APT: Advanced Persistent Threats – Voorkomen, opsporen en reageren

Advanced Persistent Threats (ofwel APT) zijn cyberaanvallen die vaak zijn ontwikkeld met een  zakelijke of politieke motivatie. Ze komen meestal het systeem binnen via USB of LAN. De meest bekende APT’s zijn waarschijnlijk de bank-trojan Zeus en het onlangs ontmantelde Stuxnet.

APT hackers die uit zijn op de gegevens van een organisatie of bedrijf, zijn volledig gericht op het verwerven van data en zijn niet gebonden aan bepaalde tactiek en techniek of procedures (TTP). Bij een storing passen ze zich aan en blijven jagen op de zwakste schakel in de beveiliging of die blinde vlek in de monitoring. Wanneer ze in staat zijn de beveiliging te omzeilen, wordt de data buiten het netwerk geplaatst en online bekeken. Die data gebruiken de APT hackers om in de toekomst gerelateerde doelwitten binnen te kunnen dringen.

Een APT is vaak op politieke motivatie gebaseerd en meestal ontwikkeld om gevoelige informatie te achterhalen. Opvallend is dat de meeste APT-aanvallen zich concentreren op het Midden-Oosten. Zo zijn de het overgrote deel van de infecties met Stuxnet te zien in Iran en heeft Stuxnet daar zelfs een compleet uraniumverrijkingsfabriek platgelegd. Uit onderzoek blijkt dat veel van de Stuxnet aanvallen afkomstig waren uit de Verenigde Staten.

Eén belangrijk kenmerk van de APT waardoor de malware afwijkt van andere reguliere malware, is het feit dat het zijn slachtoffers nauwkeurig uitzoekt. De meeste APT’s komen daarom ook binnen via spearphising, een zeer gerichte phishing e-mail gericht op één persoon binnen een organisatie. De betreffende persoon is voor hackers vaak gemakkelijk te vinden via Google of LinkedIn of zelfs via een partner. Doordat de malware specifiek voor één persoon (de zogenaamde patient zero) is ontwikkeld en daarin uniek is, is deze vorm van malware vaak onmogelijk te detecteren voor een antivirus programma: 0% kans.

Wanneer de APT de computer van patient zero heeft geïnfecteerd, kan het vanuit deze pc zich langzaam gaan verspreiden over de rest van het netwerk. Vaak onzichtbaar voor de IT beheerder omdat de malware zo ontwikkeld is dat het continu muteert. Hierdoor blijft hij vaak lang ongezien.

Wanneer de APT het netwerk is binnengedrongen, kan het zich zo onopvallend gedragen omdat APT’s vaak toegang verwerven tot legitieme protocols en credentials. Het is daarom ook niet opmerkelijk dat slecht 40% van de APT-aanvallen wordt ontdekt, vaak zitten deze virussen dan al jaren op het systeem zonder ervan op de hoogte te zijn.

Aanpak
Is er dan echt niets te beginnen tegen een APT aanval? Laten we voorop stellen dat het heel moeilijk is om een aanval te voorkomen, maar er zijn zeker wel maatregelen die je kunt nemen om de kans dat je geïnfecteerd raakt te minimaliseren of de verdere verspreiding van een APT te zo klein mogelijk te maken. Een antivirus programma binnen je systeem en netwerk is de minimale standaard.

Om je effectief te kunnen weren tegen Advanced Percieved Threats heb je een gedegen aanpak nodig en een evaluatie van de huidige beveiligingsstrategie. De drie belangrijkste factoren zijn: Voorkomen (Prevent), Opsporen (Detect) en Effectief Reageren (Respond Effectively).

Voorkomen
Het is belangrijk om goed in kaart te brengen wat de belangrijkste data, informatie of kennis is binnen jouw bedrijf, kortom jouw kroonjuweel. Als je dit weet, kun je gaan kijken naar wie er baat bij heeft om je kroonjuweel te kapen. Het is namelijk belangrijk om te weten wie jou zou willen aanvallen om jezelf goed te kunnen verdedigen.

Als je dat in kaart heb gebracht, moet je goed nagaan wie er binnen de organisatie toegang heeft tot deze informatie. Welke werknemers hebben directe toegang tot de informatie en via welke weg hebben ze toegang?

Een ander belangrijk aspect bij het voorkomen van een APT, is het informeren van je werknemers. Het klinkt misschien ridicuul maar het is ontzettend belangrijk om je werknemers erop attent te maken dat ze niet zomaar een USB-stick in hun laptop moeten stoppen, of een link in een e-mail moeten aanklikken, want een virus zit binnen no-time op je computer. Zelfs via online advertenties kunnen APT’s of andere malware jouw netwerk betreden.

Blijf op de hoogte van de laatste trends als je weet waar aanvallen vandaan kunnen komen. Zorg ervoor dat je die IP-adressen blokkeert en zorg ervoor dat de toegang van de aanvallers tot je netwerk geminimaliseerd wordt.

Opsporen
Zoals eerder genoemd, is het opsporen van APT’s een behoorlijk lastige klus. Door de vele mutaties die zij maken, kunnen ze zich razendsnel en onopvallend verspreiden over jouw netwerk. Het is daarom ook belangrijk dat bedrijven beter gaan kijken naar het gedrag van het virus dan naar het uiterlijk of de vorm van het virus, maar er bestaat ook nog zoiets als sleeper malware. De malware ontwaakt pas na een aantal weken of maanden na de infectie.
Het testen van de systemen en netwerken voor APT’s is daarom niet optioneel maar essentieel. Als een organisatie zich serieus wil weren tegen APT’s moet men regelmatig de beveiligingsprotocollen, processen en medewerkers testen met een gesimuleerde APT. De tests moeten de logistieke (systemen, netwerken, applicaties etc.), de fysieke (kantoren en faciliteiten) en werknemers (surfgedrag en phising-activiteiten) activiteiten omvatten. Regelmatig phishing en penetration tests uitvoeren op je netwerk zijn dan ook van groot belang.

Effectief Reageren
Er is geen 100% waterdichte oplossing om je te beschermen tegen APT’s. Het is daarom belangrijk dat bedrijven goed evalueren hoe zij het meest effectief kunnen reageren wanneer een dergelijk virus in hun systeem zit. Snel en effectief opsporen, maakt het grote verschil. Het is daarom belangrijk om als bedrijf een Computer Incident Response Plan te hebben waarin duidelijk de rollen en verantwoordelijkheden worden gedefinieerd die robuust en getest is.

Conclusie
Het herkennen en erkennen van de feiten in belangrijk. Weet wie je vijand kan zijn en ga hiervan uit bij het ontwikkelen van het beveiliging plan. Essentieel hierin is het betrekken van je medewerkers. Een goed ontwikkeld communicatieplan helpt dat de gebruikers inzien wat de gevaren zijn en hoe ze deze kunnen identificeren, het zal hen helpen pogingen van spearphishing te doorzien. Onderhoud van de IT-omgeving door middel van gevoeligheidstesten en efficiënte patch management is een belangrijk middel om pogingen van APT’s om op het netwerk te komen te minimaliseren. Privileges bij medewerkers op hun computers verwijderen en hen alleen toegang verlenen tot de data en applicaties die voor hen van belang zijn, helpt om de verspreiding te minimaliseren.

Een APT-aanval via penetratie simuleren, het testen en oefenen met TTP’s die een APT-aanvaller zou gebruiken, zijn waardevolle trainingstechnieken voor het management en de IT-verantwoordelijken.

Een goed bewustzijn van de situatie is van cruciaal belang wanneer je een effectieve beveiligingsstrategie wil implementeren. Zonder grondige kennis van de dreiging, zullen defensieve strategieën en uitgaven ineffectief of zelfs inefficiënt zijn. In het geval van een APT moeten de veiligheidsmaatregelen ontwikkeld worden waarbij zeer nauw gekeken wordt naar de “identiteit” van de mogelijke aanvaller, hun vermogen om zich aan te passen en de middelen die zij in werking kunnen stellen om jouw kroonjuweel te bemachtigen.

Deze blogpost is geschreven Luc Eeckelaert, Regional Director – Benelux and Nordics at Dell SonicWALL.