Cyberangreb kan i mange tilfælde forudsiges op til 30 dage før de rammer.
Det viser en analyse af mere end 20 mio. computere fordelt på 200 lande.
Analysen ser på brugerens og systemets adfærd og viser bl.a., at forretningskritiske systemer er langt mere udsatte for at blive ramt af ransomware end andre systemer. “Undersøgelsen viser, at angreb ikke rammer tilfældigt, men hænger nøje sammen med brugerens adfærd,” siger danske Jonas Hvarness Sebøk-Grandal fra cybersikkerhedsvirksomheden TrendAI, der står bag undersøgelsen.
Cyberangreb bliver traditionelt først håndteret, når skaden er sket.
Men nu viser analyser fra TrendAI (tidligere Trend Micro), at det er muligt at forudsige risikoen for et specifikt cyberangreb på et specifikt endpoint (fx en computer eller server), op til 30 dage før angrebet sker.
Modellen bag analysen er trænet på data fra 12 mio. Windows-endpoints og derefter yderligere på 10,7 mio. endpoints i en måned. Maskinerne var fordelt på 217 lande og 822 organisationer. De fleste stod i store enterprisevirksomheder.
Angreb rammer ikke tilfældigt
TrendAI’s undersøgelse viser, at cyberrisiko i høj grad hænger sammen med, hvordan brugere anvender deres systemer.
Analysen ser på både bruger- og systemadfærd – blandt andet webaktivitet, softwareinstallationer og brugsmønstre – for at identificere de adfærdsmønstre, der ofte opstår, før et system bliver angrebet af malware.
“I mange år har sikkerhedsteams været nødt til at vente på konkrete tegn på kompromittering, før de kunne reagere. Vores undersøgelse viser, at mange angreb ikke opstår tilfældigt. De følger mønstre i brugeradfærd, som kan måles og forudsiges,” forklarer Jonas Hvarness Sebøk-Grandal, country sales director for Danmark, Grønland og Færøerne hos TrendAI.
Jonas Hvarness Sebøk-Grandal fra cybersikkerhedsvirksomheden TrendAI
Undersøgelsen viser bl.a., at forretningssystemer har langt større risiko for at blive ramt af ransomware end andre typer af systemer.
Resultaterne fra de 10,7 mio. endpoints viser, at størstedelen af organisationers computere befinder sig i en mellemrisikozone:
- 31,6 % ligger i den laveste risikokategori
- 57,5 % befinder sig i en mellemrisikozone
- 10,36 % ligger i høj risiko
- 0,48 % vurderes til at have meget høj risiko for et malwareangreb
Kan identificere specifikke, trusler før de rammer
Den nye metode beregner ikke blot en samlet risikoscore, men vurderer risikoen for seks forskellige malwaretyper – blandt andet ransomware, trojanere, virus, hacktools, coinminers og potentielt uønskede programmer (PUA).
Det betyder, at et enkelt system samtidig kan vurderes til at have høj risiko for flere forskellige trusler.
Modellen bygger på to lag: en statistisk analyse, der kobler specifikke adfærdsmønstre til senere malwareinfektioner, og en maskinlæringsmodel, der beregner sandsynligheden for forskellige malwaretyper.
Dermed kan sikkerhedsteams både se, hvor risikoen opstår og hvorfor.
Brugeradfærd afslører fremtidige angreb
Analysen viser blandt andet, at forhøjet malwarerisiko ofte hænger sammen med målbare adfærdsmønstre, såsom:
- kontakt med mistænkelige eller ukategoriserede websites
- stor variation i websites, der besøges
- hyppig installation af nye programmer
- brug af mindre udbredte eller ukendte applikationer
Mønstrene kan bruges til at identificere systemer med høj risiko og målrette sikkerhedsindsatsen, fx gennem webfiltrering, begrænsede installationsrettigheder eller netværkssegmentering.
Giver virksomheder et nyt beslutningsgrundlag
Ifølge TrendAI kan metoden ændre den strategiske dialog om cybersikkerhed i virksomheder.
Når organisationer kan se, hvilke systemer der har størst risiko for angreb i den kommende måned, kan de målrette sikkerhedsindsatsen, eksempelvis gennem hurtigere patching, netværkssegmentering eller adgangskontrol.
Samtidig giver sandsynligheder for specifikke malwaretyper et mere konkret beslutningsgrundlag for ledelsen end traditionelle sikkerhedsalarmer.
“Når man kan beregne sandsynligheden for bestemte malwareangreb på en computer op til 30 dage frem, kan organisationer flytte cybersikkerhed fra reaktion til forebyggelse,” siger Jonas Hvarness Sebøk-Grandal.
Læs mere her:
