Doelgerichte digitale aanvallen worden 'Advanced Persistent Threats' genoemd, maar in werkelijkheid zijn ze eenvoudig van aard en vooral succesvol door het ontbreken van adequate detectie en beveiligingsmaatregelen binnen organisaties. Dat stelt het Nationaal Cyber Security Center (NCSC) van de overheid in een nieuwe factsheet genaamd 'De aanhouder wint'.

Updates
Veel gerichte aanvallen vinden plaats via websites die het doelwit uit zichzelf bezoekt en op maat gemaakte e-mails met bijlagen of links die misbruik van beveiligingslekken in populaire software maken, zoals Adobe Reader, Microsoft Office, Java en Flash Player. Vaak zijn er beveiligingsupdates voor deze kwetsbaarheden aanwezig, maar zijn die niet door de aangevallen organisatie geïnstalleerd.

Hoewel de meeste aanvallen via bekende lekken verlopen, worden APT's vaak met zogeheten 'zero-days' in verband gebracht. Kwetsbaarheden waarvoor nog geen update beschikbaar is. Het aantal zero-days is echter zeer beperkt. Zo werden er vorig jaar 14 ontdekt.

Kennis
Volgens het NCSC bestaat ten onrechte de indruk dat tegen doelgerichte aanvallen weinig maatregelen te nemen zijn. Veel organisaties zijn echter onwetend dat dit soort aanvallen kunnen plaatsvinden en zijn daarom niet voorbereid, waardoor de aanvallen ondanks hun eenvoud toch zeer succesvol kunnen zijn.

"Het management ontbreekt vaak de nodige ICT-kennis, waardoor het besef van de cyberrisico’s en het belang van beveiligingsmaatregelen onderbelicht blijven en niet een integraal onderdeel uitmaken van het primair (besluitvorming)proces", aldus de factsheet.

Daarin staat echter ook dat een goed georganiseerde aanval, bijvoorbeeld door een vreemde mogendheid, uiteindelijk een grote slagingskans heeft.

Maatregelen
Toch zijn er allerlei maatregelen die bedrijven kunnen nemen om aanvallen te voorkomen, de impact te beperken of aanvallers in een vroeg stadium op te merken. Het NCSC verdeelt de aanpak in vier delen: detectieve maatregelen, incident response, infrastructuur en techniek en governance.

Zo krijgen organisaties het advies om de infrastructuur, waaronder het beheernetwerk, te segmenteren. "Ontkoppel de infrastructuur met gevoelige informatie en/of vitale processen en de omgevingen met internettoegang. Indien er toch een internetverbinding gewenst is, gebruik dan een combinatie van technieken als proxy’s, applicatie- middleware, datadiodes, firewalls, ids, monitoring, whitelisting en encryptie, et cetera."

Ook wordt aangeraden om niet alle gevoelige informatie te concentreren, maar deze versleuteld over verschillende segmenten en systemen te verspreiden. "Installeer onder andere crypto-containers per afdeling voor de opslag (en versleuteling) van gevoelige informatie."

Detectie
Het NCSC concludeert dat snelle detectie, netwerk- en informatiesegmentatie organisaties de mogelijkheden geeft om schade te beperken en (tegen)maatregelen te nemen tijdens de aanval.

"Het houden van red-team-oefeningen en de inrichting van een incidentresponse-proces en/of een Security Operationele Center (SOC) zijn onmisbare aanvullende maatregelen om als organisatie, snel en kundig, te kunnen reageren."