Atacatorii utilizează inteligența artificială pentru a maximiza eficiența tacticilor, tehnicilor și procedurilor (TTP) deja testate și validate. Atunci când atacurile se desfășoară cu o asemenea viteză, echipele de securitate trebuie să-și regândească strategia.

Ne aflăm într-un moment interesant în cursa continuă dintre atacatori și apărători. Primii folosesc Inteligența Artificială, automatizarea și o gamă variată de tehnici, uneori cu efecte devastatoare. De fapt, un raport arată că 80% dintre grupările de tip ransomware-as-a-service (RaaS) oferă deja AI sau automatizare ca funcționalități. Desigur, există și o piață în plină dezvoltare pentru instrumente concepute special pentru a evita soluțiile de securitate. Ca urmare, breșele de date și costurile asociate acestora au crescut considerabil.

Pe de altă parte, atacatorii nu fac decât ceea ce au făcut dintotdeauna – își intensifică tacticile, tehnicile și procedurile existente (TTP) pentru a accelera atacurile. De exemplu, intervalul dintre accesul inițial și mișcarea laterală (breakout time) este acum măsurat în minute. Pentru echipele de apărare obișnuite să opereze în ore sau zile, acest fapt impune o schimbare de abordare.

Un avantaj de o jumătate de oră

Timpul de propagare este esențial deoarece, dacă apărătorii rețelei nu reușesc să oprească adversarii în acest punct, o intruziune inițială se poate transforma rapid într-un incident major. Media timpului necesar pentru propagarea laterală este acum de aproximativ 30 de minute – cu circa 29% mai rapid decât în anul precedent – deși unii observatori au raportat cazuri în care s-a întâmplat în mai puțin de un minut de la accesul inițial.

Există mai multe motive pentru care fereastra de intervenție se restrânge rapid. Atacatorii:
– Își perfecționează metodele de furt, spargere sau phishing al credențialelor legitime ale angajaților. Parolele slabe, reutilizate și schimbate rar îi ajută (de exemplu, făcând atacurile de tip brute-force mai eficiente), la fel și lipsa autentificării multifactor (MFA). În același timp, devin tot mai abili în atacurile de tip vishing pentru resetarea parolelor, fie impersonând departamentul de suport IT, fie pretinzând că sunt angajați atunci când contactează helpdesk-ul. Cu acces legitim, pot acționa în numele utilizatorilor fără a declanșa alerte interne.
– Utilizează exploit-uri zero-day pentru a viza dispozitivele de tip edge, precum Ivanti EPMM, obținând astfel un punct de intrare în rețea și rămânând, în același timp, invizibili pentru soluțiile de securitate interne.
– Își îmbunătățesc capacitățile de recunoaștere, folosind tehnici open source și Inteligența Artificială pentru a analiza informațiile disponibile public despre ținte valoroase (cu acces privilegiat). Colectează date despre structura organizațională, procesele interne și infrastructura IT, pentru a-și optimiza atacurile și a crea scenarii de inginerie socială mai convingătoare.
– Automatizează activitățile post-compromitere prin scripturi bazate pe AI, utilizate pentru colectarea credențialelor, exploatarea resurselor existente în sistem (living off the land) și chiar generarea de malware.
– Exploatează decalajele dintre echipele izolate și soluțiile punctuale. Astfel, o activitate care pare legitimă pentru prima categorie poate fi suspectă pentru a doua, însă fără o vizibilitate unificată, aceste situații pot rămâne neinvestigate. În unele cazuri, atacatorii iau măsuri deliberate pentru a dezactiva sau ocoli soluțiile EDR.
– Utilizează tehnici de tip „living-off-the-land” (LOTL) pentru a rămâne nedetectați. Acestea implică folosirea unor credențiale valide, a unor instrumente legitime de acces la distanță și a unor protocoale precum SMB și RDP, astfel încât activitatea lor să se integreze în traficul obișnuit al rețelei.

Identificarea atacatorilor în acest punct este esențială – mai ales că exfiltrarea datelor (odată începută) este și ea accelerată de Inteligența Artificială. Cel mai rapid caz înregistrat anul trecut a fost de doar șase minute, în scădere de la 4 ore și 29 de minute în 2024.

Luptând cu aceleași arme

Dacă atacatorii reușesc să acceseze rețeaua cu privilegii ridicate sau să rămână ascunși pe endpoint-uri nesupravegheate, iar apoi să se deplaseze lateral fără a declanșa alerte, răspunsul bazat exclusiv pe intervenție umană va fi, de cele mai multe ori, prea lent. Este esențial să limitați riscurile de inginerie socială, să vă consolidați postura de securitate pentru a detecta mai eficient comportamentele suspecte și să accelerați timpii de reacție.

Soluțiile de tip extended detection and response (XDR) și managed detection and response (MDR), susținute de Inteligența Artificială, pot ajuta semnificativ în acest sens, prin identificarea automată a comportamentelor suspecte, utilizarea datelor contextuale pentru creșterea acurateței alertelor și remedierea incidentelor acolo unde este necesar. Soluțiile avansate pot contribui, de asemenea, prin corelarea și gruparea alertelor, precum și prin generarea de răspunsuri automate pentru echipele SOC suprasolicitate, eliberând astfel timp pentru activități critice, precum threat hunting-ul.

Un furnizor unic, integrat, cu vizibilitate asupra endpoint-urilor, rețelelor, mediilor cloud și altor straturi, poate evidenția acele breșe existente între soluțiile punctuale, oferind o perspectivă completă asupra potențialelor căi de atac. Este important ca astfel de soluții să asigure și vizibilitate asupra dispozitivelor de tip edge și să funcționeze fără probleme împreună cu instrumentele de tip SIEM (security information and event management) și SOAR (security orchestration and response).

Analiza amenințărilor și căutarea lor proactivă (threat hunting) sunt, de asemenea, vitale pentru a ține pasul cu adversarii susținuți de AI. O abordare care le valorifică pe ambele îi va ajuta pe specialiști să se concentreze asupra a ce contează cu adevărat: modul în care sunt vizați de atacatori și care ar putea fi următoarea lor mișcare. În timp, agenții AI ar putea prelua mai multe dintre aceste sarcini în mod autonom, pentru a accelera și mai mult timpii de răspuns.

Redobândirea controlului

Există și alte modalități de a accelera timpii de răspuns, inclusiv:
– Monitorizarea continuă și conștientizarea în cadrul mediilor endpoint, rețea și cloud.
– Pași automatizați: precum închiderea sesiunilor, resetarea parolelor sau izolarea gazdei; care trebuie aplicați pentru a aborda activitățile suspecte și, acolo unde este cazul, analiza automatizată combinată cu evaluarea umană pentru investigarea alertelor și stabilirea măsurilor necesare pentru a izola rapid o amenințare.
– Politici de acces cu privilegii minime, micro-segmentare și alte principii Zero Trust pentru a asigura controale stricte de acces și a reduce la minimum impactul atacurilor.
– Securitate centrată pe identitate, bazată pe credențiale puternice și unice, gestionate printr-un manager de parole și susținute de autentificare multi-factor rezistentă la phishing.
– Măsuri anti-vishing, inclusiv procese actualizate pentru helpdesk (de exemplu, apeluri de verificare pe canale alternative) și programe eficiente de conștientizare.
– Protecție împotriva atacurilor de tip brute-force, care blochează tentativele automate de ghicire a parolelor la nivel de acces.
– Monitorizarea continuă a rețelelor sociale și a dark web-ului pentru identificarea informațiilor expuse despre angajați și companie care ar putea fi exploatate.
– Monitorizarea scripturilor și proceselor pe măsură ce acestea se „dezvăluie” în memorie, pentru a detecta și bloca comportamente de tip LOTL (living off the land).
– Execuția în cloud sandbox a fișierelor suspecte pentru a reduce riscurile asociate exploatărilor zero-day.

Niciuna dintre aceste măsuri, luată individual, nu reprezintă o soluție universală. Însă, atunci când sunt aplicate stratificat și se bazează pe soluții MDR/ XDR susținute de AI de la un furnizor de încredere, pot ajuta echipele de apărare să redobândească controlul. Poate că este o cursă a înarmării, dar una care nu are un final previzibil. Asta înseamnă că încă există timp pentru a recupera decalajul.