Günümüz şirketlerinin karşısına çıkma ihtimali olan en tehlikeli siber tehditlerden birisi APT olarak bilinmektedir. APT ise Advanced Persistent Teherats kavramının kısaltımıdır. Türkçe karşılığı gelişmiş kalıcı tehdit olarak yorumlanmaktadır. Bu saldırılar, siber korsanların sisteme erişmesinin ardından uzun bir süre boyunca fark edilemeyen tehditler arasındadır. Ek olarak tespit edilmesi de çok kolay değildir.
Şirketlerin çalışma sahalarından neden olduğunu anlamadıkları kesintilerin yaşanmasına yol açmaktadır. Bununla birlikte veri kayıpları, hizmetlerin kesilmesi, altyapı stopaj işlemleri gibi sonuçlar ortaya çıkmaktadır. ATP saldırıları detaylı olarak incelendiği zaman ise diğer tehditlere göre daha karmaşık bir yapıya sahiptir. Oldukça fazla cihazı hedef alan kötü amaçlı yazılımların dışında gelişmiş kalıcı tehditler bir hedefle tasarlanmaktadır. Çoğunlukla ünlü işletmelerin peşine düşen siber saldırganlar tarafından kullanılmaktadır. Özellikle ülkeler, elçilikler ve telekomünikasyon kurumları tarafından birer tehdit unsuru olarak görülmektedir. Bundan kaynaklı olarak da her saldırılarda hedefin savunmaları temel alınarak özel bir plan hazırlanmaktadır.
Saldırıları manuel olarak yapılan APT, “vur-kaç” saldırıları olarak yorumlanmaz. Bu saldırıların asıl amacı sisteme zarar vermek de değildir. Bu noktada amaç sistem içerisinde verileri fark edilmeden ele geçirmektir. Hatta saldırganlar fark edilmeden olabildiğince uzun bir süre sistemde kalmayı hedefler.
APT saldırıları şirketler için büyük finansal zararlara yol açmaktadır. Aynı zamanda büyük ölçüde veri ihlallerinin oluşmasına da neden olmaktadır. En büyük problemlerden biri ise saldırganların kullandığı bu karmaşık yöntemlerin kullanılıp sistemde kalıcı olarak yer edinmesidir. Günümüzde geleneksel güvenlik yöntemlerinin bazılarının kullanımı, bu gibi problemlere yol açabilmektedir.
APT saldırılarında yoğun olarak giriş noktası küçük işletmelerdir. Böylece büyük firmaların tedarik zincirinde yer alan küçük işletmelerle büyük adımlar atılmak istenir. Bu da koruması az olan işletmeleri kullandıkları anlamına gelir. Ancak hemen her ölçekte olan işletme için APT saldırılarının olabileceği anlamına gelmektedir.
APT Nasıl Çalışır?
Gelişmiş kalıcı tehditler, genel olarak aşamalı şekilde yapılmaktadır. Hedeflenen ağın hacklenmesinin ardından süreç başlamaktadır. Ancak hedef bunu fark edememektedir. Sonrasında saldırganlar kolay erişim sağlanan noktalara odaklanmaktadır. Kolay erişim sağlanan noktaları tespit etmek için ise şirket verileri harita haline getirilmektedir. Aynı zamanda hassas veriler de toplanmaktadır.
APT saldırıları sırasında saldırganlar ağa erişim sağlamak için farklı birçok yöntem kullanmaktadır. Bu saldırılarda genel bir yaklaşım da yaşanmaz. Titiz ve dikkatli bir biçimde planlanan tehditler ortaya çıkmaktadır. Bundan kaynaklı olarak da kalıcı tehditler, var olan güvenlik önlemlerini aşmak için özenle tasarlanmaktadır.
Siber korsanlar ise sıkça erişim sağlamak amacıyla kimlik avı saldırıları ile erişilen işletmenin çalışanlarının kimlik bilgilerini kullanmaktadır. Bu sayede kuruluşun verilerinin kopyalanması gibi noktalarda uzun bir zaman sahibi olurlar. APT saldırılarında bir ağ ihlal edildiği zaman gizlenmek de kolaydır. Bu şekilde verileri toplamak ve ağ etkinliklerini izlemek de mümkündür. Saldırganlar gerçekleştirmiş oldukları saldırıları uzaktan kontrol edip şirketler için önemli verileri aramaktadır. Gelişmiş kalıcı tehditler için üç farklı aşamadan da söz edilmektedir. Bunlar ise şu şekildedir;
1. Sızma
Sızma aşaması saldırganların güvenlik açıklarını tespit edip ağa erişim kazandığı aşamadır. İşlem sırasında bu taktik yaygın olarak kullanılmaktadır. APT saldırganları erişimin sağlanması için ise birden fazla yöntem kullanmaktadır. Bunlardan bazıları kimlik avı, kötü amaçlı yazılım, uzaktan dosya ekleme, SQL enjeksiyonları şeklindedir. Erişimin sağlanmasının ardından ise APT korsanları, yasal bir yazılım gibi görünmesi için sistemi kurup uzaktan kontrol sağlamayı hedeflemektedir.
2. Genişleme
Saldırgan kişiler sisteme giriş sağladıktan sonra erişimi genişletmek ister. Daha derin bir erişim için kötü amaçlı yazılımlar ile diğer sunucular için bilgi toplarlar. Bunun dışında erişimin devamlı olması için izinsiz girişleri garantilerler. Saldırganlar yerlerini sağlama aldıktan sonra ise ağ hakkında daha fazla bilgi edinmeyi hedefler. Ağda erişimin derin olması için ise güvenlik açıklarını tespit etmeyi amaçlarlar. Genişletme sırasında kullanılan kötü amaçlı yazılımlar ise saldırganların fark edilmeden erişimlerinin devam etmesini sağlar. Ayrıca sistem kontrollerinden gizlenme, hassas verileri toplama, ağ etkinliklerini takip etme gibi pek çok konuda yardımcı olurlar. Tüm bu süreç içerisinde ise işletme durumdan haberdar olmaz. Saldırgan ise verileri çalmak için ağın az trafikli bir kısmında verileri depolar.
3. Veri Çıkarma
Üçüncü aşamada veri çıkarma olarak bilinir. Bu aşamada veriler genel olarak sunucudan toplanır. Sistemden çıkarmaya hazır bir hale gelene kadar bir konumda tutulurlar. İstenen veriler toplandıktan sonra da veri aktarımı başlar. Bunun için ise güvenlik ekibinin dikkatini dağıtmak için DDOS gibi saldırılar kullanılır. Böylece APT saldırısı belli edilmeden veri çıkarma işlemi yapılır. Verilerin çalındığı bu aşamada da fark edilmediyse o zaman yeni saldırılar için de açık bir kapı var demektir. Yapılan bu saldırının amacı yalnızca sabote etmek ise o zaman bu aşamada farklı olur. Çünkü APT korsanları veri tabanını yok edebilmektedir.
APT Nasıl Tespit Edilir?
APT korsanlarının saldırılarını gizlemek için kullandıkları pek çok yöntem vardır. Bundan ötürü saldırıların kolay bir biçimde tespit edilmesi mümkün değildir. Saldırıların önlenmesi için özel olarak tasarlanan seçenekler ise saldırı gerçekleştiği zaman erken uyarı verebilmektedir. Ancak bu aşamada APT saldırıları nasıl tespit edilir, nelere dikkat etmek gerekir bilmeniz önemlidir.
- APT saldırılarında ağa erişim kazanmanın yollarından birisi dikkat çeken saatlerde sıkça giriş yapmaktır. Bu saldırının devam ettiğini gösterebilir. Özellikle gece geç saatlerde, çalışanların ağa erişim sağlamadığı zamanlarda oturum açma sayılarının artması, APT saldırılarının birer belirtisidir.
- Genel olarak verilerin herhangi bir sebep olmadan taşınması, olmaması gereken bir yerde saklanması dikkat çeker. bundan ötürü APT saldırıları veri paketlerin incelenmesi sonucunda fark edilebilmektedir. Korsanlar verileri ağ dışına taşımadan önce dosyaları yalıtmaktadır. Bu da verilerin kolay bir şekilde aktarılmasını sağlamaktadır. Verilerin yanlış konumda olması halinde düzenli inceleme ve tarama yapabilirsiniz.
- APT saldırganları, oturum açma bilgilerinin değişmesi halinde devamlılık için arka kapı trojanı kullanır. Bu da sistem içerisinde Truva atı algılandığı zaman APT saldırısının olabileceği anlamına gelir.
- Hash saldırıları genel olarak geçişli depolama ya da parola verilerinin tutulduğu bellek üzerinden yapılmaktadır. Bu da korsanlara kimlik doğrulama oturumu oluşturma avantajı sağlar. Böyle bir durumun tespit edilmesi halinde ise muhakkak dikkate alınmalıdır.
APT Nasıl Önlenir?
Gelişmiş kalıcı tehditler için yüzde yüz oranla etkili olan bir çözüm mevcut değildir. Virüsten korunma programı gibi seçenekler ise çok yönlü saldırılar için yeterince etkili değildir. APT algılama, korunma durumları için ise savunma taktiklerinin birden fazla olması gerekir. Bundan kaynaklı olarak APT korumasında etkili olacak bazı taktikler bulunmaktadır. Bunlardan bazıları ise şu şekildedir;
- Arka kapı kurulumlarını önleyebilirsiniz. Bu şekilde çalınması hedeflenen verilerin çıkışını engellemiş olursunuz. Dosya paylaşımlarının izlenmesi ile sunucu araçlarının kullanımı önlemek de mümkündür.
- Gelişmiş kalıcı tehditler için ilk savunma katmanı olan güvenlik duvarı yapısı doğru seçilmelidir. Ağın ucunda bir web uygulaması kullanarak sunuculara gelen trafiğin filtrelenmesi gerekir. WAF da bu tarz saldırıların önlenmesine yardımcı olmaktadır.
- Whitelist yani beyaz liste, bir ağ üzerinden hangi uygulamalara erişildiğini kontrol etmenizi sağlar. Beyaz listeye almak da siber saldırı tehditlerini azaltmak açısından etkilidir.
- APT saldırılarına hazırlıklı olmak, kötü amaçlı yazılımların, virüslerin algılanmasında sahip olmanız faydalıdır.
- 2FA yani iki faktörlü doğrulama kullanıcıların ağın hassas alanlarına erişimi sırasında ikinci bir doğrulamadan geçmesini gerekli kılar. Her kaynakta bir ek güvenlik bulunması da sistemdeki davetsiz misafirlerin hızlı hareket etmesini önlemektedir.
- Sistemi güncel tuttuğunuz zaman APT saldırılarını da önlemek için etkili bir adım atmış olursunuz. Ağın son güvenlik güncellemelerini alması, zayıf noktalar ile ilgili sorunların önünü kesmede etkilidir.