Wie aan cyberbeveiligingsaanvallen denkt, denkt misschien aan een hacker met een capuchon op in een donkere kelder die vanaf zijn laptop in het mainframe 'inbreekt'. Hoeveel waarheid er ook in dit beeld zit, er lopen ook geraffineerde dreigers rond die gebruik maken van geavanceerde technologie en methoden om zwaar beveiligde systemen te compromitteren. Deze geavanceerde aanhoudende bedreigingen (APT's), die goed gefinancierde staten of groepen met kwade bedoelingen kunnen zijn, ontwikkelen en implementeren gerichte geavanceerde bedreigingen die sluipend systemen infiltreren, mogelijk gedurende lange perioden.
Deze geavanceerde bedreigingen kunnen zich onopgemerkt in je systemen verbergen en tegelijkertijd je organisatiegegevens stelen, waaronder persoonlijke en bedrijfseigen informatie. Alleen al de hoeveelheid gegevens die gedurende lange perioden kan worden verzameld, betekent dat deze bedreigingen een totale ravage kunnen aanrichten in je bedrijf, waardoor Advanced Threat Protection (ATP) een essentiële behoefte is in je beveiligingsoplossingen.
Advanced Threat Protection gaat verder dan traditionele firewalls en antivirus
Het moet net zo hardnekkig en veelzijdig zijn als de bedreigingen die het probeert te voorkomen. In deze blog duiken we in wat geavanceerde bedreigingen zijn, hoe ATP-oplossingen bedreigingen voorkomen en wat de voordelen van ATP zijn.
Meer informatie over de basisprincipes van bedreigingspreventie.
Inzicht in geavanceerde bedreigingen
Geavanceerde bedreigingen zijn er in verschillende soorten, meestal door een combinatie van meerdere aanvalsvectoren. Hoe verschillend de aanvalsmethode ook is, wat elke geavanceerde bedreiging gemeen heeft, is het vermogen om de controle over je systemen over te nemen en zich gedurende potentieel lange perioden in je infrastructuur te verbergen door traditionele hulpmiddelen voor detectie van bedreigingen te omzeilen.
Geavanceerde bedreigingen verbergen zich in je systemen doordat ze complex zijn en zich kunnen aanpassen. Aanvallers installeren meestal achterdeuren door middel van een trojan, zodat ze naar behoefte toegang kunnen behouden. En omdat deze aanvallen meestal doelgericht zijn, weten slechte actoren vaak precies welke delen van je systeem het meest kwetsbaar zijn. Deze bedreigingen kunnen niet eenvoudig worden opgespoord, maar zien er over het algemeen uit als:
- meer aanmeldingen buiten kantooruren
- wijdverspreide achterdeur-trojans
- onverwachte informatiestromen
malware en ransomware
Een meer 'eenvoudige' vorm van malware kan eruit zien als advertentiepop-ups op je webbrowser nadat je geïnfecteerde shareware hebt gedownload om een paar dollar te besparen. Of misschien is het een complexer virus dat je via een e-mailbijlage hebt gedownload en waarvan kwaadwillenden gebruik kunnen maken om je gegevens te bemachtigen.
Het beruchte Stuxnet is een geavanceerde vorm van malware die vaak wordt beschouwd als het eerste cyberwapen. Deze in 2010 ontdekte worm infecteerde de systemen van ten minste 14 industriële locaties in Iran. Het werd via USB in hun systeem ingevoerd, waar het zelf van apparaat naar apparaat ging tot het zijn doel bereikte: een industrieel centrifugebesturingssysteem. Van daaruit maakte het gebruik van zero-day kwetsbaarheden in het systeem en nam het de controle over, waarbij het liet zien dat alles normaal functioneerde terwijl het de centrifuges liet mislukken. Deze gerichte aanval vereiste kennis van de hardware en software van Iran en maakte gebruik van meerdere aanvalsvectoren: social engineering, malware en zero-day-exploits.
Advanced persistent threat-groepen gebruiken ook ransomware voor hun achtervolgingen. In een recenter voorbeeld ontdekte cyberbeveiligingsbedrijf ESET ransomware die verband houdt met de bedreigingsgroep Sandworm die werd gebruikt om Oekraïense energie-infrastructuur en logistieke bedrijven te verstoren. Volgens ESET verschillen deze aanvallen van traditionele ransomware-aanvallen doordat Sandworm waarschijnlijk nooit van plan was om de gegevens te laten ontsleutelen en in plaats daarvan de gegevens van het systeem heeft gewist.
Phishing en social engineering
De meeste geavanceerde aanhoudende bedreigingen—90% volgens een rapport van Positive Technologies uit 2019—beginnen met spearphishing. In 2015 lanceerde APT29, ook bekend als Cozy Bear, een spearphishing-campagne waarbij e-mails met schadelijke links naar meer dan 1.000 ontvangers werden gestuurd. Bij deze aanval werden legitieme domeinen van Amerikaanse organisaties en onderwijsinstellingen gebruikt om malware te hosten en de e-mails te versturen. Ten minste één slachtoffer activeerde de malware, waardoor APT29 zijn privileges in het systeem kon verhogen en uiteindelijk e-mails kon exfiltreren via versleutelde verbindingen. APT29 heeft met succes andere systemen geïnfiltreerd via spearphishing.
Bedreigingen van binnenuit
Het is waar dat een slechte speler met opzet je bedrijf kan binnendringen om je systemen te compromitteren. Of ze kunnen afkomstig zijn van oorspronkelijk onschuldige werknemers als vergelding of voor financieel gewin. Maar bedreigingen van binnenuit zijn niet altijd een actief onderdeel van een geavanceerde bedreiging. In het meest onschuldige geval kan een insider zich compromitteren door nalatigheid of onwetendheid, zoals het downloaden van een geïnfecteerde bijlage. Daarom is het belangrijk om een opleidingsprogramma voor cyberbeveiliging en netwerk- en eindpuntbescherming te hebben, maar daarover later meer.
Oplossingen voor geavanceerde bescherming tegen bedreigingen
Geavanceerde bedreigingen zijn dus destructief, geraffineerd en moeilijk te vinden. Goed... maar hoe voorkomen we ze? Het meest fundamentele is dat de mensen, technologie en activiteiten van je organisatie moeten worden versterkt — verdediging in de diepte, als je wilt. Maar voor deze blog duiken we alleen in het technologische aspect.
ATP-oplossingen zijn niet 'instellen en vergeten' of uniform. Er is niet één software, hardware of trainingsprogramma dat volstaat om je systemen te verdedigen tegen geavanceerde bedreigingen. Maar in het algemeen moeten ATP-oplossingen deze mogelijkheden hebben:
detectie van bedreigingen en reactie
Om je organisatie te beschermen tegen geavanceerde bedreigingen moet je bedreigingen in je systeem kunnen vinden en erop kunnen reageren. Daartoe moet eindpuntbescherming, firewalls en antivirus worden geïmplementeerd. Adequate bedreigingsdetectie vereist:
- constante bewaking van de gezondheid van je netwerk en eindpunten
- kennis van actuele bedreigingen door verbinding met dreigingsopslagplaatsen zoals het MITRE ATT&CK framework
- de mogelijkheid om nog niet bekende bedreigingen te ontdekken op basis van digitale handtekeningen en ander gedrag
Met een goed vastgesteld beveiligingsbeleid en personeel kan vervolgens naar behoefte worden gereageerd op geconstateerde bedreigingen door middel van de juiste maatregelen, zoals:
- gecompromitteerde systemen isoleren van het netwerk om verspreiding te voorkomen
- bijwerken van beleid of hulpmiddelen die leiden tot compromittering (bijv. toevoegen van multi-factor authenticatie of vervangen van VPN door ZTNA)
- opleidingsprogramma's op het gebied van cyberbeveiliging invoeren of opnieuw bekijken
kunstmatige intelligentie en machinaal leren
AI en machine learning (ML) helpen bij threat hunting, dat wil zeggen het opsporen van kwetsbaarheden en anomalieën voordat ze worden uitgebuit. Computers kunnen onvermoeibaar netwerkactiviteiten uitkammen en verwerken, ver voorbij de mogelijkheden van de mens, waardoor het noodzakelijk is om zorgvuldig toezicht te houden.
Gedragsanalyse en anomaliedetectie
Gedragsanalyse en opsporing van anomalieën is van cruciaal belang. Omdat geavanceerde bedreigingen zich zo goed verbergen, is het enige teken dat er iets mis is, soms dat het gedrag van je netwerk afwijkt van de baseline. Om inzicht te krijgen in je baseline moeten deze instrumenten worden toegepast:
- SIEM-software om je systeemgedrag en gebruikersentiteit en -gedrag te bewaken en te analyseren
- AI en ML om je netwerkactiviteit en welke gebruikers toegang hebben tot je systeem te verwerken en anomalieën te signaleren
- oplossingen voor het beheer van mobiele apparatuur bieden transparantie in de gezondheid en compliance van je apparatenvloot
Sandboxing en isolatie
Aangezien groepen van geavanceerde aanhoudende bedreigingen hun eigen unieke methoden kunnen ontwikkelen om systemen aan te vallen, kunnen sandboxing en isolatie nuttig zijn. Sandboxing houdt in dat een veilige, geïsoleerde omgeving wordt gecreëerd die je systemen nabootst en organisaties in staat stelt te observeren hoe verdachte programma's zich in hun netwerk gedragen. Hierdoor kunnen organisaties de methoden van slechte actoren beter begrijpen en leren hoe ze kunnen voorkomen of blokkeren dat hun systeem wordt aangetast.
Geavanceerde bescherming tegen bedreigingen: belangrijkste aandachtspunten
- Geavanceerde aanhoudende bedreigingen zijn complexe, gerichte aanvallen op een organisatie
- Geavanceerde bedreigingsgroepen gebruiken een verscheidenheid en combinatie van aanvalsvectoren, waardoor organisaties zich aan alle kanten moeten verdedigen
- Voor geavanceerde bescherming tegen bedreigingen is een veelzijdige oplossing nodig die eindpunten, netwerken, gebruikers en bedrijfsinformatie verdedigt
- Artificial intelligence, machine learning, SIEM software, firewalls, oplossingen voor apparaatbeheer en sandboxes helpen allemaal bij de verdediging van organisaties
Bekijk ons e-book Mobile Threat Defense voor meer informatie.
op categorie:
Krijg markttrends, Apple updates en Jamf nieuws direct in je inbox.
Raadpleeg ons Privacybeleid voor meer informatie over de manier waarop we uw gegevens verzamelen, gebruiken, bekendmaken, verplaatsen en bewaren.