Actorii amenințători au tactici previzibile pe care echipele de securitate le pot utiliza pentru protocoale de siguranță mai bune. Inteligența artificială și învățarea automată oferă noi oportunități echipelor de securitate de a-și integra cunoștințele într-o detectare și o perturbare mai eficientă a amenințărilor. Predicția Incidentelor este o capacitate de securitate nouă, în premieră în industrie, care extinde tehnologia de protecție adaptivă Broadcom.
Există multe tipuri de hackeri, de la atacatori de tip stat-națiune extrem de disciplinați și bine finanțați, până la membri ai bandelor ransomware adolescenți. În timp ce mass-media îi prezintă adesea pe actorii rău intenționați ca fiind imprevizibili și volatili, în majoritatea cazurilor, aceștia sunt de fapt foarte previzibili când vine vorba de TTP-urile (Tactici, Tehnici și Proceduri) lor.
De fapt, conform raportului nostru recent, Ransomware 2025: O amenințare rezistentă și persistentă, familiile de ransomware pot apărea și dispărea, dar TTP-urile se schimbă mai rar. Atacatorii și-au rafinat setul de instrumente, bazându-se pe TTP-urile care funcționează. Și, deoarece există numeroase victime de vizat, dacă se confruntă cu un obstacol cu o victimă, pot trece cu ușurință la următoarea. Atacatorii își schimbă TTP-urile doar atunci când sunt forțați să facă acest lucru.
Cercetările noastre au descoperit că un număr mare de atacatori folosesc software legitim, într-o abordare cunoscută sub numele de tehnici de tip „living off the land” (LOTL), pentru a-și efectua atacurile. Programele malware tind să fie implementate cu moderație și pot apărea doar la încheierea unui atac (cum ar fi atunci când este implementată o sarcină utilă ransomware). Pe lângă utilizarea TTP-urilor previzibile, obiectivele atacatorilor rămân și constante: accesarea rețelei victimei, obținerea de privilegii suficiente pentru a se deplasa lateral în rețeaua respectivă, exfiltrarea datelor și implementarea unei sarcini utile de criptare pe numărul maxim de mașini din rețea.
Prin combinarea acestei predictibilități învățate a instrumentelor și obiectivelor atacatorilor cu capacitățile inteligenței artificiale, organizațiile pot adopta o abordare mai granulară pentru a identifica, atenua și recupera după atacurile cibernetice.
Majoritatea instrumentelor de remediere opresc ceea ce atacatorul a făcut deja, dar nu vă spun ce va face. De obicei, organizațiile răspund la ransomware prin oprirea mașinilor și a întregii lor rețele. Astfel de opriri draconice pot provoca perturbări costisitoare ale operațiunilor și alte daune reputaționale.
Predicția Incidentelor, o capacitate de securitate în premieră în industrie, extinde Protecția Adaptivă și permite profesioniștilor din domeniul securității să prezică, să oprească și să se recupereze după incidente. Această caracteristică unică a Symantec Endpoint Security Complete utilizează inteligența artificială într-un mod nou pentru a identifica și a întrerupe atacurile LOTL și alte amenințări cibernetice, înainte ca daunele să se producă. Antrenată pe un catalog de peste 500.000 de lanțuri de atac construite de echipa de talie mondială Symantec Threat Hunting, Predicția Incidentelor readuce avantajul în mâinile apărătorilor prin prezicerea comportamentelor atacatorilor, împiedicând următoarea lor mișcare în lanțul de atac (chiar și atunci când utilizează tehnici LOTL) și readucând rapid organizația la starea sa normală.
Inspirația pentru Predicția Incidentelor a venit din modul în care Modelele de Limbaj Mari (LLM) cu Inteligență Artificială Generativă pot „prezice” următorul cuvânt dintr-o propoziție atunci când generează text în motoarele de căutare, e-mail și multe altele. Prin valorificarea depozitului nostru extins de lanțuri de atac și a informațiilor despre amenințări folosind Inteligență Artificială și AA avansate, Predicția Incidentelor poate prezice următoarele patru sau cinci mișcări pe care atacatorii le vor face în mediul unui client cu o încredere de până la 100%, le poate perturba și apoi poate reveni automat la normalitate imediat.
Când analiza cloud Symantec Endpoint Security Complete detectează un incident, analistul de securitate este alertat în consola Integrated Cyber Defense Manager (ICDM) și prin e-mail. Analistul de securitate poate apoi vizualiza detalii despre incident, inclusiv comportamentele observate care au declanșat incidentul, plus comportamentele prezise ale atacatorului și probabilitățile asociate acestora. Acest lucru oferă analistului o vizibilitate granulară asupra a ceea ce a declanșat incidentul și a următorilor pași probabili pe care i-ar face atacatorul.
De exemplu, să aruncăm o privire la un atac LOTL din lumea reală. Pe baza analizelor noastre, un atacator este observat descărcând și executând un fișier JS; În pasul următor, wscript.exe execută fișierul JS și lansează o comandă PowerShell; apoi PowerShell descarcă un fișier zip prin HTTP și extrage conținutul acestuia în folderul „c:\users\public\”. Pe baza catalogului nostru de peste 500.000 de lanțuri de atacuri, cel mai probabil pas al atacatorului este ca PowerShell să execute un fișier VBS și să încerce să fure acreditările. Analistul de securitate primește o listă cu următorii pași predictivi ai atacatorilor, precum și probabilitatea (procentuală, de la zero la 100%) ca aceștia să se întâmple.
Pe baza probabilității, analistul de securitate poate apoi selecta comportamentele prezise pentru a atenua pericolul și să le aplice politicii de protecție adaptivă. Aceasta permite analistului de securitate să oprească daune suplimentare prin blocarea acțiunilor rău intenționate prezise fără a fi nevoie să închidă întregul sistem sau rețea. Politica de protecție adaptivă oferă acest control detaliat, permițând continuarea operațiunilor normale de afaceri, oprind în același timp selectiv doar comportamentele de atac prezise. Sistemul creează, de asemenea, o sarcină de revenire, oferind analistului posibilitatea de a anula cu ușurință pașii de atenuare, dacă este necesar, după investigații suplimentare.
Cu acest control granular al securității, echipele de securitate pot acum atenua și recupera după posibile atacuri ransomware, atacuri la nivel de stat național și alte atacuri pe măsură ce acestea se produc, spre deosebire de oprirea completă a sistemelor pentru a combate amenințarea. În lumea reală a funcției de Predicție a Incidentelor, s-au făcut predicții cu încredere ridicată în 80% din incidente.
