Gelişmiş Sürekli Tehdit (APT) nedir?

Gelişmiş sürekli tehdit (APT), genellikle bir grup becerikli bilgisayar korsanı tarafından hazırlanan ve uzun bir süre boyunca devam eden sofistike ve sistematik bir siber saldırı programıdır. Bilgisayar korsanı grubu veya APT, saldırıyı sabotajdan ticari casusluğa kadar değişebilen belirli bir amaçla tasarlar.

APT’ler, fikri mülkiyet unsurlarını çalmaktan kişisel finans bilgilerini toplamaya kadar farklı amaçlarla, mevcut güvenlik önlemlerinizi aşmak ve olabildiğince çok zarara yol açmak için tasarlanır. Kararlı ve deneyimli bir suçlu (veya daha yüksek ihtimalle bir suçlu grubu), istediklerini almak için pek çok giriş noktasından faydalanabilir ve aylarca, hatta yıllarca tespit edilemeyebilir.

APT saldırıları, zaman içerisinde gerçekleşir ve genelde aşağıdaki gibi bir dizi adımı takip eder:

1. Saldırı aktörü, ağa sızar. Bu, bir kimlik avı e-postası, kötü amaçlı ek veya uygulama güvenlik açığı aracılığıyla olabilir ve genellikle ağın bir yerine kötü amaçlı yazılımın kurulmasını içerir.
2. Kötü amaçlı yazılım güvenlik açıklarını arar veya ek talimatlar veya kodlar için harici komuta ve kontrol (CnC) sunucularıyla iletişim kurar.
3. Belli bir giriş noktasının veya güvenlik açığının kapatılması veya güçlendirilmesi durumunda saldırının devam edebilmesi için kötü amaçlı yazılım genellikle ek güvenlik açıkları yaratır.
4. Siber suçlular, ağa başarılı bir şekilde erişebildiklerini tespit ettiklerinde, işe koyulur. Hesap isimlerini ve şifreleri toplayabilir, gizli bilgileri çalabilir veya verileri silebilirler.
5. Kötü amaçlı yazılım, verileri toplamak için bir basamak sunucusundan faydalanır. Ardından bu veriler, tehdit aktörü tarafından harici bir sunucuya aktarılır. Bu noktada, güvenliği tamamen ihlal edilmiştir ancak tehdit aktörü geri gelip aynı süreci tekrar tekrar yürütebilmek amacıyla izlerini gizlemek ve her türlü kanıtı ortadan kaldırmak için elinden gelen her şeyi yapacaktır.

Gelişmiş Sürekli Tehditler, genellikle çok büyük organizasyonlar veya ülkeler tarafından finanse edilir. Varlıklarının izi 1980’lere kadar sürülebilir; The Cuckoo's Egg örneğinde, Lawrence Berkeley Ulusal Laboratuvarının ağına sızan bir bilgisayar korsanını takıntılı bir şekilde takip eden bir sistem analistinin yaşadığı kedi-fare oyunu belgelenmiştir. Ardından, yıllarca süren bir av başlamış ve bilgisayar korsanı yakalanana kadar çok büyük boyutta hassas veriyi Sovyet KGB’sine satmayı başarmıştır.

Günümüzün APT’leri, aynı kedi-fare oyunu özelliklerini taşısa da çok sofistikte tekniklerden ve dikkatle koordine edilen çok sayıda bireyden faydalanmaktadır. Çin’den çıktığı iddia edilen bir Truva atı kampanyasıyla Adobe Systems, Juniper Networks ve Rackspace dahil olmak üzere yüksek profilli pek çok ağı hedef alan Hydraq tehdit ailesi, bu örneklerden biridir. Bankacılık, gaz ve petrol ve güvenlik gibi kritik sektörlerdeki diğer şirketler de hedef alınmış, ancak bu olaylar kamuoyuna açıklanmamıştır.

Maalesef, güvenlik duvarları, derinlemesine savunma ve antivirüs çözümleri gibi geleneksel güvenlik önlemleri, kurumları bir APT saldırısına karşı etkin şekilde koruyamamaktadır. Bunun için, tehdit yöntemleri ve olayları planlayan tehdit aktörleri hakkındaki en son bilgilerden faydalanarak olası saldırıları engelleyen gelişmiş sürekli tehdit algılama çözümleri gerekmektedir.

Forcepoint Advanced Malware Detection çözümü, APT saldırılarına karşı ilk savunma hattınızdır ve şubelerin en işgalci sıfır gün kötü amaçlı yazılımlarına karşı dahi korumak ve olay müdahale ekiplerine tehditlere olabildiğince hızlı ve kapsamlı şekilde tepki vermek için ihtiyaç duydukları araç ve bilgileri sağlamak için tasarlanmıştır.