Gelişmiş Kalıcı Tehdit Saldırıları | Çoğul görüş

2003 yılından bu yana Ekim ayı Siber Güvenlik Farkındalık ayı olarak hizmet vermektedir. Tanımlama, bireylerin çevrimiçi güvenliğini sağlamak için ABD İç Güvenlik Bakanlığı ile Ulusal Siber Güvenlik İttifakı arasında ortak bir çabaydı. Bu atama, artan sayıda İnternet kullanıcısının artan sayıda siber tehdit anlamına geldiğinin anlaşılmasından doğdu.

Bu atamanın onuruna, kuruluşunuza zarar verebilecek belirli bir tehdide farkındalık getirmek istedik: Gelişmiş Kalıcı Tehdit (APT) saldırıları. CIO’lar, iş liderleri ve öğrencilerin APT saldırılarının ne olduğunu ve APT saldırılarının nasıl çalıştığını bilmesi gerekir.

Öncelikle APT saldırılarının ne olduğuna bakalım.

Gelişmiş Kalıcı Tehdit saldırıları nelerdir?

APT, kötü amaçlı yazılım gibi, bir şekilde kişinin ortamına ilk giren ve zarar vermek için bir süre etrafta kalan (yani Kalıcı) bir tehdit türüdür. İçeri girdikten sonra, uzaktaki saldırgan, hassas verileri sızdırmak (yani Gelişmiş) gibi ortamı araştırmak ve ardından ortamı tehlikeye atmak için tehdit kodunu manipüle eder.

Virüsten koruma yazılımı yüklemek, APT saldırılarına karşı yeterli koruma sağlamaz. APT saldırıları tehdidine karşı koymak, süreçlerin ve araçların bir kombinasyonunu gerektirir.

APT saldırıları nasıl çalışır?

APT’nin ayırt edici özelliği, kalıcılığı ve içeride bir kez gizli kalmasıdır.

APT için tek bir model olmadığı için, bir örnek vereceğim: RAM Scraper saldırısı ile Hedef Veri İhlali. Bu olay biraz eski ama APT saldırısının tüm bileşenlerine sahip. Saldırgan, bu saldırıda 3 haftalık bir süre boyunca Satış Noktası (POS) cihazlarından yaklaşık 40 milyon kredi kartı verisi çaldı.

Bu bir APT saldırısıydı, çünkü saldırgan, güvenliği ihlal edilmiş bir satıcı aracılığıyla Target’in ortamına erişim elde ettiğinde, tehdit araştırıldı ve ardından POS sistemlerine, yani “Gelişmiş” kısma ulaştı. Bildirildiğine göre, “RAM kazıyıcı” olarak adlandırılan bir kötü amaçlı yazılım aracılığıyla kredi kartı verilerini çalmak için yaklaşık üç hafta (Kalıcı) kaldı. Çoğu durumda, örneğin Hedef örneğinde olduğu gibi, saldırının üç ana aşaması vardır: 1. Sızma, 2. Uzun süreli gizli etkinlik, 3. Sızma. Bu saldırıların bu aşamalardan herhangi birinde durdurulabileceğini hatırlamak da önemlidir.

Sızma Aşaması

İlk sızmayı önlemek için güçlü erişim kontrolü gerekir. Target’ın durumunda, saldırgan, Target’in satıcı portalına giriş kimlik bilgilerini çalarak geçerli bir satıcının kimliğine büründü. Belki de çok faktörlü kimlik doğrulama bunu azaltabilirdi. Ancak bir saldırganın ilk dayanak noktası elde etmesinin sayısız yolu vardır. Bu nedenle, kuruluşların ağları, uygulamaları ve uç nokta güvenliği ile ilgili en iyi uygulamaları uygulaması gerekir.

Uzun süreli gizli aktivite Aşaması

İçeri girdikten sonra, APT genellikle çevrede araştırma, kötü amaçlı yazılım yükleme vb. gibi gizli faaliyetler yürütür. Kuruluşların anormal faaliyetleri ve davranışları tespit etmek ve durdurmak için süreçlere ve araçlara ihtiyacı vardır. Anormallikleri algılamak, “normal” veya temel faaliyetleri bilmekle başlar. Temeli elde ettikten sonra, tehdidi algılamak ve yanıtlamak için IDS (İzinsiz Giriş Tespit Sistemi), DAM (Veritabanı Etkinliği İzleme), Dosya Bütünlüğü İzleme (FIM) ve Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümleri gibi araçları kullanın.

Ayrıca, APT’nin “Gelişmiş” bölümünde, saldırgan hedefin ortamına uzaktan erişecektir. Bu nedenle, şirketler güvenlik duvarı ve IDS aracılığıyla ortamlarına gelen ağ trafiğini izleme konusunda dikkatli olmalıdır. Ancak, bu uzaktan erişim, güvenliği ihlal edilmiş uç noktalar ve kötü amaçlı yazılımlar kullanılarak şirket içinde başlatılabilir, bu nedenle hem gelen hem de giden bağlantıların izlenmesi gereklidir.

Sömürü Aşaması

Son olarak, APT genellikle gizli veya hassas verilerin çalınması gibi zararlarla sonuçlanır. Veri ihlali riskini azaltmak için verinin ne ve nerede olduğu bilinmelidir. Neyi koruyacağınızı öğrendikten sonra, sızıntıyı önlemek için DLP (Veri Kaybını Önleme) ve Uç Nokta Güvenliği gibi araçları kullanın.

APT’den kaynaklanan riskleri azaltmak, anormallikleri tespit etmek ve bunlara yanıt vermek için önce ortamınızı (yani temel çizginizi) anlamayı gerektirir. Bunun için planlama (örn. hassas verilerin belirlenmesi, kaynakların yalıtılması, temel değerlerin toplanması vb.), eğitim (örn. olay müdahale tatbikatları) ve sürekli izleme gerekir. Ayrıca, en iyi güvenlik uygulamalarının (örn. derinlemesine savunma, görevlerin ayrılması, en az ayrıcalık, vb.) uygulanmasını gerektirir. APT saldırılarından kaynaklanan riskleri azaltmak aynı zamanda paraya, insana ve zamana yatırım gerektirir.

Kuruluşların önleme için dikkate alması gereken en iyi uygulamalar

Tehdit hedef ortama sızamazsa, APT başlangıçta durdurulabilir. Güvenlik kontrol araçlarına ve en iyi uygulamalara örnekler:

  1. Kaynakların tehdide maruz kalmasını azaltmak için ağ ve ana bilgisayar güçlendirme

  2. Açıkta kalan hizmetlere yönelik güvenlik zayıflıklarını azaltmak için güvenlik açığı yönetimi

  3. İstenmeyen trafiğin gelmesini önlemek için ağ ve uygulama düzeyinde güvenlik duvarları

  4. Kimliğe bürünme ve kimlik sahtekarlığını önlemek için güçlü erişim denetimi

  5. Güvenliği ihlal edilmiş son kullanıcı cihazlarının saldırganın giriş noktası olmasını önlemek için uç nokta güvenliği

Tehdit hedefe sızarsa, o zaman APT aktivitesini tespit edebilmek gerekir. APT gizli kalmaya çalışacaktır, ancak sonunda amaç güvenlikten taviz vermektir. Bu gizli ama anormal davranışı tespit etmek ve yanıt vermek, önlemenin anahtarıdır. Güvenlik kontrol araçlarına ve en iyi uygulamalara örnekler:

  1. Anormal davranışları tespit etmek için ağ ve ana bilgisayar tabanlı saldırı önleme sistemi

  2. Kritik dosyalarla ilgili erişimi ve kurcalamayı algılamak için Dosya Bütünlüğü İzleme (FIN)

  3. Olağandışı veritabanı sorgularını ve etkinliklerini algılamak için Veritabanı Etkinliği İzleme (DAM)

  4. Temelden sapan eğilimleri tespit etmek için günlükleri neredeyse gerçek zamanlı olarak toplamak, ilişkilendirmek ve analiz etmek için Güvenlik Bilgileri ve Olay Yönetimi (SIEM)

  5. Uç noktadan kötü amaçlı etkinlikleri algılamak ve bunlara yanıt vermek için Uç Nokta Algılama ve Yanıt (EDR)

Son olarak, azaltma çabaları APT’nin çevreye girmesini ve çevreyi gözetlemesini engelleyemediyse, hasar riskini azaltmak istersiniz. Genel olarak bir tehdit, sistemlerinizin gizliliğini, bütünlüğünü ve kullanılabilirliğini (CIA) tehlikeye atmaya çalışır. APT’nin önde gelen örnekleri, hassas verilerin çalınmasına (örn. Hedef Veri İhlali, Panama Belgeleri Veri İhlali) ve sistem ve verilerle oynanmasına (örn. Stuxnet) sahiptir. Bu durumda güvenlik kontrol araçlarına ve en iyi uygulamalara örnekler:

  1. Hassas verilerin ağdan veya son kullanıcı cihazlarından çıkmasını önlemek için Endpoint Security ile Veri Kaybını Önleme (DLP)

  2. Çalınmış olsalar bile verilerin kullanışlılığını azaltmak için güçlü veri şifreleme

  3. Verileri saldırgana “dağıtıldıktan” sonra erişimi, kullanımı ve izlemeyi kontrol etmek için Veri Hakları Yönetimi (DRM) çözümleri

Bir kuruluş zaten bir APT saldırısından muzdaripse, tehdidi çevresinden ortadan kaldırmalıdır. Öyleyse, Hedef veri ihlali gibi bir şeyle nasıl mücadele edileceğine bakalım.

Bir APT saldırısıyla nasıl mücadele edilir

İlk olarak, milyonlarca verinin ihlal edildiğini dehşet içinde keşfedersiniz. Bu tepkiyi başlatacak.

İkincisi, artık ne kaybettiğinizi bildiğinize göre sızıntıyı durdurmanız gerekiyor. Bunu, sızıntıya neden olabilecek sistemi izole ederek ve DLP ve EDR’niz için katı kurallar koyarak yaparsınız. Hiçbir sızıntı olup olmadığını dikkatle izleyin.

Artık APT’nin sizin haberiniz olmadan ortamınızda gerçekleştirmiş olabileceği tüm bileşenleri ve değişiklikleri bulmak için adli tıp çalışmalarına başlayabilirsiniz. Target’in durumunda, APT’nin POS sistemlerine kötü amaçlı yazılım yüklediği, dosya paylaşımları oluşturduğu, verileri periyodik olarak İnternet’e sızdıran komut dosyaları yerleştirdiği bildiriliyor. APT faaliyetlerinin ne kadar kapsamlı olduğuna bağlı olarak, adli tıp çalışmaları çok büyük olabilir.

Sisteminizin normal şekilde çalıştığından emin olduğunuzda, bunun tekrar olmasını önlemek için güvenlik kontrollerini devreye sokun.

Terumi Laskowsky, Siber Güvenlik Eğitmeni

Bir Pluralsight Şirketi olan DevelopIntelligence

Home New

DI ile öğretime ek olarak, Terumi Hawaii’de bir BT güvenlik danışmanıdır ve ABD ve Japonya’daki küresel şirketlerle çalışmaktadır. Uzmanlığı bulut güvenliği, uygulama güvenliği ve etik korsanlığı içerir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.