Als het gaat om cyberspionage en gerichte aanvallen wordt vaak de term "Advanced Persistent Threat" (APT) gebruikt, maar de meeste van deze aanvallen zijn helemaal niet zo geavanceerd. Dat stelden verschillende experts tijdens een paneldiscussie op de RSA Conferentie in de Amsterdamse RAI.

De discussie had als onderwerp om de hype rondom APT's te ontzenuwen. De term wordt inmiddels door allerlei beveiligingsaanbieders en leveranciers gebruikt om een grote, geavanceerde dreiging aan te geven waarvoor allerlei producten beschikbaar zijn. Een groot deel van het publiek vond APT dan ook verworden tot een marketingterm en kreeg daarin gelijk van de experts.

"Veel van deze aanvallen zijn succesvol, maar niet geavanceerd. Dat zijn twee verschillende dingen", aldus panellid Costin Raiu van Kaspersky Lab. Een opvatting die door panellid Jaime Blasco van AlienVault Labs werd gedeeld. Ook hij merkte op dat de meeste aanvallen eenvoudige exploits en aanvalstechnieken toepassen en dan pas verder kijken. "Ze willen hun kostbare zero-day exploits niet aan iedereen verspillen", aldus Blasco. Zero-day exploits zijn exploits voor beveiligingslekken waarvoor nog geen beveiligingsupdate beschikbaar is.

Effectief

Veel organisaties blijken echter bestaande beveiligingsupdates niet uit te rollen, waardoor ook bekende lekken zijn te gebruiken om computers te infecteren en zo het netwerk te infiltreren. Pas bij organisaties die hun verdediging beter op orde hebben worden geavanceerde aanvallen en exploits ingezet. Het is echter beter om de term effectief in plaats van geavanceerd te gebruiken, merkte Blasco op. "Je hebt groepen aanvallers die geavanceerd zijn, en groepen die niet geavanceerd zijn, maar wel effectief en succesvol".

De afgelopen maanden werden verschillende APT-groepen ontmaskerd, zoals de Comment Crew, ook bekend als APT1, en Hiden Lynx. Het grootste probleem zijn volgens Blasco de groepen die door geen enkel beveiligingsbedrijf worden gevolgd en onopgemerkt in de achtergrond opereren.

Intellectueel eigendom

De panelleden waarschuwden dat vooral bedrijven met intellectueel eigendom zich zorgen moeten maken. Dat is volgens de expert "het nummer één doelwit". Het stelen van intellectueel eigendom wordt vaak toegeschreven aan Chinese groepen aanvallers. Volgens cijfers die Raiu noemde zouden er zelfs tussen de 1 en 200 groepen aanvallers in China actief zijn, waarmee het land het grootste aantal "dreigingsactoren" heeft.

Het is echter een illusie om te denken dat alleen China voor de aanvallen verantwoordelijk is. Alle ontwikkelde landen houden zich namelijk met gerichte aanvallen en spionage bezig, aldus de panelleden. "Sommigen zijn luidruchtiger dan anderen en kan het weinig schelen als ze ontdekt worden, terwijl anderen weer veel voorzichtiger te werk gaan en helemaal niet in de openbaarheid willen komen", besloot Raiu.