Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

Detecting APT Activity with Network Traffic Analysis

Analyse netwerkverkeer voor detectie cyberdreiging

Cyberaanvallen kunnen veel schade veroorzaken voor bedrijven. Om die reden gaat deze whitepaper in op detectietechnieken, die gebruikt worden om geavanceerde aanhoudende dreigingen – ook wel APT’s, advanced persistent threats, genoemd – af te slaan.

Hoewel er soms discussie is over het al dan niet geavanceerd zijn van een bedreiging, regelmatig blijken ‘eenmalige gebeurtenissen’ onderdeel te zijn van langlopende campagnes van cybercriminelen. Onder zo’n campagne wordt verstaan een serie van mislukte en geslaagde pogingen om na verloop van tijd een netwerk binnen te kunnen dringen en daar op elk gewenst moment gegevens aan te kunnen onttrekken.

Netwerkverkeer analyse geeft aanwijzigingen voor mogelijke inbreuken
Door zorgvuldig onderzoek en analyse van cyberaanvallen kunnen experts een beeld krijgen van de wijze waarop cybercriminelen te werk gaan. Ook kunnen ze leren van hun fouten. Het is mogelijk om campagnes over een langere tijd te traceren door gebruik te maken van een combinatie van technische en contextuele indicatoren. Onderwerpen waar deze whitepaper specifiek aandacht aan besteed zijn de detectie van Remote Access Trojans en doorlopende campagnes, onder meer met netwerkverkeer analyse.

APT campagnes en Remote Access Trojans
Geavanceerde detectietechnieken komen aan de orde die gebruikt kunnen worden om malware command-and-control (C&C) communicatie te identificeren, die samenhangt met cyberaanvallen. Dit laat zien hoe zelfs de meest high-profile en succesvolle aanvallen van de laatste paar jaar ontdekt konden worden.

Voorbeelden van Remote Access Trojans die besproken worden zijn:

  • GhostNet
  • Nitro en RSA Breach

En voorbeelden van langlopende campagnes zijn:

  • Thaidoor
  • IXESHE
  • Enfal aka Lurid
  • Sykipot

Het verstrekken van informatie over APT campagnes aan het publiek, zodat de juiste acties op het gebied van beveiliging genomen kunnen worden, kent wel een risico. Ook de mensen die achter de aanvallen zitten krijgen zo inzicht in wat er over hun werkwijze bekend is en krijgen daarmee de kans om hun strategie aan te passen. Hoewel er inderdaad wijzigingen van de malware en campagnes bekend zijn, levert continue monitoring van de campagnes nog steeds voldoende informatie op in de strijd tegen cybercriminaliteit. Lees meer over het nut van netwerkverkeer analyse.

 

Download de whitepaper
Download
Misschien ook interessant