De wat, waarom en hoe van Advanced Persistent Threats (APT)

Info SnippetAfgelopen tijd heb je het begrip ‘Advanced Persistent Threats’ (APT) waarschijnlijk vaak genoeg voorbij horen komen omdat onder andere Sony en Target getroffen werden door ernstige cyberaanvallen. Trend Micro ontdekte dat 55 procent van de organisaties zich niet bewust is van binnendringers, en nog minder organisaties zijn op de hoogte van de volledige omvang van de aanval of wie er precies achter zit. Om het bewustzijn te verhogen, is het belangrijk dat organisaties weten wat nu precies een APT is. Waarom en hoe wordt het gebruikt? In dit artikel gaan we dieper in op deze onopvallende bedreiging; wat is het en hoe werkt het, maar vooral ook welke oplossingen zijn er om deze bedreiging real time op te sporen, te analyseren en aan te pakken?

Wat is een APT?
Een Advanced Persistent Threat (APT) is een doelgerichte cyberaanval waarbij een onbevoegd persoon onopgemerkt toegang heeft tot een netwerk. Het doel van een APT-aanval is veelal niet om schade te veroorzaken, maar om toegang te krijgen tot gegevens van een organisatie. Met name organisaties in sectoren die de beschikking hebben over waardevolle informatie zijn aantrekkelijk voor een APT-aanval, zoals Defensie, nutsbedrijven en de financiële sector. Achter een APT-aanval kunnen zowel veiligheidsdiensten als georganiseerde criminelen en terroristen zitten.

Zes fasen van een APT-aanval
Een APT-aanval bestaat uit verschillende fasen die een cybercrimineel doorloopt tijdens een aanval op een organisatie. Onderstaande infographic en afbeelding illustreert wat mij betreft op een zeer duidelijke en overzichtelijke manier de zes verschillende stadia.

the-apt-attack-sequence-icon-en

 

 

 

 

 

 

 

Fase 1: Intelligence gathering: Een aanval begint met het verzamelen van informatie. De cybercrimineel gaat om zoek naar strategische informatie rondom het potentiële slachtoffer, zoals de IT-omgeving of de structuur van de organisatie.

Face 2: Point of entry: In deze fase vindt de gerichte aanval plaats om hiermee toegang te krijgen tot data. Een APT-aanvaller maakt daarbij gebruik van geavanceerde technieken zoals social engineering om de organisatie onopgemerkt binnen te dringen en malware te implementeren. Een veel gebruikte methode is de ‘spear-fishing-methode’ waarbij een doelgerichte e-mail wordt gestuurd vanaf een bekend e-mailadres. De e-mail bevat een link naar een website met malware of een e-mail bijlage die bij het openen ervan de computer infecteert. Zodra de aanvaller toegang heeft gekregen, creëert de aanvaller een ‘back door’.

Fase 3: Command & Control: De cybercrimineel zorgt ervoor dat er continue gecommuniceerd kan worden tussen de gecompromitteerde host en de command & control server van de cybercrimineel. Dit kan een server component zijn van een ‘Remote Access Trojan’ (RAT) of een server die ‘check ins’ ontvangt. De aanvaller krijgt op deze manier de mogelijkheid additionele malware naar de gecompromitteerde host te downloaden.

Fase 4: Lateral movement: Tijdens deze fase doorzoekt de aanvaller het netwerk om meer ‘back doors’ te installeren, op zoek naar waardevolle informatie. Deze ‘back doors’ stellen de aanvaller in staat om een ‘ghost-infrastructuur’ te installeren voor het verspreiden van malware op service- en admin accounts en specifieke systemen.

Fase 5: Asset / Data discovery: De cybercrimineel identificeert de waardevolle data om deze te isoleren voor toekomstige data aanvallen. Cybercriminelen kunnen zo op afstand en ook in de toekomst je waardevolle data stelen, van creditcardgegevens tot de lucratievere intellectuele eigendommen of zelfs staatsgeheimen.

Fase 6: Data exfiltration: Tijdens deze fase worden de gegevens verstuurd naar een locatie waar de aanvaller controle over heeft. Ook kan de aanvaller ervoor kiezen om de aanval te stoppen als hij zijn doel heeft bereikt. Dit doet hij door de malware te de-installeren en de sporen van zijn aanwezigheid te wissen.

De gevolgen
De gevolgen van een APT zijn vaak niet te overzien. Een succesvolle aanval kan namelijk van invloed zijn op de financiële prestaties, merkreputatie en klantenbinding van een organisatie. Je concurrentievoordeel kan dan teniet worden gedaan, of in het geval van de overheid, kan zelfs de nationale veiligheid in gevaar worden gebracht. Bovendien bieden ontwikkelingen als Bring Your Own Device (BYOD) nieuwe mogelijkheden voor cybercriminelen. Deze devices werken zowel binnen als buiten de organisatie, zijn moeilijk te controleren en zijn vaak aanwezig buiten het bereik van de beveiligingsinfrastructuur. Met een onopgemerkte gerichte aanval als gevolg.

Verdediging op maat
Gerichte aanvallen blijven zijn vaak moeilijk tegen te gaan. Het is dan ook niet de vraag of je er als organisatie mee wordt geconfronteerd, maar juist wanneer. Het is belangrijk om voor een dergelijke aanval op maat, ook een verdediging op maat te hebben. Door kennis en inzicht te hebben in hoe een dergelijke aanval werkt, kan de strategie voor de bescherming ervan flink worden verbeterd. De beschreven fases van een APT geven bijvoorbeeld goed inzicht in de noodzaak van scanning in fase 4 en 5. Goed opsporingsvermogen en sandboxing op maat is nodig om tijdig de aanval te ontdekken en verder schade te voorkomen. Daarvoor zijn gelukkig een aantal oplossingen beschikbaar. Met ons Deep Discovery-platform kun je bijvoorbeeld gerichte aanvallen in real time opsporen, analyseren en aanpakken. Door effectief gebruik te maken van informatie over bedreigingen, van zowel interne als externe bronnen, in combinatie met context-aware databescherming en security-oplossingen, ben je als organisatie veel beter in staat om deze gerichte aanvallen te detecteren en beperken.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.