Gelişmiş Kalıcı Tehdit Nedir?

Yayınlanan: 2021-06-10

Gelişmiş kalıcı tehdit, bir bilgisayar korsanının veya yetkisiz herhangi bir kullanıcının bir sisteme veya bir ağa önemli bir süre boyunca zorla eriştiği ve kimse fark etmeden orada kaldığı bir saldırı türüdür.

Gelişmiş Kalıcı Tehditler (APT), özellikle şirketler için son derece tehlikelidir çünkü bu bilgisayar korsanları son derece gizli şirket verilerine sürekli erişime sahiptir. Gelişmiş kalıcı tehditlerin birincil amacı, herhangi bir yerel makineye veya ağa zarar vermek değil, daha çok veri hırsızlığı ile ilgilidir.

Bu makalede
  • APT Nasıl Çalışır?
  • Aşamalar, Gelişmiş Kalıcı Tehdit (APT) Saldırılarının Evrimidir
  • Gelişmiş Kalıcı Tehditler nasıl belirlenir
  • Gelişmiş Kalıcı Tehdit Örnekleri
  • APT Güvenlik Önlemleri
  • Ağ Güvenliği En İyi Uygulamaları

Gelişmiş Kalıcı Tehdit Adımları Nelerdir ve Nasıl Çalışır?

Gelişmiş kalıcı tehditler genellikle aşamalı bir şekilde yapılır; bu, ağın hacklenmesiyle başlar ve ardından herhangi bir saldırının algılanmasından kaçınılır. Ayrıca, bilgisayar korsanları, oranların en kolay nerede erişilebilir olduğunu bulmak için şirket verilerini haritalandırdıkları bir saldırı planı oluşturur. Son olarak, bu hassas verileri toplar ve sifonlar.

Bu tehditlerin, büyük finansal etkilerle sonuçlanan birçok veri ihlaline neden olduğu söyleniyor. Şirketler için endişe verici olan nokta, geleneksel güvenlik önlemlerinin bir kısmı tarafından fark edilmeden kalabilmesidir. Ve şirketlerin endişelerine daha fazlasını eklemek için bilgisayar korsanları, hedeflerine ulaşmak için daha karmaşık yöntemler oluşturarak gelişmiş kalıcı tehditlerde büyük bir artışa neden oluyor.

Gelişmiş kalıcı tehditler, bir ağa ilk erişim sağlamak için farklı yöntemler kullanır; bazı durumlarda, saldırganlar kötü amaçlı yazılımları zorlamak ve erişim elde etmek için interneti kullanabilir. Bazen, korumalı bir ağa girebilmeleri için fiziksel kötü amaçlı yazılım bulaşmasına veya harici istismara neden olurlar.

Her seferinde tutarlı bir şekilde aynı davranışı sergileyen virüsler ve kötü amaçlı yazılımlar gibi geleneksel tehditlerin çoğuna kıyasla, gelişmiş kalıcı tehditler çok farklıdır. Gelişmiş kalıcı tehditlerin geniş veya genel bir yaklaşımı yoktur.

Aksine, belirli bir organizasyonu hedef almak için açıkça tanımlanmış bir amacı olan, titizlikle ve dikkatlice planlanmış tehditlerdir. Bu nedenle, gelişmiş kalıcı tehditler, bir şirketteki mevcut güvenlik önlemlerinden kaçmak için son derece özelleştirilmiş ve çok karmaşık bir şekilde tasarlanmıştır.

Daha sık olarak, bilgisayar korsanları ilk girişi elde etmek için güvenilir bağlantılar kullandı. Bu, bilgisayar korsanlarının, yine kimlik avı saldırıları yoluyla erişilen çalışanlardan veya iş ortaklarından gelen kimlik bilgileri aracılığıyla erişebileceği anlamına gelir. Bu kimlik bilgilerini kullanarak, saldırganlar, kuruluşun sistemlerini ve verilerini haritalamak ve şirket verilerini boşaltmak için bir saldırı planı hazırlamak için yeterince uzun bir süre sistemde tespit edilmeden kalabilir.

Gelişmiş kalıcı tehditlerin başarısı açısından bakıldığında, kötü amaçlı yazılım kritik bir bileşendir. Belirli bir ağ ihlal edildiğinde, kötü amaçlı yazılım bazı standart navigasyon sistemlerinden kolayca gizlenebilir, bir sistemden diğerine geçebilir, veri toplamaya başlayabilir ve ağ etkinliğini izleyebilir.

Bir diğer önemli husus, bu bilgisayar korsanlarının uzaktan çalışma ve bu gelişmiş kalıcı tehditleri uzaktan kontrol etme yeteneğidir. Bilgisayar korsanlarına, şirketin ağ aramasında kritik verileri arama, bilgilere erişme ve ardından bu verileri sifonlamaya başlama fırsatı verir.

Gelişen Gelişmiş Kalıcı Saldırının Beş Aşaması

Gelişmiş bir kalıcı tehdide saldırı, aşağıdakiler gibi beş farklı aşamada gerçekleştirilebilir:

  • Aşama 1: Erişim Kazanın

    Burası, bilgisayar korsanlarının veya bilgisayar korsanlarının bir ağa ilk erişimlerini üç yoldan biriyle elde ettikleri yerdir. Ya web tabanlı sistemler, ağlar ya da insan kullanıcılar aracılığıyla. Uygulama güvenlik açıklarını ararlar ve kötü amaçlı dosyalar yüklerler.

  • 2. Aşama: Bir dayanak noktası oluşturun

    İlk erişim sağlandıktan sonra, bilgisayar korsanları, meşru bir yazılım gibi görünmesi için maskelenmiş bir arka kapı truva atı oluşturarak girilen sistemi tehlikeye atar. Bu sayede girilen sistemi uzaktan ağ kontrolüne erişebilirler.

  • 3. Aşama: Erişimi Derinleştirin

    Saldırganlar yerlerini belirledikten sonra ağ hakkında daha fazla bilgi toplarlar. Güçlü bir şekilde saldırmaya ve ağdaki daha derin erişim elde edebilecekleri ve böylece ek sistemleri kontrol edebilecekleri güvenlik açıklarını bulmaya çalışırlar.

  • Aşama 4: Yanal Hareket Etme

    Ağın derinliklerine girdikten sonra, bu saldırganlar ek arka kapı kanalları oluşturur ve bu da onlara ağ üzerinde yanlamasına hareket etme ve verilere ihtiyaç duyduklarında ve zamanda erişme fırsatı verir.

  • Aşama 5: Bak, Öğren ve Kal

    Ağda hareket etmeye başladıklarında, verileri toplamaya başlayacak ve sızma olarak bilinen sistem dışına aktarmaya hazırlanacaklar. Saldırganlar verileri sifonlarken, DDoS saldırısı şeklinde bir sapma yaratacaklar. APT saldırısı tespit edilmediyse, saldırganlar ağ içinde kalacak ve başka bir saldırı için fırsatlar aramaya devam edecektir.

( Ayrıca Okuyun : Bulut Güvenliği Nedir? )

Gelişmiş Kalıcı Tehdit Nasıl Tespit Edilir?

Doğaları gereği, gelişmiş kalıcı tehditler kolayca tespit edilemez. Nitekim, bu tehditler, görevlerini yerine getirmek için fark edilmeden kalma yeteneklerine bağlıdır. Ancak, şirketinizin yaşayabileceği ve erken uyarı işaretleri olarak değerlendirilebilecek bazı göstergeler vardır:

  • Gece geç saatlerde veya çalışanların ağa erişmediği zamanlarda oturum açma sayısında artış.
  • Büyük ölçekli arka kapı truva atlarını fark ettiğinizde. Bunlar genellikle, ağa erişimi sürdürebilmelerini sağlamak için gelişmiş kalıcı tehditler kullanan bilgisayar korsanları tarafından kullanılır.
  • Dahili kaynaklardan dahili ve harici makinelere kadar ani ve büyük bir veri akışı aramalısınız.
  • Veri paketlerini inceleyin. Bu genellikle, bilgisayar korsanları verileri ağ dışına taşımadan önce ağ içindeki verileri topladıklarından, gelişmiş kalıcı tehditler planlayan saldırganlar tarafından kullanılır.
  • Hash saldırılarını belirleme. Bunlar genellikle geçişli depolama veya parola verilerinin tutulduğu bellek üzerinde hedeflenir. Buna erişmek, yeni kimlik doğrulama oturumları oluşturma fırsatı verecektir. Her ne kadar ileri düzeyde kalıcı bir tehdit olmasa da, böyle bir durumun tespit edilmesi, daha fazla araştırmaya tabidir.

Daha önce yalnızca daha büyük organizasyonları hedef aldığı düşünülen, gelişmiş kalıcı tehditler aynı zamanda daha küçük ve orta ölçekli şirketlere de girmiyor. Bu bilgisayar korsanları saldırmak için karmaşık yöntemler kullandıklarından, boyutları ne olursa olsun kuruluşlar bununla mücadele etmek için sağlam güvenlik önlemleri almalıdır.

Gelişmiş Kalıcı Tehdit Örneklerinden Bazıları Nelerdir?

Crowdstrike(1) gibi siber güvenlik şirketleri, dünya genelinde bu tür 150'den fazla olumsuz durumu izliyor; buna hack eylemcileri ve eSuçlular dahildir. Aslında bölge ile ilişkilendirilen aktörlerin ve hayvanların isimlerini kullanma yöntemlerine sahipler.

Örneğin, BEAR Rusya'yı, PANDA Çin'i, KITTEN İran'ı ve SPIDER bir bölge ile sınırlı olmayan bir eSuçtur. Aşağıda, Crowdstrike tarafından algılanan gelişmiş kalıcı tehditlere ilişkin bazı örnekler verilmiştir.

  1. APT 27 (GOBLIN PANDA)

    Bu, ilk olarak 2013 yılında bilgisayar korsanlarının birden fazla sektörde ticari operasyonları olan büyük bir teknoloji şirketinin ağına saldırdığı zaman tespit edildi.

  2. APT28 (SÜSTE AYI)

    Bu özel gelişmiş kalıcı tehdit, bilgisayarlar ve cep telefonları gibi cihazlara erişim elde etmek için aslında yasal olanlara benzeyen web sitesi sahtekarlıkları ve kimlik avı mesajlarını kullanır.

  3. APT32 (Okyanus Mandası)

    Bu, Vietnam merkezli bir düşmandır ve 2012'den beri aktiftir. Bu gelişmiş kalıcı tehdit, SWC olarak da bilinen Stratejik Web Uzlaşması aracılığıyla kötü amaçlı yazılımın dağıtımıyla birlikte kullanıma hazır araçların bir kombinasyonunu kullanır.

Crowstrike tarafından tespit edilen yukarıda bahsedilenlerin yanı sıra, aşağıdakiler gibi gelişmiş kalıcı tehditlerin başka örnekleri de vardır:

  • Ghostnet: Bu, saldırıların kötü amaçlı yazılım içeren kimlik avı e-postaları yoluyla planlandığı ve yürütüldüğü Çin merkezlidir. Grup aslında 100'den fazla ülkedeki cihazları hedef aldı
  • Stuxnet: Bu, İran nükleer programında kullanılan makinelere nüfuz etmedeki başarısından belli olan, öncelikle SCADA sistemlerini (ağır endüstriyel uygulamalar) hedefleyen kötü amaçlı yazılımdır.
  • Sykipot: Bu, esas olarak akıllı kartlara saldıran bir tür kötü amaçlı yazılımdır.

APT güvenlik önlemleri

Gelişmiş kalıcı tehdidin çok yönlü bir saldırı olduğu ve araç ve teknikler şeklinde birden fazla güvenlik önleminin alınması gerektiği açıktır.

  • Trafik İzleme: Bu, şirketlerin penetrasyonları, her türlü yanal hareketi ve veri hırsızlığını tespit etmesine olanak tanır.
  • Uygulama ve Etki Alanı Beyaz Listesi: Bilinen ve güvenilir alan adlarının ve uygulamaların beyaz listeye alındığından emin olun.
  • Erişim Kontrolü: Güçlü kimlik doğrulama protokolleri ve kullanıcı hesaplarının yönetimini ayarlamanız gerekir. Ayrıcalıklı hesaplar varsa, özel odaklanmaları gerekir.

Ağınızın güvenliğini sağlarken alınacak en iyi uygulama önlemleri.

Gelişmiş kalıcı tehditlerle ilgili acı gerçek, %100 etkili olacak tek bir çözüm olmamasıdır. Bu nedenle, APT korumasına yönelik en iyi uygulamalardan bazılarına bakacağız.

  • Bir güvenlik duvarı kurun:

    Gelişmiş kalıcı tehditlere karşı ilk savunma katmanı görevi görecek doğru güvenlik duvarı yapısını seçmek önemlidir.

  • Bir web uygulaması güvenlik duvarını etkinleştirin:

    Bu, özellikle HTTP trafiği kullanan internet/web uygulamasından gelen saldırıları önleyeceği için faydalı olabilir.

  • antivirüs:

    Kötü amaçlı yazılım, truva atı ve virüs gibi programları algılayabilen ve önleyebilen en yeni ve güncel antivirüs yazılımına sahip olun.

  • Saldırı önleme sistemleri:

    İzinsiz giriş önleme sistemlerine (IPS) sahip olmak, ağınızı herhangi bir kötü amaçlı kod için izleyen ve sizi hemen bilgilendiren bir güvenlik hizmeti olarak çalıştıkları için önemlidir.

  • Bir korumalı alan ortamına sahip olun:

    Bu, canlı sisteme herhangi bir zarar vermeden şüpheli komut dosyalarını veya kodları test etmek için faydalı olacaktır.

  • Bir VPN kurun:

    Bu, APT bilgisayar korsanlarının ağınıza kolay erişim sağlamamasını sağlayacaktır.

  • E-posta korumasını ayarlayın:

    E-postalar en düzenli kullanılan uygulamalardan biri olduğundan, savunmasızdırlar. Bu nedenle, e-postalarınız için spam ve kötü amaçlı yazılım korumasını etkinleştirin.

Son düşünceler

Gelişmiş kalıcı tehditler sürekli olarak kapıyı çalıyor ve büyük ölçekli bir hasar oluşturmak için ağınıza küçük bir açıklığa ihtiyaçları var. Evet, bu saldırılar tespit edilemez, ancak uygun önlemler alındığında, şirketler bu saldırılar nedeniyle herhangi bir olumsuzluktan kaçınmak için uyanık olabilir. En iyi uygulamaları takip etmek ve güvenlik önlemlerini ayarlamak, bu tür saldırıların etkili bir şekilde önlenmesini sağlayacaktır.

Diğer Faydalı Kaynaklar:

Siber Tehditlerden Kaçınmak İçin Beş İpucu ve Strateji

İçeriden Tehditleri Önlemenin 10 Yolu

2021'de Savaşılacak Siber Tehditler

İş Hayatında Siber Güvenliğin Önemi