Förmågan hos artificiell intelligens (AI) att bygga mönster av normal aktivitet och identifiera avvikelser gör den till ett kraftfullt säkerhetsverktyg.
När angripare försöker missbruka stulna konton med legitima inloggningsuppgifter har den typen av mönsteranalys visat sig vara effektiv.
Under första halvåret 2023 hjälpte AI-baserad mönsteranalys Barracudas tjänst XDR att upptäcka och neutralisera tusentals högriskincidenter bland nästan en biljon IT-händelser som samlats in totalt.
– Alla har en tydlig digital profil när det gäller hur, var och när man arbetar. Om en händelse faller utanför dessa mönster utlöser den AI-baserade detekteringen en varning. Men även om AI kan förbättra säkerheten kan den också användas i skadliga syften. Det kan exempelvis handla om att skapa övertygande e-postmeddelanden eller anpassa skadlig kod till specifika mål eller ändrade säkerhetsförhållanden, säger Merium Khalid, ansvarig för SOC Offensive Security på Barracuda Networks.
De tre vanligaste avvikelserna som är definierade som hot och kräver en omedelbar försvarsåtgärd är:
• Inloggningsaktivitet från två vitt skilda platser
Detta inträffar när en användare i snabb följd försöker logga in på ett molnkonto från två geografiskt skilda platser med ett avstånd som är omöjligt att avverka på tiden mellan inloggningarna. Även om det kan innebära att man använder ett VPN för en av sessionerna är det ofta ett tecken på att en angripare har fått tillgång till ett konto.
• Avvikelser som visar ovanlig eller oväntad aktivitet på en användares konto
Detta kan inkludera saker som oväntade eller sporadiska inloggningstider, avvikande filåtkomstmönster eller överdrivet kontoskapande för en enskild användare eller organisation. Den typen av upptäckter kan vara ett tecken på en mängd olika problem, inklusive malwareinfektioner, nätfiskeattacker och insiderhot.
• Kommunikation med rödflaggade IP-adresser
Det innebär att man identifierar kommunikation med rödflaggade eller kända skadliga IP-adresser, domäner eller filer. Det kan vara ett tecken på en infektion med skadlig programvara eller en nätfiskeattack som innebär att datorn omedelbart bör sättas i karantän.
– För att säkra din organisation och dina anställda mot snabbt föränderliga och mer intelligenta attacker behövs det en djup, mångskiktad säkerhet som innehåller robusta autentiseringsåtgärder, regelbunden utbildning och programuppdateringar, underbyggda av full synlighet och kontinuerlig övervakning av nätverk, applikationer och slutpunkter, säger Merium Khalid.
Resultaten är baserade på data från plattformen Barracuda Managed XDR tillsammans med ett Security Operations Center (SOC) som dygnet runt förser kunder med mänsklig och AI-ledd hotdetektering, analys, incidentrespons och begränsningstjänster.
