14 Ağustos 2016

Advanced Persistent Threats – APT

advanced persistent threats

Advanced Persistent Threats

Advanced Persistent Threats (APT) ler bir siber saldırı türü olup genellikle ülkeler arasında vuku bulur ve bilgi sızdırmak veya büyük ölçekli hasarlara sebep olmak amacı ile kullanılırlar. Klasik siber saldırıların aksine tehdit edilen hedef bellidir ve saldırı planlaması çok önceden planlanmış olabilir. Çok sinsice ve sabırlı bir şekilde hedef noktaya ulaşıp planlanmış aksiyonları gerçekleştirene kadar kendisini sistem içerisinde gizlemeyi amaç edinir. Bu gizlenme süresi yıllar bazen on yıllar alabilir.

 

Hedefinde kimler vardır?

Böylesine strateji yüklü bir saldırı hazırlığı sürecinin hedefinde elektrik, doğalgaz, su ve tüm ulaşım hizmetleri (havayolu, tren) gibi genellikle ülkeler için hayati öneme sahip kritik altyapıları yer almaktadır. Bu saldırılarda hedef mümkün olduğu kadar çok geniş spektrumda etki yaratmak olduğundan hangi kritik sistemin tercih edileceği birazda ülkeden ülkeye değişmektedir. Bu saldırıların tek sebebi hayati felç etmek değildir; ülkelerin milli projeleri, kritik görüşmeler ve istihbarat çalışmalarının ele geçirilmesi de hedef dahilindeki konulardır.

Bu atak nasıl gerçekleşir?

APT atakları sadece hedefindeki sistem için üretilmiş bir bilgisayar solucanı şeklinde ortaya çıkabilir. Tek hedef için hazırlanmış olan bu virüs klasik anti-virüslerce tespit edilememesi çok normaldir. Bu atak tipinde birazda hedef sistemde kullanılan yazılımlar ve otomasyon programları çok önemlidir. Zira siber saldırganların hedefi öncelikle karşı sistemde kullanılan otomasyon ve yazılımların açıklıklarının tespit edilerek, bu açıklıklara uygun özel solucan ve virüslerin hazırlanmasıdır. Bu işlem tamamlandığında hedef sisteme sızma stratejisi belirlenir, bu bazen bir usb veya pdf eklentili e-posta olabilir. İçeriye girdikten sonraki tüm süreçler zaten önceden planlanır, sistemdeki otomasyon veya işletim sistemleri ele geçirilerek en can alıcı nokta dumura uğratılır. Bir APT atağın mükemmelliği sistemde hiçbir iz bırakmadan amaca ulaşıp oradan gizlice sıvışmaktır.

En popüler APT atağı hangisidir?

Amerika ve İsrail’in İran’ın uranyum zenginleştirme faaliyetlerini durdurmak ve sekteye uğratmak amacı ile nükleer tesiste kullanılan Siemens e ait SCADA sisteminin açıklığından faydalanılarak 2010 yılında ortaya çıkarılan siber saldırı şu an için en popüler siber saldırıdır. Bunun yanında 2013 yılında Çin tarafından Amerika’nın F-35 uçaklarına ait 50 Terabaytlık çok önemli bilgilerinin sızdırılması da benzer popüler ataklardandır.

Peki ne yapmalı?

  • APT atakların hedefinde kritik altyapılar, kamu kurumları ve iş dünyasının kalbi niteliğindeki yerler alabilir. Bu sebeple yapılacak ilk şey kurumsal bir bilgi güvenliği yönetim sistemi metodolojisi belirlenerek risk analizi çalışmalarının başlatılması gerekmektedir.
  • Kurum bünyesinde tüm ağ sistemleri izlenmeli ve dışarından içeriye gelen ve içerden dışarıya giden tüm ağ trafiği gözden geçirilmelidir.
  • APT ataklarında anti-virüs sistemleri pek etkili olmayacaktır. Bu sebeple içeri girmiş bir saldırganın dışarı ile iletişime geçmesini engellemek gerekir. Dışarıdaki yabancı IP adresleri ile bağlantıya geçen tüm istekler dikkate alınmalıdır.
  • APT ataklarının en çok kullandığı yöntemler göz önünde bulundurularak güvenlik duvarı, e-mail güvenliği, DLP cihazı, anti-virüs sistemi, ağ izleme ve log sisteminden oluşan etkin bir savunma mekanizması oluşturulmalıdır.
  • Tüm bunlar ancak koordine olmuş ve Siber olaylara Müdahale (SOME) tecrübesine sahip ekiplerce yapılabilir. Bu ekiplerin kurulması ve donatılması için eksikler tamamlanmalıdır.