Een APT, kort voor Advanced Persistent Threat, verschilt in praktijk niet zoveel van een reguliere aanval. Vaak worden dezelfde technieken gebruikt, maar zijn ze meer geavanceerd en doelgericht. Een aanvaller slaat niet lukraak om zich heen, hij doet zijn huiswerk en gaat zeer secuur te werk. Dat vraagt ook om een gerichtere securitybenadering.
APT’s zijn bijna altijd staatsgesponsord. Het doel is om onopgemerkt bij het slachtoffer binnen te dringen en informatie te stelen, communicatie af te luisteren of systemen te ontwrichten. Misschien denk je dat jouw bedrijf niet interessant is voor een APT, maar dat wil niet zeggen dat je geen slachtoffer kan worden. Wat als je tot de conclusie komt dat het risico toch reëel is? We leggen de structuur van een APT-aanval bloot en bekijken welke maatregelen je kan nemen.
“Het belangrijkste bij een APT is dat je altijd bijna alle fases van de kill chain ziet terugkomen. Bij een generieke aanval zie je dat bijna niet”, weet Pedro Deryckere, Team Lead Cyber Threat Research & Information Sharing bij het Belgische Computer Emergency Response Team (CERT.be).
De kill chain is een concept uit de militiare wereld om de structuur van een aanval te beschrijven. In 2011 werd het framework door computerwetenschappers van Lockheed Martin overgenomen om een nieuwe cyber kill chain te beschrijven, met de verschillende fases die een APT-aanval doorgaans doorloopt.
Die kill chain begint bij de verkenningsfase, waarbij aanvallers op zoek gaan naar de zwakke plekken bij hun slachtoffer en op basis daarvan hun weapons of choice selecteren.
(Spear)phishing
Vaak is de eerste schakel in een aanval nog altijd de mens. Het grootste deel van de aanvallen begint met een (spear)phishingmail. “Dat blijft een groot probleem, want veel mensen klikken nog altijd op alles”, vertelt Yves Lemage, Manager Systems Engineering bij Fortinet BeLux. Een anti-spamoplossing biedt doorgaans soelaas, maar in geval van een gerichte (APT-)aanval worden de e-mails vaak toch nog doorgelaten. “Er gaat veel voorbereiding aan vooraf om het doelwit beter te leren kennen. De phishingmail is dan zo gericht dat hij er legitiem uitziet.”
Klikt het slachtoffer op een malafide link in een e-mail, dan kan die in principe worden geblokkeerd door gedegen webfiltering. Alleen doen heel wat bedrijven daarbij nog niet aan SSL-inspectie, terwijl het grootste deel van het internetverkeer vandaag over HTTPS verloopt. “Het is niet makkelijk om SSL-inspectie te implementeren en vraagt veel beheer, maar het niet doen zorgt ervoor dat je blind bent voor 70 procent van alle verkeer dat naar het internet gaat. Om te weten welke websites worden bezocht, moet je dat verkeer kunnen decrypteren”, legt Lemage uit.
Zero-days
De link leidt doorgaans naar een webpagina die er legitiem uitziet, maar ondertussen wordt op de achtergrond een exploit uitgevoerd. Die misbruikt een kwetsbaarheid in de browser of andere applicatie om zo toegang krijgt tot het systeem. Lemage: “Intrusion prevention kan dit tegenhouden, tenzij het om een zero-day gaat en de exploit nog niet gekend is.” Zero-days zijn erg populair bij APT-aanvallen. Ze maken gebruik van kwetsbaarheden in software die nog niet bij de maker of het publiek bekend zijn en waar nog geen patches voor bestaan.
Eenmaal binnen in het systeem wordt de eigenlijke malware geïnstalleerd waarmee de aanvaller op het systeem, of bij uitbreiding het netwerk, kan beginnen rondsnuisteren. “Een antivirusoplossing moet dit in principe kunnen detecteren, maar als het signatuur van de malware niet gekend is, blijft de besmetting onzichtbaar”, vertelt Lemage. Hij verwijst naar tools zoals applicatie-controle en IP-reputatiefilters als aanvulling op een standaard antivirus.
Lees ook: Oorlog in cyberland: waarom absolute beveiliging een illusie is
Veerkracht
Voor een gemiddeld bedrijf is het nagenoeg onmogelijk om zich tegen elke mogelijke bedreiging te verdedigen. Bedrijfsnetwerken worden complexer en met ontwikkelingen als cloud en IoT, breidt het aanvalsoppervlak almaar verder uit. Zoals Jack Koons, voormalige Cyber Warfare Officer bij het Amerikaanse leger, recent nog in een interview met Techzine zei: “Het is een onrealistische ambitie om cyberinfrastructuur voor 100 procent te beschermen. De kritieke infrastructuur moet eerder ook veerkrachtig worden gemaakt.”
De security-experts waar we voor dit verhaal met spraken, treden Koons daarin bij en doen enkele aanbevelingen. Het bepalen van het risico en de kwetsbaarheden in je beveiliging is daarbij de eerste stap. Soms kan je niet anders dan een risico accepteren, maar zorg dan op z’n minst dat je niet verrast wordt.
Deryckere adviseert dat bedrijven een risico-analyse uitvoeren en hiervoor onder andere het ATT&CK-model van Mitre gebruiken. Dat is een matrix die alle technieken voor elke stap van de kill chain in kaart brengt. “Als je die matrix gebruikt, kan je bepalen waar je het meest kwetsbaar bent, kijken welke oplossingen voorhanden zijn, prioriteiten leggen en daarin investeren.”
“Er bestaan geen kant-en-klare oplossingen”, zegt ook Eward Driehuis, Chief Research Officer bij SecureLink. “Begin bij de basis. Zorg dat je mensen leren dat hun gedrag belangrijk is en dat ze een beetje paranoia worden opgevoed in het omgaan met links.” Verder benadrukt hij het belang van een gelaagde defensie. “Als je het klikgedrag niet kan monitoren, zorg dan dat je het endpoint in de gaten hebt, of als je daar mist, het netwerk. Je hebt drie kansen, maar alle drie zijn heel moeilijk.”
“We zien dat veel aanvallen pas na maanden worden ontdekt.”
Gedragsanalyse
Lemage wijst op het belang van gedragsanalyse. Security-oplossingen maken doorgaans gebruik van signaturen en databases om malware te detecteren, maar dan kan je alleen bedreigingen detecteren die gekend zijn. Zero-days glippen er zo door. Heel wat bedrijven gaan daarom aan sandboxing doen. Daarbij wordt een link of bestand geopend in een geïsoleerde omgeving om het gedrag te analyseren.
“Het voordeel is dat we nieuwe bedreigingen zo wel kunnen ontdekken”, weet Lemage. “Op basis van het gedrag kan je met een bepaalde zekerheid vaststellen of een onbekend bestand kwaadaardig is of niet.” Het nadeel is dat je sandboxing niet overal kan toepassen, omdat de analyse tijd kost, maar bij e-mail kan het volgens Lemage perfect. “E-mail hoeft niet instant te zijn. Als de controle twee à drie minuten duurt, is dat geen probleem.”
Toch is ook sandboxing geen perfecte oplossing. Hoe beter de bescherming wordt, hoe creatiever de aanvallers worden. Een geavanceerde aanvaller kan aan sandboxdetectie doen en ervoor zorgen dat zijn malware zich anders gedraagt wanneer het zich in een sandboxomgeving bevindt, zodat het niet als verdacht wordt herkend.
Tot slot moeten bedrijven zich ervan bewust zijn dat een cyberaanval niet altijd zichtbaar is, zeker niet in het geval van een APT. “Als het niet visibel is voor de eindklant, maakt die zich geen zorgen. Dat is onterecht. We zien dat veel aanvallen pas na maanden worden ontdekt. Vaak weet men het zelfs niet tot er effectief ergens data lekt”, besluit Lemage.
In een eerder artikel gingen we met de experts dieper in op wat een APT-aanval precies is en waarom geen enkel bedrijf mag denken dat het niet interessant genoeg is om te worden geviseerd.