“Advanced Persistent Threats zijn de norm geworden.” Die conclusie trok ISACA’s internationale president Christos Dimitriad onlangs na het afronden van de ‘2015 Advanced Persistent Threat Awareness Study’.
Van de 660 ondervraagde cybersecurityprofessionals gaf 28 procent aan al slachtoffer te zijn geweest van een APT-aanval. Maar liefst 74 procent denkt binnenkort (weer) aan de beurt te zijn. Op zich zijn deze hoge cijfers best wel opmerkelijk te noemen. Het kenmerk van een APT-aanval is namelijk dat je de daadwerkelijke diefstal van gevoelige gegevens vaak al ver van tevoren kunt zien aankomen. Daarvoor is echter wel optimale waakzaamheid en een scherp oog nodig.
>> Lees ook Privémailtjes hoofd Amerikaanse inlichtingendienst op straat
>> Lees ook NAVO en EU sluiten cyberakkoord
APT-aanval
Een geavanceerde aanval gebeurt nooit zomaar ‘ineens’. Een APT-aanvaller doorloopt altijd meerdere stappen om tot het uiteindelijke doel te komen: de diefstal van waardevolle gegevens. Zo is er eigenlijk altijd sprake van een ‘herkenningsfase’ waarin een beeld wordt geschept van het potentiële slachtoffer. Zo kan het de aanvaller bijvoorbeeld helpen als hij via social media te weten komt dat een groot deel van de IT-afdeling gebruikmaakt van de fitnessclub om de hoek.
Een volgende stap kan dan zijn het infecteren van het reserveringssysteem van de fitnessclub met malware om op die manier de laptop van een van de medewerkers te infecteren met een key logger waarmee het wachtwoord van het slachtoffer kan worden achterhaald. Met een Remote Access Trojan kan vervolgens via de geïnfecteerde laptop toegang worden verkregen tot de database en kunnen de gewilde data naar buiten worden gesluisd.
Geraffineerder
Social engineering is eigenlijk bij elke APT-aanval een belangrijk middel om een voet tussen de deur te krijgen, en daarbij worden de aanvallers steeds persoonlijker. Het slachtoffer wordt bijvoorbeeld met een zeer gericht en persoonlijk phishingmailtje verleid om persoonlijke data zoals gebruikersnamen en wachtwoorden af te staan, of om op een link te klikken die leidt naar een website met malware of een exploit. Op die manier slaagde bijvoorbeeld de Carbanak-cyberbende er volgens Kaspersky Labs in om financiële instellingen wereldwijd bijna een miljard dollar afhandig te maken.
Onder andere ISACA merkt wel op dat aanvallers steeds vaker het internet verkiezen als aanvalsvector en bijvoorbeeld social media en mobiele apps inzetten om contact te leggen met het slachtoffer. Ook slagen hackers er steeds beter in om onopgemerkt te blijven. Een goed voorbeeld daarvan is ‘Duqu 2.0’ dat in 2015 opdook. Deze malware maakt gebruik van infecties die geen wijzigingen aanbrengen in de schijf of systeeminstellingen, zodat er vrijwel geen sporen achterblijven in het systeem.
Stapsgewijze verdediging
Door deze nieuwe ontwikkelingen wordt het dus steeds lastiger om de stappen te herkennen die leiden tot de datadiefstal. Om toch in een vroegtijdig stadium in te kunnen grijpen, is het noodzakelijk om onder andere:
- de basisbeveiliging op orde te hebben. Het is onmogelijk om een geavanceerde aanval te detecteren als je als organisatie niet in staat bent om bijvoorbeeld de gangbare malware te herkennen. Ook moet je als organisatie minimaal enkele ‘basisvragen’ kunnen beantwoorden, zoals ‘Welke gebruikers hebben lokale beheerrechten?’ en ‘Kunnen toepassingen worden uitgevoerd vanuit een tijdelijke directory van een gebruiker?’. Gebruikersrechten vormen immers vaak een zwakke plek in de beveiliging.
- te investeren in kennis op de werkvloer, onder andere door het verhogen van de security awareness. De aanvallers zijn ook mensen, en zoals we hebben gezien maken die gebruik van social-engineeringtechnieken om een voet tussen de deur te krijgen. Op die technieken moet iedereen binnen de organisatie bedacht zijn.
- optimaal waakzaam te blijven. Een goede security monitoring is cruciaal om een APT-aanvaller in een tijdig stadium de pas af te kunnen snijden. Dit houdt onder andere in dat de actuele verkeersstromen moeten worden vergeleken met het ‘normale verkeer’ en dat ‘gebeurtenissen’ moeten worden geregistreerd en geanalyseerd. Eventueel verdacht verkeer moet aan een continue monitoring worden onderworpen.
Gehele keten
Ook is het raadzaam om naar de gehele ‘keten’ te kijken en bijvoorbeeld ook eisen te stellen aan de weerbaarheid van de IT-systemen van de partners waarmee wordt samengewerkt. Deze systemen kunnen namelijk ook de infectiebron zijn. Helaas heeft ISACA moeten constateren dat driekwart van de securityprofessionals hier geen oog voor heeft.
Wat doen?
De kans zo klein mogelijk maken om slachtoffer te worden van een APT is de beste aanpak ter verdediging.
- Verhoog de weerbaarheid van systemen door structureel vulnerability management, afgewisseld met pentesten.
- Verhoog de weerbaarheid van de mensen door security awareness trainingen en test de effectiviteit van het awareness programma door periodiek de kennis te testen.
- Analyseer security logs en zorg voor adequate security monitoring.
Dit blog schreef Simon van den Bos, senior Product Manager bij Motiv ICT Security