Gelişmiş Kalıcı Tehdit nedir?

Gelişmiş kalıcı tehdit (APT), belirli iş varlıklarını hedefleyen karmaşık ve çok aşamalı bir güvenlik olayıdır. APT; kuruluş ortamına giren, varlıkları elde etmek için sistemler arasında hareket eden, hassas bilgileri aktaran ve tespit edilmeden çıkmaya çalışan yetkisiz bir aktördür. Karmaşık taktikler ve hedefli yaklaşım nedeniyle gelişmiş kalıcı tehditleri tanımlamak ve çözümlemek zor olabilir. APT'lere karşı koruma; çok sistemli, çok disiplinli bir yaklaşım gerektirir.

Bir APT olayı aşağıdaki amaçlardan birine sahip olabilir:

Fikrî mülkiyet hırsızlığı

Ticari sırlar veya devlet sırları, tescilli kaynak kodu ya da özel iletişim gibi fikrî mülkiyetler; bir kuruluşa özel olan tüm hassas verilerdir. Bu verilere ilk erişimi kazanan APT grupları, rekabet avantajı elde etmek veya iş hedef ağını olumsuz yönde etkilemek için yasa dışı olarak bilgi edinir.

Finansal dolandırıcılık

APT'ler; iş sistemleri ve operasyonları üzerinde kontrol sahibi olabilir ve finansal dolandırıcılık yapması için yetkisiz aktöre gereken ayrıcalıklı erişimi sağlar. Bu operasyonlar, kullanıcı hesaplarından finansal transferler gönderebilir veya şirket içinde ayrıcalıklı bireyler olarak görünmek için bir şirketten hassas verileri çalabilir.

Fidye yazılımı 

Başarılı bir APT olayı, fidye yazılımı yayma amacına sahip olabilir. Bu örnekte APT, hassas verileri şifrelemeye ve kullanıcıların hedef ağa erişmesini engellemeye başlar. Bu yetkisiz gruplar, dosyaların şifresini çözmek için anahtar sağlamak karşılığında yüksek bir fidye ücreti talep edebilir. 

İtibar hasarı

Bazı APT gruplarının özel amacı, halka bilgi sızdırarak kuruluş itibarına zarar vermektir.

APT'ler yalnızca yüksek değerli hedefleri dikkate alır. Gelişmiş kalıcı tehditlerin (APT) tanımlanması, tipik bir siber tehditten daha karmaşıktır çünkü geleneksel kalıpları takip etmezler. Ortak bir güvenlik olayı vektörü, olay zaman aralığı veya imzası bulunmadığından bu güvenlik olaylarını tespit etmek ve etkisiz hâle getirmek daha zordur. 

Veri hareketine ilişkin olarak veri tabanı operasyonlarında veya trafikte ani bir artış, tipik güvenlik olaylarıdır ancak APT olaylarının yaklaşımı daha düzenli olduğundan gizli kalır.

Ayrıca bir APT'nin anında sonuç beklemeyen yapısı, daha geniş kapsamlı bir tehdit oluşturmaya zaman ayırmalarına izin verir. APT'ler, grup harekete geçmeye karar verene kadar bir şirket içinde uzun süre tespit edilmeden kalabilir.

Gelişmiş kalıcı bir tehdidin en yaygın özellikleri ve semptomları:

Erişim elde etmeye yönelik sofistike, çok aşamalı olaylar

Gelişmiş kalıcı tehditler, genellikle benzer bir dizi adımı izleyen çok aşamalı olayları içerir.

İlk olarak, yetkisiz bir aktör; varlıklar ve potansiyel güvenlik açıkları hakkında bilgi toplamak için hedef kuruluş ve sistemleri üzerinde keşif yapar. Ardından, tanımlanan güvenlik açıklarından yararlanmak için yöntemler geliştirirler.

Yetkisiz bir aktör şirket sistemlerine erişim kazandıktan sonra sistemin çeşitli bölümlerinde gezer. Bunu, sosyal mühendislik, ağ segmentlerinde gezinme ve diğer teknikler yoluyla yüksek ayrıcalıklara erişim sağlayarak yaparlar. Ayrıca güvenlik personelinin dikkatini dağıtabilirler. İletişimi koordine etmek için komut ve kontrol sunucuları ayarlanır.

Hedef varlıklara eriştikten sonra yetkisiz bir aktör genellikle olayın amacına bağlı olarak verileri sızdırmaya veya güvenliği ihlal edilmiş sistemi değiştirmeye başlar. Bazı gelişmiş kalıcı tehditler, olayın fark edilmesini önlemek için izlerini örtmek üzere bu son aşamayı takip eder.

Motivasyonu yüksek bir APT grubu tarafından gerçekleştirilir

APT olayları genellikle gruplar hâlinde faaliyet gösteren yüksek motivasyonlu yetkisiz aktörlerden kaynaklanır. Bu gruplar; devlet destekli APT'ler, profesyonel siber suç örgütleri, hacktivist gruplar veya kiralık bilgisayar korsanlarından oluşan küçük ekipler gibi birçok biçimde olabilir.

APT'lerin ana hedefi finansal kazanç olsa da bu gruplardan bazıları; hassas bilgileri toplamak, verileri ifşa etmek, altyapıyı sabote etmek veya kuruluşların itibarını etkilemek için APT olayları başlatır. 

Birden çok sistemde önemli bir süre boyunca gerçekleşen olay

Daha önce özetlenen aşamalar uzun bir süre boyunca gerçekleşebilir. APT olaylarının hedefli doğası nedeniyle gruplar, dikkat çekmekten veya sistemlerde uyarıları tetiklemekten kaçınmak için yavaş bir tempoda hareket etmeyi dikkatlice planlar. Bazı durumlarda APT, orijinal hedefe ulaşmak için adımlar atmadan önce aylarca veya yıllarca tespit edilmeden kalır.

İz bırakmayacak şekilde tasarlanır

Bir APT tehdit aktörünün son hareketi; dosyaları silme, günlükleri değiştirme veya veri tabanının belirli yönlerini gizleme gibi tekniklerle bir olayın izlerini örtmektir. Siber güvenlik ekibinin bir sistem anormalliğini ortaya çıkarma olasılığını azaltan yetkisiz aktörlerin yakalanmadan sistemden çıkma ihtimali daha yüksektir.

Ek olarak APT'ler, varlıklarının kanıtlarını gizleyerek özel sızma yöntemlerini de gizli tutabilir. Bu gizli çıkış, diğer hedef kuruluşlar için de aynı yavaş ve düzenli stratejiyi kullanmalarını sağlar.

Gelişmiş kalıcı tehdit (APT) zekası; devam eden APT saldırıları, yerleşik APT yetkisiz aktörleri ve APT'ler tarafından kullanılan geçerli sosyal mühendislik teknikleri konusunda işletmeleri bilgilendiren ve yönlendiren özel bir tehdit zekası biçimidir. 

APT zekası; kaynakları, üçgenleme teknikleri, raporlama, analiz ve uygulamaları bakımından genel tehdit zekasından farklıdır.

APT'leri önlemeye ve bunlara karşı savunmaya yardımcı olacak birkaç etkili güvenlik önlemi aşağıda verilmiştir.

Tehdit zekası

Tehdit zekası sistemleri, APT'lerin önlenmesine yardımcı olacak etkili bir stratejidir. Tehdit zekası; mevcut olayların durumu ve ortak vektörleri hakkında bütünsel bir görünüm sağlamak için iç ve dış güvenlik verilerini bir araya getirir. Genel ve özel verileri kullanarak ana potansiyel APT düşmanlarınızı ve bunlara karşı kendinizi nasıl savunacağınızı belirleyip taktikler geliştirebilirsiniz.

Kuruluşlar, tehdit zekası platformlarını, açık kaynaklı tehdit zekası akışlarını ve MITRE ATT&CK gibi çerçeveleri uygulayarak istihbarat alabilir ve stratejiler oluşturabilir.

Günlük kaydı ve telemetri

Siber güvenlik sistemleri, ağ, varlık erişim noktaları, uç nokta izleme ve genel sistem durumu verilerinin etkili ve kapsamlı günlük kaydı; güvenlik uzmanlarının iş sistemlerinize ilişkin zengin bir genel bakış geliştirmesine olanak tanır. Ayrıntılı günlüklerin saklanması ve gelişmiş analizlerin uygulanması, anormallik tespitini iyileştirir ve beklenmedik güvenlik olaylarına ilişkin geriye dönük araştırmayı destekler.

Teknoloji

APT'leri algılama, etkisiz hâle getirme ve azaltma yeteneğinizi geliştirmek için kullanabileceğiniz çeşitli teknolojiler vardır. Bu güvenlik teknolojisi yığınındaki birkaç merkezî teknoloji:

• İzinsiz giriş algılama sistemleri (IDS'ler): Garip etkinlikleri tanımlamak için ağ trafiğini izleyen araçlardır.
• Güvenlik Bilgileri ve Olay Yönetimi Sistemleri (SIEM): Gerçek zamanlı tehdit algılama ve beklenmedik güvenlik olayı yanıtları sunmak için çeşitli güvenlik sistemlerinden gelen verileri ilişkilendiren bir çözümdür.
• Uç Nokta Algılama ve Yanıtlama (EDR): Anormallikleri tespit etmek ve otomatik olarak yanıtlamak için tüm şirket uç nokta cihazlarını eşler ve izler.

Katmanlı güvenlik

APT güvenlik önlemlerine ek olarak beklenmedik bir güvenlik olayı olasılığını azaltmak için katmanlı bir güvenlik stratejisi de uygulayabilirsiniz. Ağ segmentasyonu gerçekleştirebilir, konum depolamasını güvenli hâle getirebilir, en az ayrıcalıklı erişim uygulayabilir, tüm şirket hesapları için çok faktörlü kimlik doğrulamasını devreye alabilir veya güçlü bekleme ve taşıma sırasında şifreleme standartlarını kullanabilirsiniz. Ek olarak ağ, sistem ve uygulama yazılımlarını düzenli olarak yamalamak, bilinen güvenlik açıklarının azaltılmasına yardımcı olur.

Eğitim

APT'ler ve diğer beklenmedik siber güvenlik olayları için en yaygın nüfuz noktalarından biri şirket çalışanlarıyla iletişimdir. Gruplar genellikle kimlik avı dolandırıcılığı veya güvenliği ihlal edilmiş bir bağlantıya tıklaması için bir çalışanı kandırarak sosyal manipülasyon gibi yollarla kuruluş içindeki bireyleri hedef alır. Yapay zeka alanındaki ilerlemelerle birlikte gelişmiş taklit teknikleri yaygınlaşıyor.

Kuruluşunuzdaki sosyal mühendislik tehditleriyle mücadele etmek için düzenli güvenlik farkındalığı programları yürütebilirsiniz. Çalışanlarınız bir APT'nin ilk işaretlerini tanıyabilmeli ve olayları güvenlik ekibinize bildirebilmelidir.

AWS, kuruluşları gelişmiş kalıcı tehditlerden korumaya yardımcı olmak için tasarlanmış hizmetler sunar. AWS Security Hub; birleşik görünürlük, eyleme geçirilebilir öngörüler ve otomatik iş akışları aracılığıyla bulut güvenliğini dönüştürür.

Amazon GuardDuty, bulut için tamamen ölçeklenebilir, yönetilen tehdit algılama özelliği sunar. Amazon GuardDuty, iş kesintilerini en aza indirmeye yardımcı olmak için otomatik analiz ve özel düzeltme önerileri ile tehditleri hızla tanımlar, ilişkilendirir ve yanıtlar. Amazon GuardDuty, AWS hesaplarınızı, iş yüklerinizi ve verilerinizi korumaya yardımcı olmak için akıllı tehdit algılama özelliği sunar.

Amazon Inspector; Amazon Elastic Compute Cloud (Amazon EC2) bulut sunucuları, container görüntüleri ve AWS Lambda işlevlerinin yanı sıra kod depoları gibi iş yüklerini otomatik olarak keşfeder ve bunları yazılım güvenlik açıklarına ve istenmeyen ağ güvenliği tehditlerine karşı tarar.

Amazon Macie; makine öğrenimini ve örüntü eşleştirmeyi kullanarak hassas verileri keşfeder, veri güvenliği risklerine ilişkin görünürlük sağlar ve bu risklere karşı otomatik koruma sunar.

AWS Güvenlik Olayı Yanıtı; güvenlik olaylarıyla ilgili hazırlık, yanıt ve kurtarma faaliyetlerine olanak tanır. Güvenlik Olayı Yanıtı hizmeti; izlemeyi ve denetlemeyi otomatikleştirir, iletişimi ve koordinasyonu hızlandırır ve AWS Müşteri Olay Yanıtı Ekibine (CIRT) 7/24 doğrudan erişim sunar.

Hemen ücretsiz bir hesap oluşturarak AWS'de kuruluşunuzu APT'lere karşı korumaya başlayın.