Gelişmiş Kalıcı Tehditlere Yönelik 5 Uyarı İşareti ve Gelişmiş Kalıcı Tehditleri Önleme

Siber saldırılar giderek yaygınlaşmaktadır. Saldırılar büyük ve küçük ölçekli olmasına bakmaksızın tüm şirketlerin başına gelmekte ve korsanlar sık sık hassas veya özel bilgileri sızdırmaktadır. ABD'de 22 milyonu aşkın kaydın ifşa edildiği 2018 yılında tahmini olarak 668 veri ihlali gerçekleşmiştir. (kaynak: Statista). Veri ihlalleri şirketler, tedarikçiler ve müşteriler için ciddi riskler teşkil etmektedir; fakat sanal dünyayı ele geçirmekte olan daha da büyük bir tehdit söz konusudur: gelişmiş kalıcı tehdit veya APT. APT'nin ne olduğunu, uyarı işaretlerini ve şirketinizi ve verilerini nasıl koruyabileceğinizi açıklayacağız.

Gelişmiş Kalıcı Tehdit (APT) Nedir?

APT, son derece hassas bilgileri bulup bunlardan yararlanmak için kullanılan uzun süreli bir saldırıdır. Korsan, bilgisayar ağınıza girip içeride hareketleri, önemli kullanıcıları ve verileri izleyerek uzun zaman geçirir. Korsanlar, algılanmamak için büyük çaba gösterir ve bu amaçla gelişmiş araçlar kullanabilir.

Bu saldırılar rastgele yapılmaz. Korsanlar, mağdurları dikkatle araştırır ve hedef alır. Bu mağdurlar arasında genellikle ordu planları, finansal veriler veya patentler gibi en gizli verilerle çalışan büyük kuruluşlar ve hatta devletler yer alır.

Korsanların saldırı başlatabileceği ve gelişmiş ya da kalıcı olmayan hedefleme yöntemleri kullanabileceği unutulmamalıdır. Bazı korsanlar, taktiklerinin algılanamıyor oluşunun çabalarını gizleyebileceğini ve kalıcı saldırılar başlatma gereksinimini azaltabileceğini umarak gizliliği korumak adına kalıcılıktan ödün verir. Diğerleri ise saldırının başlangıç aşamasında gelişmiş, özelleştirilmiş araçlar kullanmak yerine yönetim araçlarını istismar eder. Saldırıların gerçekleştirilme yönteminin sürekli olarak değişmesi; test edilmiş, güvenilir güvenlik yazılımları kullanmanın öneminin altını çizmektedir.

APT’ye Yönelik 5 Uyarı İşareti

Bu saldırılar oldukça gelişmiş ve algılaması zor olabilir. Özellikle de siber suçluların takip edilememe niteliğini korumak için bu kadar çaba gösterdiği düşünüldüğünde şirketinizin APT mağduru olup olmadığını nasıl anlayabilirsiniz? Bir dizi uyarı işareti, sizi APT’ye maruz kaldığınız konusunda uyarabilir. Bununla birlikte, uzman bir siber güvenlik sağlayıcıyla birlikte çalışılması ve gizli saldırıların algılanıp ortadan kaldırılması için amaca uygun şekilde geliştirilmiş APT’den koruma araçlarının kullanılması kritik önem taşır. Yaygın olarak karşılaşılan uyarı işaretleri aşağıdakileri içerir:

1) Hedefli Hedef Odaklı Kimlik Avı E-postaları

Korsanlar bir giriş kapısına ihtiyaç duyar ve genellikle giriş noktası olarak e-postaları kullanır. Korsanlar, saldırıdan önce gerçekleştirdikleri arama aşamasına dayanan, hedefledikleri çalışanların ilgisini çekmesi olası konuları seçerler. Bu mesajlar, virüslü bir ek veya sisteminize erişim sağlayan bir program indiren bir bağlantı içerebilir.

Bunlara, hedefli nitelikte olduğu için hedef odaklı kimlik avı dolandırıcılığı adı verilir. Bu, ayrım gözetmeksizin dağıtılan, kişiselleştirilmiş nitelikte olmayan ve çok sayıda kişiyi kişisel bilgi veya veri paylaşması için kandırmayı deneyen tipik kimlik avı dolandırıcılığından farklıdır. Hedef odaklı kimlik avı, belirli şirketlerdeki belirli kişileri hedef alır ve hedef odaklı kimlik avcıları daha güvenilir görünmek ve mesajlarının inandırıcılığını artırmak için hedeflerinin kişisel bilgilerini kullanır. Bilinmeyen kişilerin işletmelerin üst düzey yöneticilerine gönderdiği ek içeren tüm e-postalar büyük bir tehlike işaretidir. Çalışanların kimlik avının tehlikeleri ve ekleri açma ve istenmeyen mesajlardaki bağlantılara tıklama ile ilişkili risklerin bilincinde olması hayati önem taşır.

2) Olağan Dışı Oturum Açma İşlemleri

Ağınızda açılan oturumları takip edin ve değerlendirin. Çalışma saatlerinden sonra çok sayıda oturum açma işlemi yapılıyorsa veya başka olağan dışı oturum açma şablonları varsa bu durumdan şüphelenilmesi gerekir. Bu, özellikle de oturum açma işlemlerinin ağınızdaki üst düzey erişime sahip yönetici rollerindeki kişilere ait olması durumunda geçerlidir. Siber suçlular dünyanın diğer ucundaki yabancı bir ülkede olabilir ve bu, olağan dışı zamanlamayı açıklayabilir. Siber suçlular ayrıca, ofisinizde şüpheli etkinliği yakalayabilecek veya durdurabilecek az sayıda kişinin olduğunu veya kimsenin olmadığını bildiği zamanlarda çalışmayı dener.

3) Yaygın Arka Kapı Trojanları

Korsanlar, bilgisayarlara erişimi korumak için genellikle arka kapı Trojanları dağıtır. Bunlar, korsanların ele geçirilen ağlardaki bilgisayarlara uzaktan bağlanmasına ve komut gönderip almasına olanak tanıyan yazılım programlarıdır. Arka kapının açık bırakılmasına benzer ve bu nedenle, oturum açma kimlik bilgileri değişse dahi her zaman bir giriş yolu mevcuttur.

4) Bilgilerin Taşınması

Korsanlar, sisteminize bir amaçla girer: belirli bilgileri ele geçirmek. Toplu bilgi taşıma işlemlerine dikkat edin. Dosyalar yer değiştirmiş veya sunucular arasında veri taşıma işlemi gerçekleştirilmiş olabilir. Aynı dahili ağlardaki bilgisayarlar arasında ve harici bilgisayarlara veri taşıma işlemi yapılıp yapılmadığına dikkat edin. Harici kaynaklara yönelik bağlantılar da dahil olmak üzere, olağan dışı bağlantılara dikkat edin.

5) Kümelenmiş ve Dışa Aktarmaya Hazır Veriler

Olmaması gereken bir konumda bulunan büyük dosyalar olup olmadığını belirleyin. Korsanlar genellikle verileri sisteminizden dışa aktarmadan önce tek bir konumda gruplandırır ve sıkıştırır. Bu işlem, bir defada büyük miktarlarda veri taşımasını kolaylaştırır. Korsanların, veri paketlerini dışa aktarmaya hazırlandığının bir başka işareti de sıkıştırılmış verilerin şirketinizin normalde kullanmadığı bir arşiv biçiminde görünmesidir. Paketlenmiş verilerin dosya uzantılarına özellikle dikkat edin.

APT'yi Önlemeye Yönelik İpuçları

Gelişmiş APT’ler söz konusu olduğunda, şirketiniz bunları engellemek için gerekli önlemleri alabilir. APT’lere karşı korunmak için bu dört ipucundan faydalanın.

Tüm Çalışanlara Kimlik Avı Dolandırıcılıkları Konusunda Eğitim Verin

Birçok APT, sisteminize erişim kazanan dolandırıcılık amaçlı bir e-posta ile başlar. Çalışanlara nelere dikkat etmesi, ne yapması ve kime bildirimde bulunması gerektiğini öğreten bir eğitim programının dağıtımını gerçekleştirin. Saldırıyı başlamadan önce durdurmak, riskleri azaltmanın en iyi yoludur.

Tüm Güvenlik Yamalarının Yüklendiğinden Emin Olun

APT korsanları, sisteminizdeki herhangi bir açıktan yararlanmak için fırsat kollar; bu nedenle tüm siber güvenlik programlarına yönelik güncellemelerin uygulanması son derece önemlidir. Güncellemeleri ve yamaları uygulamaz veya geciktirirseniz şirketinizi saldırılara karşı savunmasız bırakabilirsiniz.

En Hassas Verilerinizi Daha Sıkı Koruyun

En hassas bilgileriniz için ek güvenlik önlemleri alma fikrini değerlendirin. Böyle bir ihtiyaç yoksa personel hesaplarına otomatik olarak yönetici hakları atamayın. Kazara değişiklik yapılması olasılığını azaltmak için veri erişimini ve veri düzenleme yetkisini sınırlayın. En kârlı verilerinizi bulunması ve kopyalanması en zor veriler haline getirmek için gerekli adımları uygulayın.

Bir Siber Güvenlik Şirketiyle Çalışın

Şirketiniz hassas materyallerle mi çalışıyor? APT ile başa çıkma deneyimine sahip bir siber güvenlik şirketiyle çalışmanız gerekir. Bu tür bir şirket, mümkün olan en kapsamlı güvenliği sağlamak için gereksinimlerinize erişebilir, güvenlik önlemlerini uygulayabilir ve dijital ayak izinizi etkin bir şekilde izleyebilir.

APT’ler bir şirket için son derece yıkıcı olabilir. Şirketinizin risk altında olduğunu düşünüyorsanız bu riskleri azaltmanın en iyi yolu, deneyimli bir siber güvenlik şirketiyle çalışmaktır. Hem APT İstihbarat Raporlaması olanağını hem de tehditleri tanımlayıp durdurmak için ihtiyacınız olan desteği sunan bir şirket bulun.

İlgili makaleler ve bağlantılar:

• Gelişmiş Kalıcı Tehdit Nedir?
• Siber Güvenlik Nedir?
• Siber Suç: Riskler ve Önleme
• Çoğu Siber Suç Türünden Nasıl Kaçınılır?

İlgili ürünler:

• Kurumsal Güvenlik
• APT İstihbarat Raporlaması