de malware en grupos, lo que ayuda a acelerar la identificación y clasificación de familias actuales y en evolución. Para hacer esto, los científicos de datos toman un conjunto de datos específico de archivos maliciosos conocidos y luego lo usan para entrenar algoritmos para encontrar patrones y hacer predicciones sobre nuevos datos entrantes. Estas técnicas también pueden proporcionar una mejor comprensión de los TTP en constante cambio de los adversarios.
Más que nunca, es fundamental poder descubrir, identificar y predecir estos macrocomportamientos para asegurar la resiliencia en la detección y respuesta a las amenazas, especialmente porque las redes se están transformando rápidamente para adaptarse al entorno de el trabajo y el panorama de amenazas que cambia rápidamente. El ciberdelito organizado y los grupos patrocinados por el estado no muestran signos de desaceleración; de hecho, es más fácil y rápido que nunca para los ciberdelincuentes lanzar nuevas campañas.
Todo esto conduce a un único fin: más amenazas, más variaciones, sobre amenazas y más información y datos para analizar. Hemos descubierto que esto es especialmente cierto en tiempos de crisis. Sin embargo, armados con análisis de datos, automatización y aprendizaje automático, los investigadores de amenazas tienen las herramientas para estar al tanto de los TTP adversos y producir uno de los controles más valiosos del mundo. seguridad: información de amenazas validada, procesable y continuamente actualizada.