Cybercrime en Cyber Security Nederland
PRISCILLA F. HARMANUS OVER ONDERZOEK INFORMATIE VEILIGHEID EN VITALE INFRASTRUCTUUR IN DE DIGITALE OVERHEID

Onderwerpen

Advanced Persistent Threat(APT)

S

De term "Advanced Persistent Threat" (ook bekend als "APT") is zeer controversieel. Het is een marketing-buzzwoord geworden, dus er zijn mensen die het helemaal niet proberen te gebruiken. Het wordt door sommigen gebruikt om een ​​aanvalsproces te definiëren dat past bij bepaalde kenmerken (beschouw ze als de 'Wat'-groep). Anderen, zoals het beveiligingsbedrijf Mandiant, gebruiken de term in verwijzing naar de acties van een specifieke natiestaat - China (beschouw hen als de "Wie" -groep). Wanneer een lid van de "Wat" -groep (ik) een artikel schrijft waarin ik naar APT verwijst als een aanvalsmethodologie, wat ik gisteren deed, zal een lid van de "Wie" -groep regelmatig van die gelegenheid gebruik maken om de dwalende partij te corrigeren met een vriendelijke herinnering zoals deze.

Dus, op verzoek, hier is mijn argument waarom APT een "Wat" is en niet een "Wie". Als APT alleen verwijst naar dit soort aanvallen uitgevoerd door de Volksrepubliek China, hoe noemen we dan identieke aanvallen die worden gesponsord door andere natiestaten zoals de Russische Federatie? En volgens diezelfde redenering zouden we nog een andere term nodig hebben om die aanvalsmethode te identificeren wanneer deze door Israël wordt gebruikt; nog een andere wanneer het wordt gebruikt door de VS; enzovoort ad nauseum.

Naar mijn mening is het een veel nuttiger en efficiëntere benadering om het als een proces te definiëren, net zoals Mike Cloppert deed toen hij "Security Intelligence: Defining APT Campaigns" schreef of zoals iemand van Damballa Security hier deed. We hebben al een manier om te beschrijven wie de staatssponsor is. We identificeren ze bij naam: de Volksrepubliek China (of China); de Russische Federatie (of Rusland); the Great Satan (of de VS - grapje!). En als ik alleen voor mijzelf en mijn collega's spreek, weten we dat meer staten dan alleen China zich bezighouden met dit soort aanvallen.

Dus als je meerdere 'who's' hebt die met vergelijkbare of identieke methoden werken, denk ik dat het logischer is om de methode te noemen in plaats van de actor.

Dit is een nieuwe webpagina

 
Map
Info