Een geavanceerde persistente dreiging is een type cyberaanval waarbij een aanvaller ongeoorloofde toegang krijgt tot uw netwerk. Vervolgens dringt hij binnen en blijft hij gedurende langere tijd onopgemerkt. Het doel van een APT-aanval is om waardevolle gegevens te stelen, dreigingen te verkennen en de bedrijfscontinuïteit van uw organisatie op termijn te verstoren. APT-aanvallen zijn goed voorbereid en nemen veel tijd in beslag.
Ze worden uitgevoerd door bekwame hackersgroepen, nationale actoren en georganiseerde criminele organisaties. Deze groepen staan erom bekend dat ze een sterke positie opbouwen en zich vervolgens lateraal door verschillende delen van netwerken bewegen om informatie te verzamelen. APT-aanvallen zijn moeilijk te verdedigen omdat ze goed verborgen blijven en tegenstanders hun tactieken in de loop van de tijd kunnen aanpassen en verder ontwikkelen, zodat ze de groeiende verdedigingsmechanismen van de organisatie met succes kunnen omzeilen. 
Wat is een geavanceerde persistente bedreiging (APT)?
Geavanceerde persistente bedreigingen zijn heimelijke cyberaanvallen die verborgen blijven totdat de aanvaller voldoende informatie over uw organisatie heeft verzameld. De hoeveelheid tijd die een tegenstander besteedt aan het onderzoeken van uw infrastructuur is verbluffend, en u merkt er niets van. U weet dat een APT-aanval succesvol is als u ze nooit ziet aankomen.
APT-aanvallen zijn gevaarlijk omdat ze persistent zijn, wat betekent dat de aanvaller het doelwit in de gaten houdt en op alle mogelijke manieren probeert te compromitteren. De aanvaller onderzoekt ook verschillende manieren om misbruik te maken van kwetsbaarheden en kijkt of het doelwit verder kan worden gecompromitteerd. Dit is wat geavanceerde persistente dreigingsaanvallen onderscheidt van gewone cyberaanvallen.
Hoe werken APT's?
APT-aanvallen kunnen gelaagd zijn, wat ze zo uniek maakt in vergelijking met andere soorten cyberaanvallen. De aanvaller past zijn tactieken aan om informatie over zijn doelwitten te verzamelen. Hij besteedt veel tijd en aandacht aan zijn planning. Bij andere cyberaanvallen plant de aanvaller misschien gewoon wat generieke malware en verspreidt hij die op grote schaal, in de hoop zoveel mogelijk systemen te infecteren. Maar een APT-aanval kan worden onderverdeeld in meerdere lagen en fasen.
Ze kunnen verschillende technieken gebruiken om in te breken in uw netwerk en zich daar lateraal te verplaatsen. De aanvaller kan een combinatie gebruiken van social engineering en phishing e-mails gebruiken om gebruikers te misleiden en hen hun gevoelige informatie te laten prijsgeven. Ze kunnen misbruik maken van kwetsbaarheden in software of hardware om toegang te krijgen tot het netwerk.
APT-aanvallen zijn moeilijk te bestrijden omdat ze zich aanpassen, voortdurend veranderen en vanuit andere hoeken kunnen komen dan verwacht. Ze hebben geen voorspelbare patronen, dus organisaties moeten een sterke en veelzijdige cyberbeveiligingsstrategie implementeren. Dat is de enige manier om te leren hoe ze geavanceerde persistente bedreigingen kunnen voorkomen en zich kunnen verdedigen.
Hoe detecteer je geavanceerde persistente bedreigingen?
Je kunt geavanceerde persistente bedreigingen detecteren en leren voorkomen door alert te zijn op de waarschuwingssignalen. Hier zijn enkele zaken waar u op moet letten:
- Grote pieken in het verkeersvolume of ongebruikelijke gegevensstromen van interne apparaten naar externe en andere netwerken kunnen een teken zijn dat uw communicatie wordt gecompromitteerd. Als er buiten de normale kantooruren toegang wordt verkregen tot uw werkaccounts en u verdachte aanmeldingen opmerkt, dan weet u het antwoord.
- APT's kunnen op de achtergrond verborgen blijven werken en waardevolle informatie blijven verzamelen.
- Terugkerende malware-infecties die achterdeurtjes creëren, zijn een ander teken. Ze bieden APT-actoren de mogelijkheid om in de toekomst misbruik te maken van de situatie. Zoek naar achterdeurtjes die malware verspreiden, vooral achterdeurtjes die steeds terugkomen en netwerken infiltreren.
- Plotselinge databundels met gigabytes aan gegevens die verschijnen op locaties waar de gegevens niet aanwezig zouden moeten zijn, zijn een duidelijke aanwijzing voor een aanstaande APT-aanval. Als de gegevens zijn gecomprimeerd in gearchiveerde formaten die de organisatie normaal gesproken niet gebruikt, weet u dat u dit moet onderzoeken.
- Als bepaalde medewerkers in uw organisatie vreemde e-mails ontvangen, is het mogelijk dat zij het doelwit zijn. Spear phishing-e-mails worden vaak gebruikt door APT-aanvallers en vormen de eerste fase van de inbraak, een van de meest kritieke onderdelen van de APT-aanvalsketen.
- Aanvallers zullen ook veel tijd besteden aan het onderzoeken en analyseren van uw eindpunten. Ze kunnen ook op zoek gaan naar kwetsbaarheden in uw beveiligingsbeleid en proberen misbruik te maken van eventuele tekortkomingen en zwakke punten, bijvoorbeeld door uw systemen niet meer te laten voldoen aan de voorschriften.
Best practices om APT-aanvallen te voorkomen en te beperken
De eerste stap om te leren hoe u een geavanceerde persistente dreiging kunt stoppen, is begrijpen op welke categorieën gegevens deze zich richt en hoe deze kunnen worden geclassificeerd. Een APT-aanval zal in het geheim informatie over uw intellectuele eigendom stelen, financiële misdrijven en diefstal veroorzaken en erop gericht zijn uw organisatie te vernietigen.
Hacktivisten zijn er ook op uit om uw bedrijf bloot te stellen en informatie te lekken. Een geavanceerde persistente dreiging bestaat uit drie fasen: infiltratie, escalatie en laterale beweging, en exfiltratie. Data-exfiltratie is de laatste fase, waarin ze informatie uit documenten en gegevens halen zonder ontdekt te worden. Ze kunnen veel ruis produceren door bottlenecks en afleidingstactieken te gebruiken om slachtoffers te misleiden. DNS-tunneling moet worden gescreend, waardoor het moeilijk te lokaliseren is.
Hier zijn de best practices om APT-aanvallen te voorkomen en te beperken:
- Begin met het monitoren van uw netwerkparameters en gebruik de beste endpointbeveiligingsoplossingen. U moet inkomend en uitgaand verkeer analyseren om te voorkomen dat er achterdeurtjes worden gecreëerd en om pogingen tot het stelen van gegevens te blokkeren.
- Installeer de nieuwste webapplicatie-firewalls en patchsystemen en houd deze up-to-date. Deze helpen u kwetsbare aanvalsoppervlakken te beveiligen en het dekkingsgebied te minimaliseren.
- Bij het omgaan met deze bedreigingen kunnen firewalls aanvallen op de applicatielaag isoleren en pogingen tot RFI en SQL-injectie voorkomen. Interne tools voor verkeersmonitoring geven u een gedetailleerd overzicht dat u kan helpen bij het detecteren van abnormaal verkeersgedrag.
- U kunt de toegang tot systemen monitoren en het delen van gevoelige bestanden voorkomen. Verwijder backdoor-shells en detecteer zwakke plekken in uw infrastructuur door te voorkomen dat externe verzoeken van aanvallers worden doorgelaten.
- Met allowlisting kunt u uw domeinen beheren en apps die uw gebruikers kunnen installeren op de witte lijst zetten. U kunt het succespercentage van APT-aanvallen verlagen door de installatie van apps en andere aanvalsoppervlakken die voor hen beschikbaar zijn te beperken. Deze methode werkt echter niet altijd, omdat zelfs zeer betrouwbare domeinen kunnen worden gecompromitteerd.
- Aanvallers kunnen kwaadaardige bestanden vermommen als legitieme software. Om allowlisting te laten werken, moet u een strikt updatebeleid hanteren, zodat uw gebruikers zich ervan bewust zijn dat ze de meest recente versie van alle apps op uw whitelists gebruiken.
Praktijkvoorbeelden van APT-aanvallen
Hier volgen enkele praktijkvoorbeelden van APT-aanvallen:
- Een klassiek voorbeeld van een APT-aanval in de praktijk is het geval van het Target Data Breach door de RAM Scraper-aanval. Dit gebeurde tien jaar geleden, maar werd een van de meest succesvolle geavanceerde persistente dreigingsaanvallen in de geschiedenis. De kwaadwillende actor had misbruik gemaakt van een gecompromitteerde leverancier en had ongeoorloofde toegang gekregen tot het ecosysteem van het doelwit. Ze vonden hun weg naar de POS-apparaten van het doelwit en bleven ongeveer drie weken lang aan hun netwerken hangen, waarbij ze voldoende informatie over 40 miljard creditcards stalen. De daders hebben die hoeveelheid gegevens stilletjes weggehaald, en dat deden ze in één enkele overdracht.
- KasperSky ontdekte nieuwe geavanceerde persistente dreigingsaanvallen die werden gelanceerd door een subgroep van Lazarus. De aanvallers hebben een bekende malware genaamd DTrack aangepast en ze gebruikten een gloednieuwe Maui-ransomware. De doelwitten waren vooraanstaande organisaties over de hele wereld. De groep had zijn aanvalsgebied uitgebreid en had met zijn ransomware-variant publieke en gezondheidszorgorganisaties getroffen. De malware werd ingezet en uitgevoerd als een ingebedde shellcode. Deze laadde een definitieve Windows In-Memory-payload. DTrack verzamelde systeemgegevens en browsergeschiedenis via een reeks Windows-opdrachten. De verblijftijd binnen de doelnetwerken duurde maanden voordat de activiteit werd ontdekt.
- De LuckyMouse-groep gebruikte een Trojaanse variant van de Mimi-berichtendienst om achterdeuraccess tot organisaties te verkrijgen. Ze richtten zich op macOS-, Windows- en Linux-apparaten en hadden minstens 13 bedrijven in Taiwan en de Filippijnen gekaapt.
- Een door Rusland gesteunde groep met de naam SEABORGIUM had ook vijf jaar lang spionageactiviteiten uitgevoerd in Europa. Ze gebruikten een reeks phishing-e-mails om OneDrive- en LinkedIn-accounts te infiltreren.
Verbeter uw informatie over bedreigingen
Bekijk hoe de SentinelOne service WatchTower voor het opsporen van bedreigingen meer inzichten kan opleveren en u kan helpen aanvallen te slim af te zijn.
Meer lerenConclusie
Sterke toegangscontroles vormen uw eerste verdedigingslinie tegen geavanceerde persistente bedreigingen (APT's). U moet ook gebruikmaken van endpoint detection and response (EDR) en extended detection and response (XDR)-oplossingen om APT-bedreigingen te bestrijden en realtime inzicht te krijgen in uw infrastructuur. Penetratietesten en verkeersmonitoring zijn essentieel. Door het vermogen van uw organisatie om APT-aanvallen te detecteren, erop te reageren en zich ertegen te verdedigen te verbeteren, kunt u de kans op toekomstige aanvallen verkleinen. Bekijk beveiliging als een geheel en zorg ervoor dat de juiste cyberhygiënepraktijken worden toegepast, zodat aanvallers niet kunnen profiteren van de goedgelovigheid van uw gebruikers en geen misbruik kunnen maken van mogelijke systeemfouten en kwetsbaarheden, omdat u deze zelf vroegtijdig ontdekt.
"FAQs
Een APT is een verborgen cyberdreiging die zich in netwerken nestelt en snelle detectie vermijdt. Aanvallers kunnen uw bedrijf weken of maanden bestuderen, op zoek naar zwakke plekken voordat ze toeslaan. Ze kunnen gegevens stelen, bedrijfsprocessen verstoren of geheime informatie verzamelen.
Een APT wordt "persistent" genoemd omdat het nooit volledig verdwijnt. Het blijft op de loer liggen, klaar om opnieuw toe te slaan wanneer u dat het minst verwacht.
Ze zijn moeilijk te stoppen omdat aanvallers veel tijd hebben om hun plannen uit te werken en weten hoe ze normale beveiligingsregels kunnen omzeilen. Ze kunnen hun code verhullen of van het ene deel van uw netwerk naar het andere springen, zonder sporen achter te laten. Ze passen zich ook snel aan wanneer de beveiliging wordt verbeterd, waardoor ze verborgen kunnen blijven. Omdat ze geduldig blijven, krijgen ze kansen om meer gegevens te bemachtigen of nog grotere schade aan te richten.
APT-groepen gedragen zich vaak als heimelijke spionnen. Ze sluipen binnen via phishing-e-mails of zwakke apps en bewegen zich vervolgens voorzichtig door interne systemen. Ze zoeken naar waardevolle bestanden, verzamelen geheimen en maken zich klaar om diepere aanvallen uit te voeren.
Soms verstoppen ze zich in alledaagse software, zodat niemand iets vermoedt. Tegen de tijd dat iemand doorheeft dat er iets niet klopt, hebben deze groepen de belangrijkste activa van het doelwit al in kaart gebracht.
Geavanceerde persistente bedreigingen richten zich op geduld, heimelijkheid en slimme aanvallen. Ze kiezen vaak specifieke doelwitten, zoals grote bedrijven of overheidsinstanties. Deze bedreigingen blijven lange tijd actief en verzamelen insiderkennis voordat ze actie ondernemen.
Ze gebruiken verschillende methoden, zoals verborgen malware en valse logins, om zich te mengen in normaal verkeer. Zodra ze zich hebben vastgehecht, passen ze zich aan elke beveiligingsverbetering aan, zodat ze een voortdurend gevaar blijven vormen.
Groepen kunnen een APT bestrijden door hun waakzaamheid te verhogen en snel te handelen. Ze moeten hun netwerk zorgvuldig monitoren om vreemde gegevensstromen of vreemde inlogpogingen op te sporen. Ze kunnen verdachte e-mails blokkeren en alle software updaten om bekende bugs te stoppen. Als ze een bedreiging ontdekken, moeten ze de getroffen systemen isoleren en onderzoeken wat er mis is gegaan. Deze aanpak helpt om aanvallers buiten te sluiten en essentiële gegevens te beschermen tegen toekomstige schade.
Bedrijven moeten hun netwerken voortdurend in de gaten houden en strenge regels voor wachtwoorden instellen. Ze kunnen ook controleren of er nieuwe patches beschikbaar zijn en deze meteen installeren, waardoor risicovolle hiaten in systemen worden gedicht.
Sommige groepen huren beveiligingstesters in om gaten in de beveiliging te vinden voordat criminelen dat doen. Het opleiden van personeel is ook nuttig, omdat werknemers die verdachte e-mails en links herkennen, een aanval kunnen stoppen voordat deze voet aan de grond krijgt.
APT-aanvallers maken gebruik van heimelijke methoden zoals phishing, spear phishing of zero-day exploits. Ze sluipen binnen door mensen te misleiden om geïnfecteerde bestanden te openen of op verdachte links te klikken. Eenmaal binnen verbergen ze zich als normale systeemprocessen en voorkomen ze snelle detectie. Ze kunnen achterdeurtjes creëren om toegang te behouden of gestolen gegevens via verborgen kanalen door te geven. Na verloop van tijd verbeteren ze hun tactieken om updates te omzeilen en hun greep op het doelwit te behouden.
