Cybercrime17.10.2012

APT: Advanced Persistent Threats – Voorkomen, opsporen en reageren


apt-advanced-persistent-threats-voorkome.jpg
apt-advanced-persistent-threats-voorkome.jpg

Advanced Persistent Threats (ofwel APT) zijn cyberaanvallen die vaak zijn ontwikkeld met een  zakelijke of politieke motivatie. Ze komen meestal het systeem binnen via USB of LAN. De meest bekende APT’s zijn waarschijnlijk de bank-trojan Zeus en het onlangs ontmantelde Stuxnet.

APT hackers die uit zijn op de gegevens van een organisatie of bedrijf, zijn volledig gericht op het verwerven van data en zijn niet gebonden aan bepaalde tactiek en techniek of procedures (TTP). Bij een storing passen ze zich aan en blijven jagen op de zwakste schakel in de beveiliging of die blinde vlek in de monitoring. Wanneer ze in staat zijn de beveiliging te omzeilen, wordt de data buiten het netwerk geplaatst en online bekeken. Die data gebruiken de APT hackers om in de toekomst gerelateerde doelwitten binnen te kunnen dringen.

Een APT is vaak op politieke motivatie gebaseerd en meestal ontwikkeld om gevoelige informatie te achterhalen. Opvallend is dat de meeste APT-aanvallen zich concentreren op het Midden-Oosten. Zo zijn de het overgrote deel van de infecties met Stuxnet te zien in Iran en heeft Stuxnet daar zelfs een compleet uraniumverrijkingsfabriek platgelegd. Uit onderzoek blijkt dat veel van de Stuxnet aanvallen afkomstig waren uit de Verenigde Staten.

Eén belangrijk kenmerk van de APT waardoor de malware afwijkt van andere reguliere malware, is het feit dat het zijn slachtoffers nauwkeurig uitzoekt. De meeste APT’s komen daarom ook binnen via spearphising, een zeer gerichte phishing e-mail gericht op één persoon binnen een organisatie. De betreffende persoon is voor hackers vaak gemakkelijk te vinden via Google of LinkedIn of zelfs via een partner. Doordat de malware specifiek voor één persoon (de zogenaamde patient zero) is ontwikkeld en daarin uniek is, is deze vorm van malware vaak onmogelijk te detecteren voor een antivirus programma: 0% kans.

Wanneer de APT de computer van patient zero heeft geïnfecteerd, kan het vanuit deze pc zich langzaam gaan verspreiden over de rest van het netwerk. Vaak onzichtbaar voor de IT beheerder omdat de malware zo ontwikkeld is dat het continu muteert. Hierdoor blijft hij vaak lang ongezien.

Wanneer de APT het netwerk is binnengedrongen, kan het zich zo onopvallend gedragen omdat APT’s vaak toegang verwerven tot legitieme protocols en credentials. Het is daarom ook niet opmerkelijk dat slecht 40% van de APT-aanvallen wordt ontdekt, vaak zitten deze virussen dan al jaren op het systeem zonder ervan op de hoogte te zijn.

Aanpak
Is er dan echt niets te beginnen tegen een APT aanval? Laten we voorop stellen dat het heel moeilijk is om een aanval te voorkomen, maar er zijn zeker wel maatregelen die je kunt nemen om de kans dat je geïnfecteerd raakt te minimaliseren of de verdere verspreiding van een APT te zo klein mogelijk te maken. Een antivirus programma binnen je systeem en netwerk is de minimale standaard.

Om je effectief te kunnen weren tegen Advanced Percieved Threats heb je een gedegen aanpak nodig en een evaluatie van de huidige beveiligingsstrategie. De drie belangrijkste factoren zijn: Voorkomen (Prevent), Opsporen (Detect) en Effectief Reageren (Respond Effectively).

Voorkomen
Het is belangrijk om goed in kaart te brengen wat de belangrijkste data, informatie of kennis is binnen jouw bedrijf, kortom jouw kroonjuweel. Als je dit weet, kun je gaan kijken naar wie er baat bij heeft om je kroonjuweel te kapen. Het is namelijk belangrijk om te weten wie jou zou willen aanvallen om jezelf goed te kunnen verdedigen.

Als je dat in kaart heb gebracht, moet je goed nagaan wie er binnen de organisatie toegang heeft tot deze informatie. Welke werknemers hebben directe toegang tot de informatie en via welke weg hebben ze toegang?

Een ander belangrijk aspect bij het voorkomen van een APT, is het informeren van je werknemers. Het klinkt misschien ridicuul maar het is ontzettend belangrijk om je werknemers erop attent te maken dat ze niet zomaar een USB-stick in hun laptop moeten stoppen, of een link in een e-mail moeten aanklikken, want een virus zit binnen no-time op je computer. Zelfs via online advertenties kunnen APT’s of andere malware jouw netwerk betreden.

Blijf op de hoogte van de laatste trends als je weet waar aanvallen vandaan kunnen komen. Zorg ervoor dat je die IP-adressen blokkeert en zorg ervoor dat de toegang van de aanvallers tot je netwerk geminimaliseerd wordt.

Opsporen
Zoals eerder genoemd, is het opsporen van APT’s een behoorlijk lastige klus. Door de vele mutaties die zij maken, kunnen ze zich razendsnel en onopvallend verspreiden over jouw netwerk. Het is daarom ook belangrijk dat bedrijven beter gaan kijken naar het gedrag van het virus dan naar het uiterlijk of de vorm van het virus, maar er bestaat ook nog zoiets als sleeper malware. De malware ontwaakt pas na een aantal weken of maanden na de infectie.
Het testen van de systemen en netwerken voor APT’s is daarom niet optioneel maar essentieel. Als een organisatie zich serieus wil weren tegen APT’s moet men regelmatig de beveiligingsprotocollen, processen en medewerkers testen met een gesimuleerde APT. De tests moeten de logistieke (systemen, netwerken, applicaties etc.), de fysieke (kantoren en faciliteiten) en werknemers (surfgedrag en phising-activiteiten) activiteiten omvatten. Regelmatig phishing en penetration tests uitvoeren op je netwerk zijn dan ook van groot belang.

Effectief Reageren
Er is geen 100% waterdichte oplossing om je te beschermen tegen APT’s. Het is daarom belangrijk dat bedrijven goed evalueren hoe zij het meest effectief kunnen reageren wanneer een dergelijk virus in hun systeem zit. Snel en effectief opsporen, maakt het grote verschil. Het is daarom belangrijk om als bedrijf een Computer Incident Response Plan te hebben waarin duidelijk de rollen en verantwoordelijkheden worden gedefinieerd die robuust en getest is.

Conclusie
Het herkennen en erkennen van de feiten in belangrijk. Weet wie je vijand kan zijn en ga hiervan uit bij het ontwikkelen van het beveiliging plan. Essentieel hierin is het betrekken van je medewerkers. Een goed ontwikkeld communicatieplan helpt dat de gebruikers inzien wat de gevaren zijn en hoe ze deze kunnen identificeren, het zal hen helpen pogingen van spearphishing te doorzien. Onderhoud van de IT-omgeving door middel van gevoeligheidstesten en efficiënte patch management is een belangrijk middel om pogingen van APT’s om op het netwerk te komen te minimaliseren. Privileges bij medewerkers op hun computers verwijderen en hen alleen toegang verlenen tot de data en applicaties die voor hen van belang zijn, helpt om de verspreiding te minimaliseren.

Een APT-aanval via penetratie simuleren, het testen en oefenen met TTP’s die een APT-aanvaller zou gebruiken, zijn waardevolle trainingstechnieken voor het management en de IT-verantwoordelijken.

Een goed bewustzijn van de situatie is van cruciaal belang wanneer je een effectieve beveiligingsstrategie wil implementeren. Zonder grondige kennis van de dreiging, zullen defensieve strategieën en uitgaven ineffectief of zelfs inefficiënt zijn. In het geval van een APT moeten de veiligheidsmaatregelen ontwikkeld worden waarbij zeer nauw gekeken wordt naar de “identiteit” van de mogelijke aanvaller, hun vermogen om zich aan te passen en de middelen die zij in werking kunnen stellen om jouw kroonjuweel te bemachtigen.

Deze blogpost is geschreven Luc Eeckelaert, Regional Director – Benelux and Nordics at Dell SonicWALL.

...

Verder lezen over Hackers

Het allerbelangrijkste gereedschap van cybercriminelen is JOUW browser!

Het allerbelangrijkste gereedschap van cybercriminelen draait al gewoon op jouw desktop, laptop of notebook. Ik heb het natuurlijk over de browser software die jij gebruikt, zoals Microsoft Edge, Google Chrome, Mozilla Firefox, etc. In de meeste gevallen zijn het namelijk browsers die cybercriminelen toegang verschaffen tot persoonlijke data of bankrekeningen.

Cybercrime11.10.2024

Het allerbelangrijkste gereedschap van cybercriminelen is JOUW browser!

Gebruik daarom liever apps op tablets of smartphones voor de allergevoeligste gegevens
Unlock Digitale Weerbaarheid: leer online gevaren te herkennen

Jim Stolze is een campagne gestart om de digitale weerbaarheid van Nederlanders te vergroten. Samen met KPN, ING en Microsoft is het platform 'Unlock Digitale Weerbaarheid' opgezet, met gratis lessen die online en bij jou in de buurt gevolgd kunnen worden.

Cybercrime08.10.2024

Unlock Digitale Weerbaarheid: leer online gevaren te herkennen

De Gesprek Check is een extra controle-hulpmiddel van ABN AMRO

ABN AMRO introduceert een extra online hulpmiddel waarmee klanten kunnen controleren of ze echt een medewerker van de bank aan de lijn hebben. Het is een nieuwe functionaliteit die wordt toegevoegd aan de reeds bestaande hulpmiddelen, waarmee persoonlijke voorkeuren rondom bankieren en veiligheid zijn in te stellen.

Cybercrime30.09.2024

De Gesprek Check is een extra controle-hulpmiddel van ABN AMRO

heb je echt de bank aan de telefoon?
TeamViewer heeft een groot cybersecurity-probleem

Als je een kantoorbaan hebt, dan is de kans groot dat je TeamViewer wel kent. Het is een manier waarmee een IT-helpdesk je computer kan ‘overnemen’. Echter blijkt dat TeamViewer zelf is overgenomen, en niet op een positieve manier.

Cybercrime29.08.2024

TeamViewer heeft een groot cybersecurity-probleem

Financiële fraude met phishingmethode specifiek gericht op Android & iOS

Er is weer een ongewoon type phishing-campagne ontdekt volledig gericht op mobiele gebruikers, Eset Research analyseerde een ‘in the wild’ waargenomen geval gericht op klanten van een belangrijke Tsjechische bank. Deze techniek is opmerkelijk omdat het een phishingapp installeert vanaf een website van derden zonder dat de gebruiker de installatie van apps van derden hoeft toe te staan. Op Android kan dit resulteren in een stille installatie van een bijzonder soort APK, die zelfs vanuit de Google Play Store lijkt geïnstalleerd te zijn. De bedreiging was ook gericht op iPhone (iOS)-gebruikers.

Cybercrime26.08.2024

Financiële fraude met phishingmethode specifiek gericht op Android & iOS

Wielrenner, je racefiets kan gehackt worden

Het zijn geen e-bikes, maar toch kunnen racefietsen gehackt worden. Dit is hoe een hacker dat kan doen en waar het door komt.

Cybercrime16.08.2024

Wielrenner, je racefiets kan gehackt worden

Veel openbare WiFi netwerken in Parijs zijn onveilig

Experts van Kaspersky hebben bijna 25.000 gratis WiFi-spots in Parijs geanalyseerd voor de Olympische Zomerspelen en Paralympische Spelen. Uit hun analyse blijkt dat bijna 25 procent van deze netwerken zwakke of geen encryptie heeft, waardoor gebruikers kwetsbaar zijn voor diefstal van persoonlijke- en bankgegevens. Slechts zes procent van de netwerken maakt gebruik van het nieuwste beveiligingsprotocol WPA3.

Cybercrime29.07.2024

Veel openbare WiFi netwerken in Parijs zijn onveilig

Vigorish Viper: een Chinees cybercrimesyndicaat ontdekt door Infoblox

Infoblox heeft een belangrijke doorbraak geboekt in onderzoek naar cybercriminaliteit met de onthulling van een groep cybercriminelen, die de naam "Vigorish Viper" heeft gekregen. Dit is een Chinees georganiseerd misdaadsyndicaat dat gebruikmaakt van geavanceerde technologie om te profiteren van de wereldwijde illegale sportgokindustrie ter waarde van $1.700 miljard. Het syndicaat heeft ook banden met witwaspraktijken en mensenhandel operaties in heel Azië. Deze ontdekking van Infoblox betekent een belangrijke mijlpaal in de voortdurende strijd tegen wereldwijde cybercriminaliteit door middel van DNS-intelligentie.

Cybercrime25.07.2024

Vigorish Viper: een Chinees cybercrimesyndicaat ontdekt door Infoblox

banden met Europese voetbalsponsors, mensenhandel en illegale gokindustrie