Actorii răi au din ce în ce mai mult succes în eludarea tehnologiilor AI/ML

Echipa Deep Instinct Threat Research a monitorizat pe scară largă volumele și tipurile de atacuri și apoi și-a extrapolat constatările pentru a prezice încotro se îndreaptă viitorul securității cibernetice, a determina ce motivează atacatorii și, cel mai important, a descrie pașii pe care organizațiile pot să ia acum pentru a se proteja în viitor.

Una dintre cele mai pronunțate concluzii din această cercetare cu privire la tendințele amenințărilor din 2021 este că actorii răi au mai mult succes în eludarea tehnologiilor AI/ML, determinând organizațiile să își dubleze eforturile în cursa inovației.

Vectorii de atac specifici au crescut substanțial, inclusiv o creștere cu 170% a utilizării dropper-urilor Office, împreună cu o creștere cu 125% a tuturor tipurilor de amenințări combinate. Volumul tuturor tipurilor de malware este substanțial mai mare față de pre-pandemie.

În plus, actorii amenințărilor au făcut o schimbare vizibilă de la limbaje de programare mai vechi, cum ar fi C și C++, în favoarea limbajelor mai noi, cum ar fi Python și Go. Nu numai că aceste limbi mai noi sunt mai ușor de învățat și de programat față de predecesorii lor, dar au fost și mai puțin utilizate și, prin urmare, sunt mai puțin probabil să fie detectate de instrumentele de securitate cibernetică sau analizate de cercetătorii în domeniul securității.

„Evenimentele majore recente, cum ar fi atacurile pe servere Log4j și Microsoft Exchange, au acordat o prioritate sporită securității, dar aceste amenințări au meritat de multă vreme atenția pe care o primesc acum la nivel global”, a declarat Guy Caspi, CEO al Deep Instinct. . „Rezultatele acestei cercetări pun în lumină provocările ample de securitate cu care se confruntă organizațiile zilnic.”

Alte volume și tipuri de atac

  • Atacurile lanțului de aprovizionare: Companiile mari care oferă servicii au devenit ținta unor atacuri semnificative ale lanțului de aprovizionare în ultimul an, actorii amenințărilor care doresc nu numai să obțină acces la mediile lor, ci și să vizeze mediile clienților lor prin proxy. Cel mai notabil atac al lanțului de aprovizionare, Kaseya, a compromis peste 1.500 de companii printr-o vulnerabilitate zero-day nepatificată.
  • Trecerea la atacuri de mare impact și de profil înalt vs. atacuri furtive și de lungă durată: În 2021, a avut loc o tranziție la atacuri de mare profil, cu un impact masiv. Cel mai important incident din 2021 a fost încălcarea Colonial Pipeline, care a oprit operațiunile timp de șase zile, provocând perturbări majore în SUA și a demonstrat impactul semnificativ și în cascadă al unui atac malware bine executat.
  • Colaborările din sectorul public și privat devin mai frecvente: După cum sa prezis, a existat un parteneriat mai mare între grupurile de lucru internaționale în ultimul an pentru a identifica și a aduce în fața justiției actorii cheie amenințări din întreaga lume. La începutul lui 2021, un grup de lucru internațional coordonat de Europol și Eurojust a confiscat infrastructura Emotet și a arestat unii dintre operatorii săi. Alți actori de amenințări importanți, cum ar fi Glupteba, au devenit ținta companiilor private care și-au unit forțele pentru a-și întrerupe activitatea cât mai mult posibil.
  • Impactul imediat al zilei zero: În 2021, au fost exploatate și utilizate vulnerabilități majore într-o singură zi de la dezvăluirea vulnerabilității. Unul dintre exemple a fost Grupul HAFNIUM, care a apărut la scurt timp după ce Microsoft a dezvăluit mai multe vulnerabilități zero-day.
  • Cloud ca poartă de acces pentru atacatori: Tranziția la lucrul de la distanță a determinat multe organizații să activeze majoritatea serviciilor lor în cloud, mai degrabă decât în ​​local. Pentru cei care nu au experiență în lucrul cu servicii cloud, există riscul ca configurațiile greșite sau componentele vulnerabile, învechite, cu acces extern la API, să poată fi exploatate.

În timp ce creșterea celei mai înalte amenințări, ransomware-ul, nu a continuat să crească la ratele exponențiale observate inițial în timpul izbucnirii COVID-19 în primăvara anului 2020, o creștere de 15,8% a acestor amenințări a fost încă înregistrată în 2021. Anul trecut s-a dovedit că atât CISO, cât și atacatorii cibernetici care lucrează de oriunde, precum și modelele hibride ar deveni probabil un element permanent. CISO vor trebui să revizuiască, să monitorizeze și să actualizeze cu atenție considerentele de securitate pentru a asigura acoperire și protecție completă.

Un atac ransomware poate afecta orice organizație, indiferent de dimensiune, industrie sau locație. Pe măsură ce tot mai mulți furnizori de securitate utilizează învățarea automată (ML) și inteligența artificială (AI) în produsele lor și iau măsuri pentru a-și îmbunătăți mecanismele de apărare existente, actorii răi vor continua, de asemenea, să perfecționeze și să îmbunătățească eforturile de a eluda și păcăli atât tradiționalele, cât și AI- apărări bazate.

Evaziunea apărării și escaladarea privilegiilor devin din ce în ce mai răspândite și ne așteptăm să vedem o continuare a tehnicilor de evaziune EPP/EDR în 2022. Actorii răi investesc în mod clar în tehnici anti-AI și de atac advers și integrează aceste metode în strategia lor de evaziune mai largă.

Leave a Comment