Mimecast Logo
Schedule a Demo
Start Free Trial
    Inzichten in cyberbestendigheid
    Alle onderwerpen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    E-mailbeveiliging

    Alles over geavanceerde aanhoudende bedreigingen en bescherming

    Advanced persistent threats (APT's) zijn kostbare en aandachttrekkende exploits, maar een groter bewustzijn en meerdere beveiligingslagen kunnen de impact ervan helpen voorkomen of beperken.

    by Stephanie Overby
    1210303038.jpg

    Hoofdpunten

    • Recente mega-inbraken hebben de omvang en de impact van steeds geraffineerdere geavanceerde aanhoudende bedreigingen (APT's) duidelijk gemaakt.
    • APT's - waarbij aanvallers toegang krijgen tot een netwerk en daar langere tijd onopgemerkt blijven - vormen potentieel verwoestende risico's voor de financiële activa, intellectuele eigendom en vertrouwelijke informatie van organisaties.
    • Hoewel deze APT-malwareaanvallen kostbaar kunnen zijn, kunnen ze tot een minimum worden beperkt of verijdeld met een veelzijdige en gezamenlijke aanpak van cyberbeveiliging en -detectie.

    Er komen nog steeds details naar buiten over het megalek dat in december 2020 voor het eerst openbaar werd. Aanvallers slaagden erin in te breken in de systemen van meer dan 100 particuliere bedrijven en bijna een dozijn Amerikaanse overheidsinstanties (waaronder de ministeries van Buitenlandse Zaken, Energie en Binnenlandse Veiligheid). Ze maakten daarbij gebruik van een aantal software- en cloudhostingdiensten en APT-malwaretechnieken.

    Executives uit de computerindustrie hebben voor een commissie van de Amerikaanse Senaat getuigd dat de aanval waarschijnlijk het werk was van minstens 1.000 ervaren technici. Het meest ontnuchterend is misschien wel het besef dat de aanval niet alleen nog erger had kunnen zijn, maar dat hij heel goed nog meer schade had kunnen aanrichten omdat de APT-malware in sommige netwerken onontdekt kan blijven.

    Begin januari bevestigde het Cybersecurity & Infrastructure Security Agency dat de wijdverspreide inbreuk het werk was van een APT-actor, waarschijnlijk een natiestaat die inlichtingen wilde verzamelen.[1] Sindsdien is de massale en geraffineerde aanval een schoolvoorbeeld geworden voor APT-malware.

    Om deze modernste cyberbedreiging te voorkomen of te neutraliseren, zouden organisaties een voorbeeld moeten nemen aan de werkwijze van APT-teams en hun eigen netwerk en de kwetsbaarheden ervan van alle kanten moeten bekijken. Door de zwakke plekken in de infrastructuur beter te begrijpen en aan te pakken, door ongebruikelijke toegang of activiteiten beter te beveiligen en te bewaken, en door het personeel voor te lichten, kunnen bedrijven deze APT's het hoofd bieden.

    Geavanceerde aanhoudende bedreigingen 101

    Zoals de naam al aangeeft, zijn APT's hoogontwikkeld en onverbiddelijk. Wat de naam echter niet zegt, is hun heimelijke aard. Een APT-aanval is een aanval waarbij individuen of organisaties misbruik maken van een kwetsbaarheid om toegang te krijgen tot een netwerk en daar - onopgemerkt - gedurende lange tijd binnen te blijven.

    APT's stellen organisaties bloot aan aanzienlijke potentiële verliezen van financiële gegevens, intellectuele eigendom en andere vertrouwelijke informatie, aangezien APT-teams databases binnendringen, activiteiten monitoren of plannen lanceren om infrastructuur te saboteren. Frost & Sullivan wees er onlangs op dat APT's bijdragen aan een grotere vraag naar cyberbeveiligingsdiensten in Noord- en Zuid-Amerika, van 12 miljard dollar in 2020 tot bijna 19 miljard dollar in 2024. [2]

    Daders van APT's hebben het meestal gemunt op organisaties met informatie van hoge waarde - bijvoorbeeld in de productiesector, de defensie of de financiële dienstverlening. Dat is deels om de moeite en middelen te dekken die ermee gemoeid zijn, aangezien APT-aanvallen vaak fulltime teams vereisen om hun netwerktoegang te onderhouden en er voordeel uit te halen.

    APT-aanvallen kunnen echter aanvankelijk infiltreren in een kleiner bedrijf in de digitale toeleveringsketen van hun doelorganisaties - bijvoorbeeld een softwarebedrijf dat, zodra hun product is gecompromitteerd, de aanvallers toegang verschaft tot duizenden klanten van het bedrijf.

    APT malware en de Cyber Kill Chain

    In tegenstelling tot cybercriminelen die een snelle en gerichte aanval uitvoeren, neemt een APT-team een reeks stappen om een netwerk binnen te sluipen en te blijven. Inzicht in deze cyber kill chain - hoe deze bedreigingen te werk gaan - is essentieel om ze te neutraliseren. Hier ziet u hoe een APT-aanval zich ontvouwt:

    1. Toegang tot het netwerk: APT-actoren kunnen gebruikmaken van een willekeurig aantal kwetsbaarheden om toegang te krijgen tot de netwerken van een organisatie om APT-malware in het doelwit in te voeren. Meestal gebruiken zij kwaadaardige e-mailbijlagen, spear-phishing, of maken zij gebruik van kwetsbaarheden in toepassingen (bv. zero-day-aanvallen) of social engineering om het netwerk te compromitteren.
    2. Begin met het inzetten van malware: Met behulp van commando- en controlecommunicatie kunnen zij met de APT-malware netwerken van backdoors en tunnels creëren. Op die manier kunnen zij toegang tot het netwerk blijven krijgen, zelfs als het oorspronkelijke toegangspunt gesloten is.
    3. Uitbreiden van toegang en controle: Binnen het netwerk kan de aanvaller zijn toegang uitbreiden door wachtwoorden en referenties te oogsten om zo nog meer machines te compromitteren en zich vrijer door het netwerk te bewegen.
    4. Identificeren, voorbereiden en exfiltreren van gegevens: Met betrouwbare netwerktoegang kunnen APT-actoren doelgegevens identificeren en verzamelen - centraliseren, versleutelen en comprimeren voor succesvolle exfiltratie.
    5. Rinse and repeat: Zodra ze met succes de gegevens hebben geoogst, wissen APT-actoren hun sporen uit, maar laten ze het netwerk open voor toekomstige exploitaties.

    Bescherming tegen APT's

    Omdat APT-aanvallers vaak misbruik maken van minder goed bewaakte bedrijven, moeten bedrijven en organisaties van elke omvang begrijpen hoe ze zich kunnen beschermen tegen APT-malware en hoe ze deze kunnen identificeren.

    Bescherming en detectie van APT's vereisen samenwerking op alle niveaus van een organisatie, van netwerkbeheerders en beveiligingsteams tot eindgebruikers. Ze vereisen ook een meervoudig gelaagde aanpak, aangezien indringers van APT's van elke kwetsbaarheid gebruik zullen maken om een netwerk binnen te dringen. Virussen, malware, spear-phishing en zero-day-aanvalsbedreigingen moeten allemaal worden aangepakt in een effectieve strategie voor APT-detectie. Hieronder volgen belangrijke stappen die organisaties kunnen nemen om hun verdediging tegen APT's te versterken:

    • Identificeer de meest waardevolle activa van de organisatie: Op die manier kan de organisatie de meest aantrekkelijke doelwitten vanuit meerdere invalshoeken beschermen.
    • Houd beveiligingspatches up-to-date: Door ervoor te zorgen dat alle software de laatste beveiligingsupdates heeft, wordt het aantal kwetsbaarheden dat APT-aanvallers kunnen uitbuiten, beperkt.
    • Investeer in geavanceerde e-mailbeveiliging met meerlaagse detectie-engines: Om bijvoorbeeld een zero-day-aanval te voorkomen, zijn meerdere beschermingslagen nodig voor de verdediging tegen malware, virussen en spam, maar ook tegen gerichte aanvallen zoals spear-phishing of whaling. Een zero-day-aanval is een soort geavanceerde aanhoudende bedreiging die gebruikmaakt van een kwetsbaarheid in een stuk software. Met behulp van deze zwakke plek krijgen aanvallers toegang tot een bedrijfsnetwerk in de uren of dagen nadat de bedreiging bekend is geworden, maar voordat deze kan worden verholpen of gepatcht. Beveiliging van e-mail is van het grootste belang om een organisatie tegen een zero-day bedreiging te beschermen, aangezien aanvallen vaak worden gestart via een schadelijke koppeling of een bewapende bijlage.
    • Dicht andere hiaten in het netwerk: Het beveiligen en monitoren van extern gerichte programma's is ook essentieel, net als het integreren van oplossingen zoals next-generation firewalls, security information and event management systems (SIEMs), intrusion prevention systems en browser isolation Controleer toegangsverzoeken en logins om sneller abnormaliteiten te ontdekken.
    • Scherp de toegangscontrole aan: Werknemers zijn vaak de zwakste schakel in cyberbeveiliging - en bieden onbedoeld een gemakkelijke ingang voor APT-malware. Zero trust beveiliging of twee-factor authenticatie kunnen helpen voorkomen dat kwaadwillende buitenstaanders kwaadwillende insiders worden.
    • Monitor netwerkverkeer: Door het komen en gaan rond de perimeter en binnen het netwerk te onderzoeken, kan ongebruikelijk gedrag worden geïdentificeerd. Scan op backdoors, fileshares en verdachte gebruikers, en zorg ervoor dat ook eindpuntapparaten worden gecontroleerd.
    • Maak een "allow list": Door vast te stellen welke domeinen en toepassingen vanaf een netwerk mogen worden benaderd, wordt het aanvalsoppervlak van APT's verder beperkt.
    • Voorlichting aan het personeel: Zorg ervoor dat werknemers (met name die met administratieve toegang) de gevaren van APT's begrijpen en wat zij kunnen doen om deze te voorkomen, zoals weten welke stappen zij moeten ondernemen wanneer zij op een vermoedelijke phishingpoging stuiten.

    De kern van de zaak

    Geen enkele organisatie is immuun voor APT's en er is geen eenvoudige manier om zich tegen deze geraffineerde en alomtegenwoordige bedreigingen in te enten. De verdediging tegen en opsporing van APT-malware vereisen een combinatie van cyberbeveiligingstools en meer samenwerking tussen netwerkbeheerders, beveiligingsteams en alle gebruikers. Door gebruik te maken van een meervoudige aanpak van awareness, voorbereiding en de juiste technologieën, kunnen organisaties het risico en de impact beter beperken met meer inzicht in hun eigen netwerk en hoe een APT-actor het zou kunnen aanvallen.

    [1] Gezamenlijke verklaring van het Federal Bureau of Investigation (FBI), het Cybersecurity and Infrastructure Security Agency (CISA), het Office of the Director of National Intelligence (ODNI) en het National Security Agency (NSA), Cybersecurity & Infrastructure Security Agency

    [2] Investeringen in cyberintelligentieplatforms nemen toe naarmate bedrijven meer bescherming tegen geavanceerde bedreigingen nodig hebben, Frost & Sullivan

    903713148.2.jpg
    Up Next
    E-mailbeveiliging |
    Wat is netwerkbeveiliging in de cloud en hoe bereik je het?

    Verwante Artikelen

    E-mailbeveiliging
    Building Security Awareness: A Modular Approach
    E-mailbeveiliging
    When Cyberattackers Strike Again  ̶  and Again
    E-mailbeveiliging
    The Value of an Identity Management Platform 

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven