Wat is een advanced persistent threat (APT)?

Ontdek de wereld van APT's, waar geavanceerde strategieën en tactieken voortdurend verder worden ontwikkeld en nieuwe uitdagingen voor de wereldwijde cyberbeveiliging creëren.

Overzicht

Definitie
Hoe het werkt
Soorten APT's
Aanvalsfasen
Detectie en respons

Beveiligingsoplossingen

Een APT (advanced persistent threat) is een aanvalsklasse die zich richt op een specifieke organisatie om toegang te krijgen tot de netwerk- of computeromgeving. De APT blijft vervolgens onopgemerkt op de loer liggen om gegevens te exfiltreren of om op een geschikt moment een nog ernstiger aanval te lanceren. Dit type dreiging wordt gekenmerkt door strategische doelgerichtheid en hardnekkigheid, en door de geavanceerde tactieken, technieken en procedures die worden gebruikt.

Het belangrijkste doel van een APT-aanval is om geld te verdienen. De indringers exfiltreren soms al direct gegevens, maar in andere gevallen wachten ze tot de omstandigheden optimaal zijn om hun cyberaanval te voltooien. Meestal is het doel om preventie, bescherming, detectie en respons voor volgende aanvallen extreem moeilijk te maken. Simpel gezegd willen deze aanvallers niet dat u weet dat ze zich in uw systeem hebben genesteld.

Vaak is het doelwit een cruciale entiteit die bijvoorbeeld over belangrijke, gevoelige gegevens beschikt of een belangrijke rol speelt voor de nationale veiligheid of de economische stabiliteit van een land. Organisaties worden als doelwit uitgekozen vanwege hun strategische waarde en de potentiële impact van het feit dat ze zijn gekraakt. Denk aan overheidsinstanties, kritieke infrastructuren, defensiebedrijven en leveranciers in de toeleveringsketens van andere doelwitten.

Grote bedrijven en overheidsorganisaties zijn ook vaak het doelwit vanwege de enorme hoeveelheid waardevolle gegevens waarover ze beschikken. Steeds vaker worden ook kleinere bedrijven aangevallen omdat ze deel uitmaken van de toeleveringsketen van een grotere organisatie. Hierdoor kan de aanvaller uiteindelijk het eigenlijke, grotere doelwit infiltreren.

APT-actors werpen een breed net uit over verticale markten. Hoogwaardige doelen bevinden zich bijvoorbeeld in sectoren zoals defensie, financiën, justitie, industrie, telecommunicatie en consumptiegoederen.

Hoe het werkt?

Advanced persistent threats (APT's) onderscheiden zich van andere cyberdreigingen door hun verfijning en complexiteit, waarbij geavanceerde technieken worden gecombineerd met gewone sociale methoden zoals phishing of spam. Ze worden zorgvuldig gepland en uitgevoerd, gericht op één specifiek doelwit na uitgebreid onderzoek van het aanvalsoppervlak van het slachtoffer. In de uitvoeringsfase van een APT is het doel om zo lang mogelijk onopgemerkt te blijven binnen het netwerk. Dit kan weken en zelfs jaren duren.

Meer info

Door gebruik te maken van commerciële en open-source inlichtingenbronnen, hebben APT's toegang tot een volledig scala aan technieken voor het verzamelen van informatie, van eenvoudige malware tot professionele spionagetools van natiestaten. Het arbeidsintensieve karakter van APT's komt ook tot uiting in de gebruikte methoden. Handmatige uitvoering heeft de voorkeur boven geautomatiseerde scripts, omdat de criminelen hun aanvallen op maat willen maken en gebruikmaken van methoden zoals bestandsloze aanvallen en 'living off the land'.

Veelgebruikte en zeer effectieve aanvalstechnieken, zoals RFI, SQL-injectie en XSS worden vaak gebruikt. Een van de kenmerkende symptomen van een APT-aanval zijn backdoor-trojans, ongebruikelijke accountactiviteit en afwijkingen in gegevensstromen nadat een aanvaller voet aan de grond heeft gekregen en actief is in een omgeving.

APT's implementeren vaak speciale malware (APT-malware) die is ontworpen om detectie te omzeilen en gecompromitteerde systemen op afstand toegankelijk en bestuurbaar te maken. Tools, tactieken, technieken en procedures worden vaak aangepast om detectie te ontlopen. Zelfs wanneer delen van de aanvalsoperatie aan het licht komen, weten de aanvallers vaak alsnog toegang krijgen. Deze 'low-and-slow' benadering is een gevolg van strategische langetermijndoelstellingen zoals spionage, verstoringen met tussenpozen en gegevensdiefstal, in plaats van doelen na te streven zoals een spervuur van aanvallen of een eenmalige explosie zoals bij ransomware.

Soorten advanced persistent threats

APT's worden gecategoriseerd op basis van verschillende criteria, van hun herkomst en de infiltratiemethoden tot het geografische focusgebied.

Hoewel er geen algemene set kenmerken is om elk type advanced persistent threat te definiëren, worden de volgende categorieën APT's het vaakst aangetroffen en beschreven:

· APT's van natiestaten: met enorme budgetten en toegang tot de nieuwste technologie, in combinatie met juridische dekking, voeren deze staatsactoren enkele van de meest geavanceerde missies uit. Het gaat dan om langdurige spionage, gegevensdiefstal, manipulatie van de publieke opinie enzovoort. Ze hebben duidelijke politieke of militaire doelstellingen en richten zich op overheidsinstellingen, militaire installaties, belangrijke infrastructuur, economische spelers en in wezen alles of iedereen die hen kan helpen bij het bereiken van hun langetermijndoelen.

· Criminele APT's: sommige groepen die zich bezighouden met APT-activiteiten richten zich op het stelen van geld, het bemachtigen van intellectuele eigendommen of andere waardevolle gegevens en/of het compromitteren van informatie voor chantage of afpersing. Vaak is het uiteindelijke doel van deze dreigingsactoren het inzetten van ransomware in essentiële netwerken, het plegen van bankfraude, het stelen en doorverkopen van creditcardgegevens en zelfs illegale mining van cryptovaluta's via de infrastructuur van hun doelwitten.

· Hacktivistische APT's: sommige groepen gebruiken hun cybercapaciteiten om politieke agenda's te pushen, sociale verandering te stimuleren of ideologieën te promoten door middel van gerichte aanvallen om de oppositie of andere critici uit te schakelen of propaganda te verspreiden. Gebruikte tactieken zijn bijvoorbeeld DDoS-aanvallen (Distributed Denial of Service), het kapen van websites en het lekken van gevoelige informatie. Deze groepen zoeken de publiciteit en proberen manifesten of andere boodschappen te verspreiden.

· Zakelijke APT's: deze APT's worden ingezet of gefinancierd door bedrijven en bespioneren concurrenten, meestal op het niveau van grote ondernemingen. Sinds de opkomst van APT-as-a-Service bieden gespecialiseerde cybercriminele groepen hun diensten aan voor industriële spionage. Dreigingsactoren in deze categorie worden gemotiveerd door het behalen van een concurrentievoordeel, financieel gewin of het verkrijgen van waardevolle informatie voor bedrijfsspionage.

Fasen van een aanval met een advanced persistent threat

1. Infiltratie – voet aan de grond krijgen: in de eerste fase maken aanvallers misbruik van kwetsbaarheden of gebruiken ze social engineering om ongeoorloofde toegang te krijgen. De methoden variëren van het exploiteren van zero-day kwetsbaarheden of zwakke plekken in het netwerk tot spear-phishing gericht op belangrijke personen binnen de organisatie. Het doel is om een discreet toegangspunt te creëren, dat de weg vrijmaakt voor de eigenlijke aanval.

2. Uitbreiding – persistent worden door verkenning: na een geslaagde eerste infiltratie bewegen de aanvallers zich horizontaal verder binnen het netwerk om hun controle uit te breiden en hun toegang te verbreden. Ze gaan meestal op zoek naar accounts met extra toegangsrechten voor betere toegang tot kritieke systemen en gevoelige gegevens. Aanvallers kunnen malware gebruiken om een netwerk van achterdeurtjes (backdoors) en tunnels op te zetten, waardoor het gemakkelijker wordt om ongemerkt binnen het systeem te bewegen. De inspanningen van de aanvallers zijn erop gericht zich te verschansen in een positie die beter geschikt is om hun hoofddoelen te bereiken.

3. Extractie – informatie verzamelen: in deze fase hebben de aanvallers al inzicht gekregen in de kwetsbaarheden van het systeem en de manier van werken. Hierdoor kunnen ze de benodigde informatie verzamelen en misschien op een veilige locatie binnen het netwerk opslaan. Om ontdekking tijdens de extractiefase te voorkomen, maken de aanvallers gebruik van afleidingsmanoeuvres zoals DDoS-aanvallen (Distributed Denial-of-Service).

In sommige gevallen is het verkrijgen van informatie niet het uiteindelijke doel van de APT. In plaats daarvan zijn de inspanningen gericht op het ondermijnen van een belangrijk project, missie of programma van de doelwitorganisatie.

Ongeacht het doel proberen de aanvallers altijd hun sporen uit te wissen om onopgemerkt toegang tot het netwerk te behouden voor verdere aanvallen.

Hoe worden APT's opgespoord en uitgeschakeld?

Het detecteren van een advanced persistent threat vraagt om een complete beveiligingsstrategie met opsporing van dreigingen in alle processen, werklasten en platforms, nauwgezette monitoring van de gehele omgeving en de analyse van zowel inkomend als uitgaand netwerkverkeer. Cybersecurityteams moeten bedreven zijn in het herkennen van de subtiele 'signalen' van APT-activiteit, zoals dataverkeerspatronen voor command & control. Deze zwakke indicaties moeten worden samengevoegd tot een geconsolideerde dreigingsanalyse die snel toegankelijk is en waarop menselijke beveiligers kunnen reageren. Zonder dit is het moeilijk om een tijdige en effectieve respons te implementeren.

Na de detectie moet de respons direct en doelgericht zijn. Het doel is om de getroffen systemen te identificeren, achterdeurtjes te sluiten en verdere horizontale bewegingen te voorkomen. Organisaties moeten na een incident tijd en moeite investeren in een zorgvuldige analyse om de verdediging tegen toekomstige aanvallen te versterken. Het analyseren van zowel de technische aspecten van de inbreuk als de operationele procedures is van fundamenteel belang om het risicoprofiel van de organisatie te verkleinen.

Er zijn best practices die een organisatie kan volgen om kwetsbaarheden te mitigeren die vaak door APT's worden uitgebuit, zoals:

· Het aanvalsoppervlak verkleinen met regelmatige updates en patches van software, applicaties en apparaten.

· Uitgebreide monitoring van netwerkverkeer, applicaties en domeinen en robuuste toegangscontrole met twee-factor authenticatie om belangrijke toegangspunten tot het netwerk te beveiligen.

· Alle externe verbindingen versleutelen.

· Inkomende e-mails inspecteren om de risico's van spear-phishing te beperken.

· Beveiligingsincidenten onmiddellijk analyseren en registreren om snelle identificatie en respons voor dreigingen te ondersteunen.

Wat zijn de beveiligings- en preventiemaatregelen tegen APT's?

Op het meest elementaire niveau kan regelmatige training de risico's van menselijke factoren aanzienlijk verminderen. Menselijke fouten zijn vaak de zwakste schakel in de cyberbeveiliging en APT's maken hier vaak gebruik van via social engineering-technieken. De toepassing van een formeel incidentresponsplan maakt effectief en gecoördineerd ingrijpen mogelijk tijdens een inbreuk op de beveiliging.

Advanced persistent threats (APT's) veranderen voortdurend en vormen een serieuze uitdaging voor beveiligingsteams. Deze veranderingen maken het moeilijk om dreigingen op te sporen en te mitigeren en veerkrachtig te zijn tegen de impact ervan. Beveiligingsteams kunnen geavanceerde dreigingen detecteren en erop reageren met behulp van het MITRE ATT&CK Framework, een wereldwijde kennisbank van tactieken en technieken van dreigingsactoren.

Als gevolg van budgetbeperkingen en een aanhoudend tekort aan geschoolde professionals hebben security operations centers (SOC's), managed security services providers (MSSP's) en interne beveiligingsteams vaak een tekort aan middelen. De aanhoudende groei van geavanceerde cyberaanvallen heeft ertoe geleid dat beveiligingsteams steeds vaker gegevens uit standaard detectietools combineren met threat intelligence.

De combinatie van threat intelligence (dreigingsinformatie) met Endpoint Detection & Response (EDR) vormt een krachtige bondgenoot. Door EDR te versterken met informatie-feeds om eXtended Detection & Response (XDR) te creëren, kunnen organisaties de zichtbaarheid van alle netwerksystemen en apparaten benutten om potentiële toegangspunten voor APT's te detecteren.

Diepe logboekanalyse kan in realtime geen onderscheid maken tussen kwaadaardige en legitieme activiteiten. Daarom bestaat een goede bescherming uit een intelligente en geautomatiseerde cyberbeveiligingsoplossing die gebruikmaakt van informatie over cyberdreigingen en geavanceerde verdedigingsmechanismen voor het opsporen van aanvallers.

Veel organisaties werken samen met cyberbeveiligingsbedrijven om geavanceerde verdedigingsstrategieën te ontwikkelen, sensoren in te zetten en gebruik te maken van threat intelligence, indicators of compromise (IoC's) en web application firewalls (WAF's). Deze partnerschappen zijn van cruciaal belang om voor mensen leesbare rapporten te genereren voor het opsporen van dreigingen, gericht op het proactief zoeken naar aanwijzingen van APT-activiteiten binnen de multi- of hybride cloud van een organisatie.

Veelgestelde vragen

Waarom voelde de cyberbeveiligingsgemeenschap de behoefte om advanced persistent threats te onderscheiden van de bredere categorie cyberdreigingen?

APT's vormen een categorie dreigingen die veel complexer, systematischer en zwaarder bewapend zijn dan typische cyberincidenten.

Deze classificatie komt voort uit de noodzaak om de unieke uitdagingen in kaart te brengen en aan te pakken die worden gepresenteerd door dreigingsactoren met campagnes die niet alleen opportunistisch of financieel gemotiveerd zijn, maar ook strategisch en persistent.

Andere onderscheidende factoren die ertoe hebben geleid dat APT een begrip is geworden, zijn onder meer de infiltratiestrategieën op lange termijn, de beschikbare financiële middelen en vaak ook sponsoring door een natiestaat.

Is er een manier waarop ik ervoor kan zorgen dat APT-aanvallers mij niet als potentieel doelwit beschouwen?

Vanwege de vaak onvoorspelbare en strategische aard van APT's is het niet mogelijk te garanderen dat APT-aanvallers een bepaalde organisatie of persoon niet als een doelwit zullen beschouwen. Iedereen die een digitale voetafdruk heeft, is blootgesteld aan mogelijke aanvallen.

Zelfs de kleinste MKB-bedrijven zijn niet veilig in de onderling verbonden economieën van vandaag, omdat grotere organisaties kunnen worden geïnfiltreerd via kleinere bedrijven in hun toeleveringsketen. Daarom zijn constante waakzaamheid, regelmatige risicobeoordelingen en de implementatie van cyberbeveiligingspraktijken de enige manieren om de kans te beperken dat u een APT-doelwit wordt.

Is het mogelijk dat APT-infiltratie plaatsvindt door opzettelijke plaatsing van een insider-dreiging binnen een organisatie?

Insider-dreigingen worden veroorzaakt door personen in vertrouwensposities binnen een organisatie die optreden als dreigingsactoren. Dit kunnen ontevreden werknemers zijn die handelen om politieke of financiële redenen, of doelbewust geïnfiltreerde personen. Deze insider-dreigingen zijn vaak heel lastig te detecteren en te mitigeren, omdat ze legitieme toegang tot het netwerk hebben en vaak veel weten over de beveiligingspraktijken.

Om het risico op APT-infiltratie te minimaliseren, kunnen organisaties een beveiligingscultuur bevorderen op basis van regelmatige training van werknemers, strenge antecedentencontroles, toepassing van het principe van het minste privilege (zero trust) en monitoring van het gedrag van medewerkers door middel van SIEM-systemen (Security Information & Event Management).