Ransomware is een van meest voorkomende aanvalstactieken op het gebied van cybercriminaliteit. Het is niet voor niets dat Forrester concludeert dat het aantal ransomware-aanvallen met ruim 300 procent is toegenomen. Een trend die volgens hen ook in 2022 blijft doorzetten. Cybercriminelen blijven op zoek naar nieuwe manieren om netwerken te infiltreren. Dit wordt verder benadrukt door onderzoek van het BlackBerry Research & Intelligence-team. Het team ontdekte namelijk onlangs een ongebruikelijk verband tussen de activiteiten van drie verschillende aanvalsgroepen.
Cybercriminelen netwerken met elkaar, wisselen informatie uit, ontwikkelen voortdurend nieuwe malware en herzien hun eigen phishing-methoden. Het feit dat kunstmatige intelligentie (AI)- en machine learning (ML)-applicaties aantoonbaar in staat zijn om betere phishing-e-mails op te stellen dan een mens, laat zien hoe vaardig cybercriminelen zijn in het optimaliseren van hun eigen kwaadwillende praktijken.
Tegelijkertijd rijst de vraag of intelligente systemen in de toekomst niet de gevaarlijkste hackers zijn, in plaats van mensen erachter. Want ondanks alle ontwikkelingen in de cybersecurity-industrie, is dit besef nog niet altijd goed geland. Toch moeten IT-beveiligingsexperts de menselijke of computergestuurde aanvallers nog steeds een stap voor blijven om aanvallen effectief te verijdelen.
Aanvallen tegengaan met gerichte clustering
Als aanvallers steeds meer vertrouwen op AI en ML, doen bedrijven er goed aan om eersteklas defensietools te gebruiken die ook gebaseerd zijn op AI- en ML-technologieën. Benut dezelfde technologie als de aanvallers. Neem bijvoorbeeld clusteranalyse. Dankzij de onderliggende technologieën worden datamonsters verdeeld in afzonderlijke groepen of clusters op basis van voorheen onbekende overeenkomsten tussen hun belangrijkste kenmerken of attributen. Hoe meer de steekproeven op elkaar lijken, hoe groter de kans dat ze tot hetzelfde cluster behoren.
Mensen ervaren de wereld in drie ruimtelijke dimensies, ofwel 3D. Dit maakt het mogelijk om de afstand tussen twee objecten te bepalen door de lengte te meten van de kortste rechte lijn die ze verbindt. Clusteringsalgoritmen werken simpel gezegd door coördinaten in een functieruimte toe te wijzen aan datamonsters en de afstand ertussen te meten.
Zodra de analyse is voltooid, krijgen security-experts een reeks clusters met verschillende hoeveelheden bestanden te zien. Omdat kwaadaardig gedrag zeldzaam is, worden de clusters met het grootste aantal bestanden over het algemeen geassocieerd met goedaardige activiteit. Clusters met weinig bestanden kunnen daarentegen wijzen op abnormale, mogelijk kwaadaardige activiteiten die verdere analyse vereisen.In dit opzicht functioneert clustering dus als een wiskundige, rigoureuze benadering voor het detecteren van patronen en relaties tussen netwerk-, applicatie-, bestands- en gebruikersdata. Deze verbanden zouden met andere tools moeilijk of onmogelijk te detecteren zijn.