Pinewood

2011 is het jaar van APT. Advanced persistent threat staat voor een "geavanceerde, volhardende dreiging". Het eerste van deze twee kenmerken, geavanceerd, vindt zijn verklaring in het feit dat aanvallers de beschikking hebben over technisch zeer complexe aanvalswapens om los te laten op hun doelwit. Bovendien hebben ze er niet een, maar meerdere. Via verschillende aanvalsvectoren wordt een doelwit benaderd. Mocht het doelwit onverhoopt maatregelen hebben getroffen tegen een van de vectoren, dan is een ander wellicht succesvol.

En succesvol zijn deze aanvallen. Schattingen zijn moeilijk te geven, omdat een van de eigenschappen van een geavanceerde dreiging is dat deze moeilijk te detecteren is, maar in 2011 hebben zich al meerdere bedrijven en overheden geopenbaard waarvan vantevoren werd gedacht dat deze nimmer slachtoffer van een dergelijke dreiging zouden kunnen worden. Bij het tweede kenmerk van APT, volhardend, speelt een rol dat de aanvaller zeer diverse methoden gebruikt om binnen te komen. Daarbij komen niet alleen de eerder genoemde technisch complexe middelen aan bod, maar bijvoorbeeld ook social engineering technieken. Na een uitgebreid achtergrondonderzoek worden specifieke medewerkers van het slachtoffer benaderd op een manier die helemaal is afgestemd op hun dagelijks functioneren, hun achtergrond en privéleven. Zo is de kans groot dat de betreffende medewerker toehapt en zich laat verleiden tot het afgeven van informatie, of zoiets eenvoudigs als het openen van een attachment. En dan is het te laat. Het op maat gemaakte Trojaanse Paard installeert zich op het systeem van de medewerker, gebruik makend van twee verschillende zeroday kwetsbaarheden op het systeem en een gestolen certificaat van een bekende hardwareleverancier. Via twee andere medewerkers zijn andere stukjes malware het bedrijf binnengedrongen. Om de detectiekans zo laag mogelijk te houden nemen ze met verschillende tussenpozen contact op met de aanvaller voor instructies. Soms zelfs zo infrequent als eens per jaar. Terwijl één stukje malware op zoek gaat naar de systemen die de gegevens bevatten waar de aanvaller naar op zoek is, tuigt een ander een verzamelpunt op vanwaar deze informatie het bedrijfsnetwerk uitgesmokkeld kan worden. Een heus digitaal Navy Seals team waar ieder lid z'n eigen specialisme heeft.

Domweg installeren van de nieuwste snufjes op IT securitygebied is zinloos. Tegen zo'n uitgebreid arsenaal aan wapens en zo'n doelgerichte aanpak is alleen een holistische benadering van informatiebeveiliging opgewassen. Vanuit een beleid en strategie dienen die maatregelen te worden genomen die passen bij de aard van de informatie die wordt beschermd. Daarnaast is aandacht nodig voor het menselijke aspect: medewerkers zijn bij APT de deuren die door de aanvallers doelbewust worden opgezocht en geopend. Het creeren van beveiligingsbewustzijn onder het personeel is dus uitermate belangrijk. Pinewood heeft haar product- en dienstenportfolio afgestemd op deze drie onderdelen: beleid, techniek en mens. Hierdoor kan Pinewood haar klanten een compleet pakket producten en diensten aanbieden dat beveiliging van boven tot onder in de organisatie verankert: de beste benadering van APT.