Wat is een APT?

Het mantra binnen de beveiligingswereld is momenteel: ‘Kijk uit voor de Advanced Persistent Threat!’. Iedere fabrikant van beveiligingssoftware heeft het erover. Wat is het precies en moet je daar nu echt bang van worden?

Waar de term oorspronkelijk vandaan komt is niet geheel duidelijk. Sommigen zeggen dat het iets vanuit het Amerikaanse defensieapparaat is en dat de term de constante spionagedreiging moest aanduiden.

“Ik denk dat het de luchtmacht was”, zegt CSO Eddie Schwartz van NetWitness. “Het duidde het voortdurende gevaar van de vijand aan en de variëteit van technieken die ze gebruiken om de economie van een land te beschadigen.”

Sinds Google slachtoffer is geworden, hoor je het vaker

De beveiligingsindustrie is hard op weg de term APT vanuit het jargon tot gemeengoed te maken. Sinds Google vorig jaar melding maakte van het feit dat het vanuit China slachtoffer was geworden van diefstal van intellectueel eigendom, hoor je de term steeds vaker voorbij komen.

Toch blijft de term onduidelijk, aangezien iedereen er een andere interpretatie aan geeft.

“Het hangt er vanaf aan wie je vraagt wat een Advanced Persistent Threat is”, zegt Greg Hogland, CEO bij beveiliger HBGary. Hij constateert zelf dat vrijwel alle digitale bedreigingen uit China afkomstig zijn.

Voor Hogland staat APT voor malware die kwetsbaarheden in netwerken kan uitbuiten, terwijl organisaties miljoenen euro’s aan maatregelen investeren. Al geeft hij aan dat APT misschien geen goede benaming is, omdat het vaak niet om ‘geavanceerde’ bedreigingen gaat. De aanvallen zijn vaak generiek en gericht tegen bekende kwetsbaarheden. Zou je de juiste patches installeren, dan neem je een hoop dreiging weg.

Volgens Gerry Egan van Symantec is een APT een aanval gericht tegen een organisatie om data te stelen, het liefst intellectueel eigendom. “Het gaat om subtiele aanvallen”, zegt hij. Daarbij duren ze voor langere tijd voort. Dergelijke aanvallen hoeven niet perse van een door de Chinese overheid gesponsorde hacker vandaan te komen. “Iedere organisatie kan zoiets doen”, geeft hij aan.

'Motief is anders'

McAfee is een van de bedrijven die APT in vrijwel ieder persbericht opvoert. Volgens het meest recente jaarrapport van de beveiliger, kan een APT veel verschillende vormen aannemen. “Niet alle APT-aanvallen zitten slim in elkaar en zijn geavanceerd. Ook is niet iedere complexe, goed uitgevoerde aanval een APT”, legt het rapport uit. “Het motief van de aanvaller, niet de kundigheid of impact, onderscheidt een APT-aanval van een cybercrimineel of hacktivist.”

McAfee gaat mee met het idee dat een APT een “bewuste cyberspionage of cybersabotage aanval is in opdracht van een overheid of iets dat verder gaat dan puur financiële motieven of een politiek protest.” Verder schrijft het: “Bedrijven in alle soorten en maten die te maken hebben met nationale veiligheid of grote wereldwijde economische activiteit, kunnen te maken krijgen met APT-aanvallen die het voorzien hebben op archieven, documenten, intellectueel eigendom en andere databases.”

“Wat een aanval een APT maakt, is dat de groep achter de aanval wordt gesponsord of gestuurd door een overheid en daardoor compleet andere doelstellingen heeft dan een gemiddelde cybercrimineel”, zegt security strateeg Toralv Dirro van McAfee.

De achterliggende motivatie is inlichtingen inwinnen die een militair, politiek of economisch voordeel kunnen opleveren, zegt hij. Volgens Dirro is de meest recente trend om “misbruik te maken van het toegenomen gebruik van sociale netwerken binnen bedrijven, niet alleen als manier om data via phishing te vergaren, maar ook om malware te verspreiden”.

Nepkerstkaart deed alarmbellen rinkelen

Hij geeft daarbij aan dat de meest recente APT-aanval de nepkerstkaart van het Witte Huis was die ambtenaren ertoe moest verleiden een aangepaste versie van ZeuS te downloaden. “Hoewel ZeuS normaal gesproken voor het stelen van bankgegevens wordt gebruikt, was deze versie van het programma gericht op het stelen van documenten.”

Dirro voegt daaran toe: “Technologiëen als Data Loss Prevention (DLP), netwerk- en gebruikersanalyse en applicatiemonitoring worden steeds volwassener en helpen je een veiliger netwerk op te zetten [om zulke dreiging in te dammen].”

Marc Maiffret, CTO bij eEye Digital Security maakt liever geen gebruik van de term APT. “Ik zeg liever wat ik bedoel dan dat ik me beroep op onduidelijke termen”, laat hij weten. Hij vindt APT een marketingterm. “Het is een manier om te zeggen dat iets heel erg eng is.”