In het tegenwoordige cyber bedreigingen (threats) landschap worden meerdere termen gebruikt zoals Advanced Persistent Threats (APT’s) en Advanced Targeted Attacks (ATA’s). In de realiteit is er veel overlap in betekenis van beide termen dus gebruiken wij hier de term Advanced Threats.
Advanced threats zijn geavanceerde en geconcentreerde activiteiten, in het overgrote geval gefocust op één enkel doelwit, waar het uiteindelijke doel is, uit financiële beweegredenen of bedrijf spionage, het bemachtigen van gevoelige en waardevolle informatie. Er is een trend dat Advanced Threats een grote voorkeur hebben om eindgebruikers als doelwit te hebben.
Deze aanvallen gebruiken vaak technieken zoals social engineering om zoveel mogelijk informatie te verkrijgen over de eindgebruikers en het misbruik maken van onbekende kwetsbaarheden, zoals de zogenaamde zero day aanvallen. Deze type aanvallen vinden over lange tijd plaats en het duurt vaak maanden voordat de daadwerkelijke aanval zich openbaart, terwijl de aanvallers ondertussen data continue monitoren en wegsluizen. In tegenstelling tot veel andere cyber bedreigingen en aanvallen zijn de Advanced Threats het werk van zeer goed gefinancierde professionele organisaties met een heel helder en vastomlijnd doel.
Hoe gaan ze te werk?
Advanced Threats zijn zeer zorgvuldig voorbereid en worden zeer nauwkeurig uitgevoerd. Dit type aanval bestaat typisch uit vier fases: Inbreken, Verkennen, Buitmaken en Extractie.
Gedurende Inbraak fase maken aanvallers vaak gebruik van een mix van social engineering, zero-day kwetsbaarheden en gerichte malware om initieel toegang te verkrijgen tot het netwerk. Toegang wordt vaak verkregen via een systeem met lage prioriteit of een systeem dat verondersteld wordt minder belangrijk te zijn dan het uiteindelijke doelwit.
Een andere veel gebruikte manier is het uitvoeren van een spear phishing aanval, een email aanval die ontwikkeld is om gevoelige informatie te verzamelen en gericht op specifieke individuen binnen een organisatie.
Zodra de initiële toegang is verkregen gaan de aanvallers in de Verkenning fase de systemen van de organisatie in kaart brengen en gaan op zoek naar kwetsbaarheden, inlog gegevens en andere mogelijke manieren om toegang te verkrijgen tot de vertrouwelijke en waardevolle data van de organisatie.
Zodra alle systemen in kaart zijn gebracht en één of meerdere aanval vectoren zijn geïdentificeerd gaan de aanvallers over tot de Buitmaking fase. Gedurende deze fase verschaffen zij zich toegang tot onvoldoende beveiligde systemen en vergaren informatie over het system over een lange tijdsperiode. Ze kunnen ook speciaal ontwikkelde malware installeren als voorbereiding voor de volgende fase van de aanval.
Gedurende de laatste Extractie fase hebben de aanvallers de controle over de doel systemen overgenomen, contact gelegd met de Command & Control Servers van de aanvallers die de aanval coördineert en gaan vaak ongezien over tot het buitmaken en wegsluizen van vertrouwelijke en waardevolle data. Zodra ze de data in bezit hebben kunnen ze deze verder analyseren en er misbruik van maken.
Hoe je te beschermen?
Advanced Threats zijn multi-vector aanvallen (aanvallen die op meerdere lagen van organisaties plaatsvinden en op meerdere wijzen worden uitgevoerd), worden over een lange tijdsperiode uitgevoerd en zijn vaak onzichtbaar voor veel security mechanismes. Bescherming tegen dit type aanvallen moeten geavanceerd, gedegen en goed georganiseerd zijn op de gebieden Protection, Detection & Response. Strategie en visie, ondersteund door actuele Security Intelligence, zijn nodig om de basis te vormen om de cyber bedreigingen en risico’s waar organisaties aan blootgesteld staan te adresseren over de as van Proces, Mens en Technologie. Voorbereid zijn is het sleutelwoord hier: proactieve security is absoluut noodzakelijk! De schade is niet te overzien wanneer organisaties zich niet voorbereiden op dit type cyber criminaliteit. Er zijn veel voorbeelden van organisaties die failliet zijn gegaan na een succesvolle cyber aanval!
Het is geen vraag óf ze komen, we weten dát ze komen en we kunnen er maar beter op voorbereid zijn!