De aanval op Google wordt massaal aangegrepen door beveiligingsbedrijven voor het promoten van hun diensten, waardoor de werkelijke dreiging van de Advanced Persistent Threat (APT) verloren gaat. Sinds de infiltratie van het Google-netwerk zijn er tal van rapporten en analyses van APTs en Operatie Aurora, zoals de aanval op de zoekgigant heet, verschenen. De term APT gaat veel langer terug en slaat op een groep die banden met de staat heeft en succesvol belangrijke netwerken weet te infiltreren. Maar volgens Matt Olneye van het Sourcefire Vulnerability Research Team, betekent het steeds vaker "slecht dingen van het internet." Daardoor zoeken CEOs naar producten die dit probleem oplossen. "Dit is slecht voor de mensen die met APT-dreigingen te maken hebben en plaatst het in de "het zal wel" categorie voor veel operationele mensen", aldus Olneye.
Zeus
Inmiddels zijn er marketeers die rootkits en bots als "APT" omschrijven, maar Zeus is volgens de onderzoeker geen APT en ook Aurora niet. "APT is een dreiging, een beschrijving van de complexiteit, geduld en talent achter de aanval." Vaak combineert de aanval zowel een exploit als social engineering. De malware is op maat gemaakt en lastig te detecteren. Olneye heeft dan ook een sombere boodschap voor IT-managers en systeembeheerders als het om APT gaat. "Er zijn mensen slimmer dan jij, ze hebben meer middelen en hebben het op je voorzien. Veel succes ermee."
Er is dan ook geen magische oplossing om de dreiging te stoppen. Aangezien het hier om getalenteerde aanvallers gaat, bieden virusscanners, Intrusion Detection en Prevention systemen en tal van andere oplossingen geen bescherming. Bedrijven die zeggen dat ze niet belangrijk genoeg voor een APT zijn, weten volgens Olneye niet wat het bedrijf op de wereldmarkt doet en wat andere bedrijven voor interesse in de bedrijfsgegevens hebben.
Aanpak
Ondanks de hoge succesfactor van de APT, kunnen bedrijven wel maatregelen nemen. Als eerste moeten alle patches direct worden geïnstalleerd. Sommige bedrijven verschuilen zich achter het excuus dat ze eerste willen testen, aldus Olneye. Aanvallers weten steeds sneller de patches van Microsoft en anderen te reverse engineeren, waardoor een exploit al op dezelfde dag gereed is.
De tweede stap is begrijpen hoe het netwerk werkt en dat het zich op een "zeer deterministische wijze" gedraagt. "Werk met je netwerk engineers en begrijp de configuratie van je netwerk, waar de VLANs zijn, hoe de IP-ruimte is gealloceerd en welke beveiligingsmaatregelen in de netwerk configuratie aanwezig zijn." Dit is het absolute minimum. Vervolgens moet er keihard beleid komen voor mensen die Facebook applicaties draaien, hun eigen USB-stick of laptop meenemen. Het beleid moet niet alleen streng, maar ook te handhaven zijn.
Mensen
Ook de informatievoorziening moet op orde zijn. Dat betekent het nalopen van security websites en blogs en Twitter feeds van beveiligingsexperts. "Marketing weet absoluut niet waar het over gaat, doe je eigen onderzoek." De laatste stap is het samenstellen van een team om de APT tegen te gaan, aangezien niemand dit alleen kan, merkt Olneye op. "Je hebt een groep van energieke, gemotiveerde mensen nodig die dol zijn op wat ze doen."
Het gaat dan om mensen die je compleet vertrouwt en totale vrijheid krijgen. Uiteindelijk is dit geen garantie. "Je zult falen om de aanvaller buiten te houden." Of het nu een 0day aanval is, een verkeerd geconfigureerde server of een medewerker die het niet begrijpt en iets stoms doet. Een aanvaller zal uiteindelijk toegang tot het netwerk krijgen. "Vergeet niet, technologie kan je niet redden. Alleen mensen."
Deze posting is gelocked. Reageren is niet meer mogelijk.