Begrebet Advanced Persistent Threat stammer fra det amerikanske luftvåben, hvor Oberst Greg Rattray brugte ordet til at beskrive en ny type af avancerede it-baserede angreb mod den amerikanske regering og dens netværk.
APT-angreb er siden eskaleret fra at være angreb med det formål at spionere mod et andet lands militær og regering til i dag også at ramme private virksomheder.
Siden starten af 00'erne har vi været vidne til flere APT-angreb mod private virksomheder, hvor formålet næppe er militær spionage men derimod brugt som middel til at fremme et lands kommercielle interesser.
Senest har vi set en del APT-angreb udført mod organisationer og virksomheder inden for medicin og sundhed, hvor informationerne, som man forsøger at stjæle, omhandler alt fra forretningsplaner og understøttelse af sundhedsforsikring af borgere, til tyveri af opfindelser.
APT-angreb på CV´et
Når APT-angreb tilskrives fremmede stater, handler det især om, at angrebene er så organiserede og tit ved dybere analyse også viser sig at understøtte visse landes interesser enten politisk eller kommercielt.
Dette betyder også, at mange af de personer, der udfører APT-angreb, er statsansatte, enten direkte eller indirekte - og i andre tilfælde ansatte i militæret.
I en APT- gruppe er opgavefordelingen klar som på en almindelige arbejdsplads, og man opererer typisk i skifthold og i forskellige enheder. Eksempler på disse enheder kan være:
- Enhed, der laver research og analyse af potentielle mål
- Enhed, der programmerer værktøjer eller finder sårbarheder i applikationer
- Enhed, der udfører angrebet
- Enhed, der står for forberedelse af flytning eller tyveri af data
For en virksomhed, som er mål for et APT-angreb, betyder det også, at man enten direkte eller indirekte står over for et fremmed land, der har en langt større kapacitet, måske flere kompetencer og typisk råder over flere resurser, end virksomheden gør.
Er alle målrettede angreb et APT-angreb?
Nej. I dag ser vi mange forskellige typer af cyberangreb, som kan være målrettede. Dette kan eksempelvis være angreb, der er politisk motiveret. Disse har vi også set i Danmark, hvor så kaldte "hacktivister" havde rettet deres skyts mod forskellige politiske foreninger og fagforeninger.
Der findes også eksempler på målrettede angreb mod forretningskæder, hvor formålet er at stjæle forbrugernes kreditkortinformationer med henblik på videresalg eller direkte misbrug.
APT-angreb adskiller fra ovenstående, ikke blot fordi de er målrettede, men i høj grad også i forhold til, hvordan de bliver udført, samt hvilke værktøjer der benyttes, for at det skal lykkedes at kompromittere målet.
I et APT-angreb er der et defineret mål, som man ikke afviger fra, uanset hvor godt det mål måtte være beskyttet.
Er alle mål for et APT-angreb?
Det korte svar er nej. Det lidt længere svar er, at flere er mål for APT-angreb, end man lige skulle tro.
Når en APT-gruppe har defineret en given virksomhed som mål, handler det om at angribe netop den virksomhed, uanset hvor godt beskyttet den er.
Hvis det ikke lykkes at kompromittere virksomheden direkte, angriber man i stedet samarbejdspartnere eller leverandører til virksomheden, og derfor kan selv små virksomheder, pludselig befinde sig i en situation, hvor deres infrastruktur bliver brugt som springbræt.
Fokusér på truslen og ikke kun på værktøjet
Det er en udbredt misforståelse at tilskrive et APT-angreb en form for malware.
Malware i APT-angreb skal ses som et af mange værktøjer, en APT-gruppe har til rådighed for at udføre deres angreb.
Hvis man som virksomhed i dag udelukkende fokuserere på at blokere for malware, kan det være, man ikke opdager et APT-angreb. I mange tilfælde er det nemlig slet ikke nødvendigt at benytte malware til at kompromittere virksomheden.
Når formålet er at stjæle information eller spionere, handler det i høj grad om, hvor længe man kan forblive i en virksomheds netværk uden at blive opdaget.
Derfor bruger man i høj grad virksomhedens medarbejdere som indgang til at udføre sit angreb. Formålet er at stjæle medarbejderinitialer og adgangskoder.
En klassisk metode, man benytter, er spear-phising, som er målrettede e-mails, hvor man forsøger at lokke medarbejderen til at klikke på et link, udfylde en form eller på anden vis forsøger at få medarbejderen til at skrive sit brugernavn og sin adgangskode.
Lykkedes det at stjæle et brugernavn og adgangskode på en medarbejder i en virksomhed, kan det bruges som validering og på den måde behøver man ikke benytte sig af malware, som kunne blive opdaget eller blokeret af de sikkerhedsmekanismer, en virksomhed måtte have placeret.
APT-grupper går hyppigt efter medarbejderinitialer, fordi de på den måde kan "flyde" ind i strømmen af trafik, som typisk skabes på daglig basis.
Og da mange virksomheder i dag - stadig -lemfældigt tildeler medarbejdere både lokale og globale administrative privilegier, så kan APT-grupper nøjes med at gå efter tilfældige medarbejdere frem for betroede medarbejdere, som er placeret højt i virksomheden.
En anden metode, vi har set blive brugt af APT-grupper, går ud på at benytte legitime hjemmesider og cloudservices enten til levering af malware eller som mellemstation til kommunikation.
Ved at bruge legitime hjemmesider og cloudservices, kan man skjule den skadelige trafik og eventuelt tyveri af data, fordi det kan være svært at kende forskel på legitim netværkstrafik til disse, og på den måde kan man blende sig ind i den almindelige trafik, man typisk ser i netværket.
Dette gør det til en udfordring at opdage og ikke mindst blokere.
Hvor skal man starte?
Jeg er godt klar over, det er en ordentlig mundfuld, og for mange virksomheder kan det virke som en uoverskuelig opgave.
Inden man kaster sig ud i at investere i en masse teknologi, bør man starte med at kaste et blik på sin virksomhed og overveje følgende, som ikke nødvendigvis koster en masse penge.
1. Identificer jeres kronjuveler
I mangel af et bedre ord, så handler det om at identificere, hvad det er, virksomheden lever af, og som kan være katastrofalt for den at miste. Det handler om dataklassificering, og det handler om at kende sin virksomhed.
Er man et direkte mål i et APT-angreb, så er det kronjuvelerne, der målet.
2. Beskyt først og fremmest det, der betyder mest
Der findes ikke 100 procent sikkerhed, og der findes desværre heller ikke en teknologi, som kan blokere for alt.
Derfor bør man i højere grad fokusere på at beskytte kronjuvelerne mest. Det betyder ikke, at man ikke skal beskytte andet, men det, der betyder mest, skal have den største opmærksomhed i form at monitorering, kontrol og dedikerede resurser.
3. Gå stuegang i netværket
Hvad bruger it-sikkerhedsfolkene i virksomheden mest tid på? Patcher de? Kigger på en skærm og venter på en alarm eller måske noget helt tredje?
Det er en god ide at sørge for, at it-sikkerhedsfolkene har mandat til at gå "stuegang" i virksomhedens netværk. Med det mener jeg, at man gør det til en opgave at gå på jagt i netværket. Det, man bør kigge efter, er indikatorer på noget, der ikke er, som det skal være.
Det kunne være en medarbejder, der logger ind, selv om medarbejderen er på ferie, eller måske en server, som har unormal høj netværksaktivitet.
Det vigtigste ved stuegangen er, at man sørger for at genbesøge områder, man allerede har undersøgt. På den måde får man viden og indsigt i netværket og kan hurtigere opdage et potentielt APT-angreb.
4. Minimer tiden mellem opdagelse og genskabelse
De virksomheder, som i dag er i stand til at minimere eventuelle tab ved et APT-angreb, har sat sig som mål at minimere tiden fra man opdager et APT-angreb, til man har fået "sparket" APT-gruppen ud.
Det handler om mere end blot at købe teknologi.
Det handler i højere grad om, at man har gjort investeringer i mennesker og har forankret nogle solide processer og måske endda er begyndt at monitorere potentielle trusler vurderet ud fra det trusselbillede, virksomheden befinder sig i.
Man kommer selvfølgelig ikke uden om teknologi. Teknologi i form af diverse produkter og værktøjer tilfører medarbejderne muligheder for både at kunne forsvare virksomheden og skabe nødvendig synlighed, men det er vigtigt at forstå, at teknologi alene sjældent giver den effekt, man måtte ønske sig, når man står over for et APT-angreb.
Det skyldes, at der står mennesker bag et APT-angreb. Det er ikke blot automatiserede systemer, der forsøger at bryde ind, og skal man forsvare sig mod det, kræver det kompetente medarbejdere udstyret med relevante værktøjer.