Gelişmiş Sürekli Tehdit

Vikipedi, özgür ansiklopedi
Gezinti kısmına atla Arama kısmına atla

Gelişmiş Sürekli Tehdit (GST), bir kişi veya grubun bir ağa yetkisiz erişim sağladığı ve uzun bir süre boyunca algılanamadığı bilgisayar ağı saldırısıdır. Bu tür saldırılar genel olarak ticari veya politik amaç güden devlet sponsorluğu ile yapılan saldırılar olmasına rağmen, son birkaç yıl içerisinde devlet sponsorluğunda olmayan belirli hedeflere yönelik geniş çaplı GST saldırıları da yaşanmıştır [1]

GST süreçleri, uzun bir süre boyunca yüksek derecede gizlilik gerektirir. "Gelişmiş" süreç, sistemdeki güvenlik açıklarından yararlanan ve kötü amaçlı yazılım kullanan karmaşık teknikler, "Sürekli" süreç, harici bir komut ve kontrol sisteminin sürekli olarak belirli bir hedeften veri izleyip çıkardığı ve "Tehdit" süreci, insan faktörünün bu saldırılara eşlik ettiği anlamına gelir.[2]

Gelişmiş Sürekli Tehdit, genel olarak belirli bir rakibi hem kalıcı, hem de etkili bir şekilde hedefleme kabiliyeti ve niyeti olan bir grubu ifade eder. GST Terimi, siber tehditlere özellikle de hassas bilgilere erişmek için çeşitli istihbarat toplama teknikleri kullanan İnternet destekli casusluklara atıfta bulunmak için kullanılmasına rağmen geleneksel casusluk veya saldırı gibi diğer tehditler için de kullanılır. Diğer tanınmış saldırı vektörleri arasında medya saldırıları, tedarik zinciri saldırıları ve toplumsal algıya yönelik saldırılar da sayılabilir. Bu saldırıların amacı, belirli bir amaç için bir veya birden fazla bilgisayara zararlı yazılımlarla sızmak ve mümkün olan en uzun süre boyunca tespit edilmeden kalmaktır. Dosya adları gibi saldırı izleri, profesyonellerin etkilenen tüm sistemleri tespit etmesine ve sistem genelinde bir arama yapmasına yardımcı olabilir.[3]

Bireysel saldırganlar, genellikle belirli bir hedefe erişim sağlamaya niyetli olsalar bile, hem gelişmiş hem de kalıcı olacak kaynaklara nadiren sahip olduklarından, bireylerin yaptıkları saldırılar genel olarak GST olarak adlandırılmazlar.

Tarihçe ve hedefler[değiştir | kaynağı değiştir]

"Gelişmiş sürekli tehdit" terimi, 2006'da Albay Greg Rattray tarafından [4] ABD Hava Kuvvetleri'nde ortaya çıkmıştır.[5] Ancak, GST terimi, yıllar önce telekomünikasyon taşıyıcılarında da kullanılmıştır.

İran'ın nükleer programının bilgisayar donanımını hedef alan Stuxnet bilgisayar kurdu GST'ye örnek olarak gösterilebilir ve İran hükümeti de Stuxnet yaratıcılarını gelişmiş sürekli tehdit olarak tanımlamıştır.

Bilgisayar güvenliği topluluğu içinde ve medyada giderek artan bir şekilde GST terimi, neredeyse her zaman hükümetlere, şirketlere ve siyasi aktivistlere yönelik uzun vadeli gelişmiş bilgisayar saldırısı olarak kullanılmıştır [6] Artan siber saldırılardan dolayı, terim anlamını azda olsa bilgisayar korsanlığına kaydırmıştır. PC World, 2010'dan 2011'e kadar gelişmiş bilgisayar saldırılarının yüzde 81 oranında arttığını yayımlamıştır.[7]

Birçok ülke, siber alanı, bireyler ve ilgili bireysel gruplar hakkında istihbarat toplamak için bir araç olarak kullanmıştır.[8][9][10]. Çok sayıda kaynak, bazı GST gruplarının, Egemen Devletlerin Hükümetleri'ne bağlı olduğunu veya acenteleri olduklarını iddia eder.[11][12][13] Çok sayıda kişisel olarak tanımlanabilir bilgi içeren işletmeler, aşağıdakiler de dahil olmak üzere, gelişmiş sürekli tehditler tarafından hedef alınma riski altındadır:[11]

  • Yüksek öğretim [14]
  • Finansal Kurumlar

Bell Kanada çalışması, GST'lerin anatomisini araştırmış ve Kanada hükümetinin kritik altyapılarında olan GST'ler hakkında derinlemesine bir araştırma da yapmıştır.[15]

Özellikleri[değiştir | kaynağı değiştir]

Bodmer, Kilger, Carpenter ve Jones aşağıdaki GST kriterlerini tanımlamıştır:[16]

  • Hedefler   - Tehdidin son hedefi, düşmanınız
  • Zaman Aralığı   - Sisteminizi incelemek ve erişmek için harcanan zaman
  • Kaynaklar   - Etkinlikte kullanılan bilgi ve araçların düzeyi
  • Risk toleransı   - Tespit edilmeden tehdidin ne kadar gideceği
  • Beceriler ve yöntemler   - Etkinlik boyunca kullanılan araç ve teknikler
  • Eylemler   - Tehdidin kesin eylemleri
  • Saldırı başlangıç noktaları   - Etkinliğin kaynaklandığı noktaların sayısı
  • Saldırıya karışan noktalar   - Etkinliğe kaç iç ve dış sistemin dahil olduğu ve kaç kişinin sisteminin farklı etki / önem ağırlıklarına sahip olduğu
  • Bilgi kaynağı   - Çevrimiçi bilgi toplama yoluyla belirli tehditlerin herhangi biri ile ilgili bir bilgiyi ayırt etme yeteneği

Yaşam döngüsü[değiştir | kaynağı değiştir]

Yaşam döngüsünü gösteren şema, tamamlandıktan sonra kendini tekrar eden ileri süren kalıcı bir tehdidin (APT) yaklaşımını sahneledi.

Gelişmiş sürekli tehditlerin arkasındaki aktörler, sürekli bir süreç ya da öldürme zincirini izleyerek kuruluşların finansal varlıkları, fikri mülkiyetleri ve itibarları [17] için artan ve değişen bir risk oluşturur:

  1. Tekil bir hedef için belirli kuruluşları hedefleme
  2. Çevrede bir yer edinme girişimi (ortak taktikler, oltalama saldırısı e-postaları içerir)
  3. Tehdit altındaki sistemleri hedef ağa erişim olarak kullanma
  4. Saldırı hedefini gerçekleştirmeye yardımcı olan ek araçlar kullanma
  5. Gelecekteki inisiyatiflere erişimi korumak için izleri örtme

GST'lerin küresel oluşumlarına ve tanımlarına bakıldığında, belirli bir olayın veya olay dizisinin arkasındaki aktörler GST olarak adlandırılır. Ancak, GST'in tanımı gereği aktörleriyle beraber yöntemlerini içermesidir [18]

2013 yılında Mandiant, 2004 ve 2013 yılları arasında Çinden geldiği ileri sürülen saldırıların GST metodolojisine benzer olduğunu gösterdi:

  • İlk Çözülme   - Sosyal mühendislik ve e-posta yoluyla oltalama saldırıları, zero-day virüsler kullanılarak gerçekleştirilmiştir. Diğer bir popüler zararlı yazılım bulaştırma yöntemi, çalışanların ziyaret edebileceği bir web sitesine kötü amaçlı yazılım yerleştirmek.
  • Kurulum   - Mağdurun ağına uzaktan yönetim yazılımı yerleştirmek, arka kapı oluşturmak ve altyapısına gizli erişim sağlamak için tüneller oluşturmak.
  • Ayrıcalıkların Yükseltilmesi   - Mağdurun bilgisayarı üzerinde yönetici ayrıcalıkları elde etmek için yazılım zaafiyetlerini ve şifre kırma işlemlerini kullanmak ve olası Windows domain yöneticisi hesaplarına genişletmek.
  • Bilgi Toplama   - Çevreleyen altyapı, güven ilişkileri, Windows domain yapısı hakkında bilgi toplamak.
  • Yayılma   - Diğer iş istasyonlarına, sunuculara ve altyapı elemanlarına kontrolü genişletmek ve üzerlerinde veri toplama yapmak.
  • Varlığını koruma   - Önceki adımlarda edinilen erişim kanalları ve kimlik bilgileri üzerinde sürekli kontrol sağlamak.
  • Görevi Tamamlama   - Kurbanın ağından çalınan verileri dışarı çıkarmak.

Mandiant tarafından analiz edilen olaylarda, saldırganların kurbanın ağını kontrol ettiği ortalama süre bir yıldı ve en uzunu neredeyse beş yıldı.[19] Sızıntıların , Şangay merkezli Halk Kurtuluş Ordusu 61398 Birimi tarafından yapıldığı iddia edildi. Çinli yetkililer bu saldırıları yaptıklarını reddetti.[20]

Secdev'in önceki raporları da daha önce Çinli aktörlerin bu saldırılardan sorumlu olduklarını iddia etti.[21]

Terminoloji[değiştir | kaynağı değiştir]

Bir GST'nin ne olduğu tanımları değişkenlik gösterebilir, ancak aşağıda belirtilen tanımlar ile özetlenebilir:[22][23][24]

  • Gelişmiş   - Tehdidin arkasındaki operatörler, tam bir istihbarat toplama kapasitesine sahiptir. Bunlar, bilgisayar saldırı teknolojilerini ve tekniklerini içerebilir, fakat aynı zamanda telefon durdurma teknolojileri ve uydu görüntüleme gibi geleneksel istihbarat toplama tekniklerini de kapsayabilir. Saldırının tek bir bileşeni "gelişmiş" olarak sınıflandırılmasa da (örneğin, yaygın olarak kullanılan kötü amaçlı yazılım yapım kitlerinden veya kötü amaçlı yazılımlardan yararlanan materyallerin kullanımıyla oluşturulan kötü amaçlı yazılım bileşenleri) gerektiği takdirde daha gelişmiş araçlarda geliştirilebilir. Hedeflerine ulaşmak, açığa çıkarmak ve erişimlerini sürdürmek için sıklıkla çoklu hedefleme yöntemlerini, araçlarını ve tekniklerini birleştirirler. Operatörler ayrıca, kendilerini daha az gelişmiş saldırılardan ayırt edebilen güvenlik önlemlerine de odaklayabilir.
  • Sürekli   - Operatörler, finansal veya diğer kazançlar için fırsatçı olarak bilgi aramaktansa, belirli bir göreve öncelik verir. Bu ayrım, saldırganların dış varlıklar tarafından yönlendirildiği anlamına gelir. Belirlenen hedeflere ulaşmak için sürekli izleme ve etkileşim yoluyla gerçekleştirilir. "Gizli ve yavaş" yaklaşımı genellikle daha başarılıdır. Operatörlerin amaçlarından biri, yalnızca belirli bir görevi gerçekleştirmek için erişime ihtiyaç duyan tehditlerin aksine, hedefe uzun vadeli erişimi sağlamaktır.
  • Tehdit   - GST saldırıları, akılsız ve otomatik kod parçalarından ziyade, koordine edilmiş insan eylemleriyle gerçekleştirilir. Operatörler belirli bir hedefe sahiptir. Yetenekli, motive ve organizedir ve iyi bir şekilde finanse edilmektedir. Aktörlerin devlet destekli gruplarla sınırlı olmadığını unutmayın.

Önleme stratejileri[değiştir | kaynağı değiştir]

Günümüzde milyonlarca kötü amaçlı yazılımın olması, kurumların GST'ye karşı önlem almalarını oldukça zorlaştırmaktadır. Ancak, GST ile ilişkili ağ trafiği ve komut-kontrol trafiği, ağ katmanı düzeyindeki gelişmiş yöntemlerle algılanabilir. Örneğin, derin log analizleri ve çeşitli kaynaklardan gelen log korelasyonları GST aktivitelerini tespit etmede sınırlı bir fayda sağlayabilir. Ancak, bu yöntemlerinde hata payı oldukça yüksektir.

Özetle, günümüzdeki güvenlik teknolojileri GST saldırılarını tespit etmede veya önlemede etkisiz kalmıştır. Bunun yerine, Aktif Siber Savunma, yani rakip takip faaliyetleri, siber tehdit istihbaratlarının GST'lerin tespitinde ve takibinde (bul, düzelt, bitir) daha etkin bir yol olarak benimsenmiştir.

Ayrıca bakınız[değiştir | kaynağı değiştir]

Kaynakça[değiştir | kaynağı değiştir]

  1. ^ https://www.cybereason.com/blog/advanced-persistent-threat-apt
  2. ^ https://www.academia.edu/6309905/Advanced_Persistent_Threat_-_APT
  3. ^ https://www.maliciousfilehunter.com/feature-live-search.php
  4. ^ https://www.sans.edu/student-files/projects/JWP-Binde-McRee-OConnor.pdf
  5. ^ https://web.archive.org/web/20140415054512/http://blogs.forrester.com/rick_holland/13-02-14-introducing_forresters_cyber_threat_intelligence_research
  6. ^ https://www.secureworks.com/blog/advanced-persistent-threats-apt-a
  7. ^ http://www.pcworld.com/printable/article/id,254730/printable.html
  8. ^ http://www.businessweek.com/magazine/content/08_16/b4080032220668.htm
  9. ^ https://web.archive.org/web/20110418080952/http://www.businessweek.com/magazine/content/08_16/b4080032218430.htm
  10. ^ http://www.spiegel.de/international/world/0,1518,672742,00.html
  11. ^ a b https://www.bloomberg.com/businessweek/technology/content/jul2009/tc2009076_873512.htm
  12. ^ tominfosec.blogspot.com/2010/02/understanding-apt.html
  13. ^ http://www.usenix.org/event/lisa09/tech/slides/daly.pdf
  14. ^ http://www.educause.edu/ero/article/top-ten-it-issues-2011
  15. ^ http://publications.gc.ca/site/archivee-archived.html?url=http://publications.gc.ca/collections/collection_2016/rddc-drdc/D68-3-007-2013-eng.pdf
  16. ^ https://en.wikipedia.org/wiki/Reverse_Deception:_Organized_Cyber_Threat_Counter-Exploitation
  17. ^ https://www.secureworks.com/resources/wp-outmaneuvering-advanced-and-evasive-malware-threats
  18. ^ https://emagcomsecurity.wordpress.com/2015/04/09/apt-advanced-persistent-threat-group/
  19. ^ intelreport.mandiant.com
  20. ^ https://www.reuters.com/article/2013/02/20/us-china-hacking-idUSBRE91I06120130220
  21. ^ http://www.nartv.org/mirror/ghostnet.pdf
  22. ^ https://web.archive.org/web/20110406182451/http://www.commandfive.com/apt.html
  23. ^ https://archive.is/20120724104653/http://www.commandfive.com/threats.html
  24. ^ https://www.damballa.com/knowledge/advanced-persistent-threats.php

Daha fazla bilgi için[değiştir | kaynağı değiştir]