torsdag 9 juni 2011

APT in a Nutshell

David Stubley från 7 Elements höll sin presentation om uttrycket Advanced Persistent Threat (APT).

Vad Advanced Persistent Threat (APT) handlar om är angripare med mycket hög kapacitet och intention att angripa. Sättet de angriper på är inte så viktigt, så de kommer förmodligen ta det enklast möjliga. Principiellt kan man säga att det handlar om statssponsrade aktiviteter. Eftersom begreppet har fått mycket uppmärksamhet i media har det dock kapats av produkttillverkare som vill pusha sina lösningar, men enligt David så kommer inga produkter vara någon silverkula och allt som kommer från tillverkarna är bullshit.

Ämnet ligger då förstås extremt nära cyberkrig. Ser man bakåt i tiden på hur media rapporterat om ämnet innan det hade namnet APT så kan rapportering hittas från år 2000 och framåt. Ofta är det Kina som pekats ut som angriparna, men på senare tid har även fler västnationer så som USA och Frankrike pekats ut i media. Man kan också konstatera att då tiden rört sig framåt har fler än de uppenbara målen blivit måltavlor. Fram tills alldeles nyligen var det enbart direkt statliga aktörer som drabbades, men nu har också privata näringslivet börjat drabbas, så som Google och RSA.

Hur vet man då om det här är något man behöver bry sig om? Den enkla frågan är: gör du något som en statlig aktör är intresserad av?

Och är man ett mål för det, vad kan man göra? David menar att allt behöver styras av en förståelse för affärsmål och vilken riskmiljö man befinner sig i. Han pushar för incidenthantering, anomalidetektion och det lite mindre väntade: att hantera all data som känslig data. En metod som används av dessa angripare är nämligen att data samlas ihop och tolkas, och genom den mängden av data kommer de ofta vidare.

Han slår också ett slag mot att APT nödvändigtvis involverar 0-day angrepp. Så behöver naturligtvis inte vara fallet, utan det är beroende på vilket målet är och vad som krävs för att komma in där.

På det hela taget så anser jag att begrepp som APT bara kan tillföra medvetenhet till de organisationer och personer som ännu inte uppmärksammat den utökade attackytan som cybervärlden innebär. För att försvara sig kommer man ändå landa på "traditionella" sätt att upptäcka och hantera intrång, och det behöver precis som alltid vara dimensionerat enligt vilka hot som finns för verksamheten. För en del verksamheter är hotet väldigt stort och då behöver även skyddet vara det. Så är det, och kommer alltid vara.

Inga kommentarer: