Makale
Şirketler Gelişmiş Sürekli Tehditlere (APT) Karşı Hangi Önlemleri Almalı?
Kısa adı APT olan Advanced Persistent Threat yani Türkçe kullanımı ile Gelişmiş Sürekli Tehditler, küresel alanda tüm şirketler için büyük bir endişe unsuru haline gelmiş durumda. Söz konusu saldırılar, şirketlerin güvenlik bariyerlerini ve altyapılarını aşarak uzun süre boyunca bilişim sistemlerinde gizlenen tehditleri içeriyor.
APT, siber suçluların farklı saldırılar düzenleyerek veri çalmalarını veya veri kaynakları ile bilişim altyapılarını yok etmelerini esas alıyor.
Yakın geçmişte yapılan araştırmalar, APT saldırılarının gruplar halinde toplandığı ve belli ölçeklerde saldırılar düzenlemek için yöntem ve araçlar paylaştıklarını ortaya çıkardı. Rusya merkezli bir APT olan “Silence”ın, özellikle finansal kurumları hedef alarak küresel alandaki bankalardan milyonlarca dolar çaldığı belirtildi.
APT tehdidi sadece büyük ölçekli şirketleri etkilemiyor. APT gruplarının ağlara sızmak için kullandığı otomasyon araçları ve botnet’ler şirket büyüklüğü, sanayi çeşidi veya şirket değeri üzerinden ayrıştırma yapmıyor.
Kısaca, hassas savunması bulunan her ağ, APT saldırısına maruz kalabilir. Bu yüzden tüm şirketlerin APT tehdidini anlaması ve bu tehdide karşı önlem alması kritik önem taşıyor.
APT sızıntısına işaret eden sinyaller
APT sızıntıları şirketlerin ağlarında aylarca, hatta yıllarca bulunabilir ve şirketler büyük bir sorun yaşamadıkları takdirde bunu anlamayabilir. Bu sebeple, IT (bilişim teknolojileri) uzmanlarının APT saldırısına işaret eden ipuçlarını çok iyi tespit edebilmesi gerekir.
Birkaç önemli iz şu şekilde sıralanabilir:
Sisteme gereğinden fazla giriş yapılması: APT, ağlara giriş yapabilmek için genelde ele geçirilen giriş bilgilerini kullanır. Bu girişler milyonlarca şifre kombinasyonu deneyen “brute force” yazılımları, e-postalardaki sahte bağlantılar ile veri çalan phishing yani oltalama saldırıları veya kimlik, kredi kartı gibi kaynaklardan çalınan verilerle yapılabilir.
Dikkat!
Özellikle iş dışındaki saatlerde yapılan şüpheli sisteme girişler, APT sinyali olabilir.
Kötü amaçlı yazılım tespiti: ATP’ler siber saldırılar düzenlemek için çok çeşitli kötü amaçlı yazılımlar kullanır. Eğer anti-virüs yazılımları sürekli kötü amaçlı yazılım tespit edip siliyorsa, bu APT’nin düzenli olarak IT ağına virüs bulaştırmaya çalıştığı anlamına gelebilir.
İşlemci gücünün çok fazla kullanılması: APT bağlantılı saldırılar, eyleme geçebilmek için sızdıkları sistemlerin işlemci gücünü kullanmak zorundadır. Aktif haldeki kötü amaçlı yazılımlar işlemci gücü ile bellek tüketir.
Siber suçlular ele geçirdikleri verileri şirketin sunucularında saklayarak depolama alanı tüketeceği gibi verileri yüklü miktarda dışarı çıkartabilir, bu da veri çıkış trafiğinin artmasına neden olur.
Sıkılaştırılmış denetim şart
Yukarıda verilen APT izlerini tespit etmek kolay değil. Bu yüzden IT ekipleri gerekli güvenlik altyapısını kurarak sürekli denetim uygulamalı.
Söz konusu denetimler şu şekilde sıralanabilir;
Sisteme giriş analizleri: Sisteme girişler ağdaki faaliyetlerin, eylemlerin neler olduğunu ve cihazlar, sistemler, uygulamalar ile yapılan işlemlerin anlaşılmasını sağlar. Ancak düz metin formatındaki giriş kayıtlarını incelemek oldukça zahmetli bir iştir. Bu yüzden gelişmiş algoritmalara dayanan yazılımlar ile tüm IT bileşenlerindeki girişleri incelemek gereklidir.
Sisteme giriş kayıtlarını yöneten ve analizler sunan XpoLog, tüm IT parçalarına üzerinde tarama yapan yazılımlara örnek verilebilir. Yapay zeka (AI) sayesinde, tüm girişler etiketlenir, kayıtla bağlantılı işlemler analiz edilir ve güvenlik şüphesi doğuran tüm hesap girişleri not edilir.
Tarama esnasında incelenen bilgiler arasında geniş bant kullanımı, sisteme girişlerin zamanları, ağ trafiğinin coğrafi yayılımı gibi bilgiler bulunur. Tüm bu veriler, grafiklere dökülerek çok daha sağlıklı bir analiz yapılmasını sağlar. Veriler ışığında, APT saldırısına işaret eden bulgular IT ekibine gönderilir.
Sızıntı ve Atak simülasyonları: Sızıntı ve Atak Simülasyonları (BAS- Breach and Attack Simulatin) platformları, gerçek bir saldırıyı taklit ederek mevcut güvenlik altyapısının istendiği gibi performans gösterip göstermediğini test eder.
Penetrasyon testlerine alternatif sunan BAS, sunduğu simülasyon çeşitliliği ve performans bakımından daha geniş bir tablo sunar.
BAS platformlarına örnek verilebilecek Cymulate, IT altyapısının maruz kalabileceği birçok saldırıya karşı analiz yapılmasını sağlar. Ağ geçitlerini ve güvenlik duvarlarını sınayabilir, sahte kötü amaçlı yazılım kullanarak anti-virüs yazılımlarının performansını ölçebilir. Dahası, sahte oltalama saldırıları düzenleyerek şirket çalışanlarından kimlerin bu tür tuzaklara düşmeye daha yatkın olduğunu anlamanızı sağlar.
APT saldırıları, şirketlerin güvenlik duvarları ve anti-virüs yazılımlarını aşabilir. BAS platformları sayesinde böyle bir durumda yaşanabilecekler gerçekçi bir şekilde değerlendirilebilir.
Savunma bariyerleri güçlendirilmeli
Denetim ile tehditlerin erken fark edilmesi güvenlik sınırlarını korumak adına büyük önem taşır. Şirketler, geniş çaplı güvenlik alanı oluşturmak için güvenlik çalışmalarını entegre etmelidir. Peki ama nasıl?
Dikkatin artırılması: Sistem kayıtlarının düzenli kontrolü ile belli aralıklarda gerçekleştirilecek BAS simülasyonları IT ekiplerinin APT tehditlerini anında fark edip önlem almalarını sağlar.
Kurumsal seviyede güvenlik kurulması: Kurumlar, ihtiyaçları olan güvenlik çözümlerine adapte olmalıdır. APT’lerin kullandığı kötü amaçlı yazılımların polimorfik (çok biçimli) kodları, bedava ve ucuz anti-virüs yazılımlarının bariyerlerini kolaylıkla aşar.
Sistemlerin ve uygulamaların güncel tutulması: APT’ler kullandıkları birçok yöntemde cihaz ve sistemlerin açıklarından yararlanır. Geliştiriciler düzenli olarak yamalar sunarak güvenlik açıklarının kapatılmasını amaçlar.
Şirketler, güvenlik yamalarını en kısa zamanda uygulanıp güvenlik sisteminin güncellendiğinden emin olmalıdır.
Eğitim: APT’lerin ağlara sızmasını sağlayan bir önemli faktör, insan hatasıdır. Şirket çalışanları oltalama ve fidye yazılım saldırısı gibi sosyal mühendislik saldırıları karşısında bilinçli olmalıdır. Aynı zamanda kırılması zor şifrelerin kullanılması şart kılınmalıdır.
Güvenlik bir yatırım demektir
Şirketler, günümüzün dijital çağındaki iş faaliyetlerinde güvenliğin önemli bir yatırım olduğunu fark etmelidir. APT’ler şirketlerin altından kalkamayacağı zararlar verebilir. Saldırılara anında ve gerekli müdahalenin yapılmaması operasyon faaliyetlerini yavaşlatır, müşteri kaybına neden olur, itibar ve prestij sarsılır.
IBM raporuna göre ABD’de firmaların maruz kaldığı APT’lerin ortalama zararı 3,92 milyon dolar.
Bu yüzden her şirket için büyük bir güvenlik faciası yaşamadan gerekli önlemleri almak şart. Zira güvenliğin geliştirilmesi için kaynak aktarımının düzenlenmesi gerekir.
