2min

Tags in dit artikel

, , ,

Kaspersky APT Threat Intelligence

Op het hoogste niveau zijn de beste tools en de meeste informatie beschikbaar. Dat is wel vaker het geval, maar zeker in de beveiligingswereld is een stukje extra veiligheid gewoon vroegtijdig in te kopen. De beveiligingsbedrijven noemen dit Threat Intelligence, informatie over mogelijke gevaren voor een bedrijf. Een beveiligingsbedrijf zoals Kaspersky heeft honderden zo niet duizenden werknemers in dienst die de hele dag malware analyseren. Je kan ze vergelijken met een paleontoloog die een eerste stukje bot vindt en vervolgens de andere botten probeert te vinden om zo het skelet te kunnen reconstrueren. Dat geldt eigenlijk ook voor zeer geavanceerde malware. Als je daarvan voldoende gelijkwaardige samples kan onderscheppen, dan kan je op een gegeven moment een link leggen en daar analyses op los laten om vervolgens inzicht te krijgen in het doel van de malware en de maker ervan. In sommige gevallen kan dit binnen enkele weken, in andere gevallen duurt dat jaren. Beveiligingsbedrijven hebben vaak ook namen voor bepaalde digitale criminele organisaties die ze al langere tijd in de gaten houden. Hiervoor stellen ze ook rapporten op, waar allerlei nuttige informatie in te vinden is. Bijvoorbeeld via welke ip-adressen en domeinnamen de malware wordt aangestuurd, de zogenaamde command & control-servers. Natuurlijk zijn ook de malware-samples zelf in kaart gebracht, dus bijvoorbeeld alle gedetecteerde .exe-bestanden, maar ook de hashes van deze bestanden. Als de malware een specifiek doel lijkt te hebben dan wordt dat ook in het rapport gemeld, bijvoorbeeld als alleen een specifiek land of bedrijf het doelwit lijkt te zijn. Deze rapporten werden in het verleden alleen intern gebruikt, maar sinds enige tijd beginnen de beveiligingsbedrijven deze rapporten ook te delen met enterprise-organisaties die bereid zijn hiervoor te betalen. Deze rapporten mogen in veel gevallen alleen gebruikt worden om aanvallen te voorkomen, de informatie mag niet gedeeld worden door de enterprise-organisaties. Kaspersky biedt deze rapporten ook aan, onder de naam APT Intelligence Reporting. Hierin zijn publieke maar ook nog niet publieke APT’s te zien. APT staat voor Advanced Persistent Threat. Deze rapporten kunnen worden afgenomen via een abonnement, maar Kaspersky biedt niet de mogelijkheid aan elke organisatie om dit abonnement af te nemen. Dit is alleen weggelegd voor overheden en grote publieke en private ondernemingen. Kaspersky heeft een hele portal opgezet waar bedrijven die een dergelijk abonnement hebben op kunnen inloggen. Zij kunnen daar filteren op industrie, land en zelfs op specifieke hackersgroepen en criminele organisaties. Tot slot is er de mogelijkheid om de belangrijke informatie over dreigingen te exporteren naar IOC en YARA-bestanden, om deze vervolgens te importeren in het beveiligingsproduct bij het bedrijf. Bijvoorbeeld om de domeinnamen, ip-adressen en hashes van specifieke malware uit voorzorg te blokkeren. Zo kan het voor banken interessant zijn om alle malware die erop gericht is banken te infiltreren op voorhand al te blokkeren.