APT (Advanced Persistent Threat) qrupları- Əsasən dövlət qurumları, müəssisələr, təşkilatlar kimi konkret hədəflərə qarşı davamlı kiberhücumlar həyata keçirən, kibertəhdid qruplarıdır. Adətən müxtəlif mənbələrdən maliyyələşdirilən bu qruplar casusluq, məlumat oğurluğu və ya təxribatlarla məşğul olurlar. Onlar öz məqsədlərinə çatmaqda əzmkarlıqları, yüksək bacarıq səviyyəsi və əhəmiyyətli resursları ilə xarakterizə olunur ki, bu da onlara şəbəkələrə sızmaq və uzun müddət aşkar edilmədən kompüter sistemləri daxilində qalmaq üçün geniş çeşidli üsullardan istifadə etməyə imkan verir.
APT qrupları sistemlərdə aşkarlanmamaq üçün qabaqcıl zərərli proqramlardan istifadə edirlər. Bu qruplar hədəflərinin resurslarına sızıb, vacib məlumatları əldə etmək üçün bir sıra mərhələlərdən keçirlər. Gəlin onlara nəzər yetirək:
Hədəf sistemə ilkin giriş- Qrup hədəf sistemə giriş əldə etmək üçün fişinq e-poçtları, proqram istismarı və ya sosial mühəndislik də daxil olmaqla müxtəlif üsullardan istifadə edir.
Sistemdə davamlı qalmaq- İlkin giriş əldə edildikdən sonra qrup sistemdə möhkəmlənməyə çalışır. Bu, adətən sistem üzərində daimi giriş və nəzarət əldə etməsinə imkan verən zərərli kodun yüklənməsini və icrasını əhatə edir.
Sistemdə aşkarlanmamaq- Qrupun ələ keçirilmiş sistemdə aşkarlanmadan qalmağa çalışdığı mərhələdir. Belə ki, qabaqcıl yayınma üsullarından istifadə edərək və təhlükəsizlik tədbirlərinə uyğunlaşaraq, uzun müddət ərzində öz zərərli fəaliyyətlərini həyata keçirməyə imkan verən davamlılığını qorumağa çalışırlar.
İmtiyazların artırılması - Qrup daha sonra sistem daxilində daha yüksək səviyyəli giriş əldə etmək üçün imtiyazları artırmağa çalışır. Bu proses sistemin yanlış konfiqurasiya olunması, zəif şifrlərin istifadəsi və ya daxili sistemlərdəki boşluqlar nəticəsində baş verir.
İnfrastrukturdaxili kəşfiyyat- Qrup əldə etdiyi imtiyazlarla hədəf şəbəkə haqqında məlumat toplamaq və həssas məlumatları müəyyən etmək üçün infrastrukturdaxili kəşfiyyat həyata keçirir. Kəşfiyyat zamanı məxfi faylların axtarışı, hədəf alınacaq digər sistemlərin müəyyən edilməsi və ya şəbəkə topologiyasının xəritələşdirilməsi həyata keçirilir.
Şəbəkədaxili hərəkət- Qrup ələ keçirdiyi cihazlar vasitəsi ilə digər sistemlərə daxil olmaq üçün şəbəkə daxilində hərəkət edir. Bu, onlara daha çox sistemə nəzarət etməyə və kritik serverlər kimi yüksək əhəmiyyətli resursları ələ keçirməyə imkan verir.
Hücumun tamamlanması- Hücumun nəticəsinə uyğun olaraq məlumatların oğurlanması, əməliyyatların dayandırılması, fidyə proqramlarının yayılması və ya gələcək girişlər üçün backdoor-ların quraşdırılması kimi hadisələr baş verir.
Qeyd edək ki, bu cür qruplar kiber mühitin potensial təhdid ünsürləridir. Buna görədə kibertəhlükəsizlik baxımından bir sıra qaydalara əməl etmək mühüm əhəmiyyət kəsb edir:
- Proqram təminatları və sistemləri mütəmadi olaraq təhlükəsizlik yeniləmələri ilə təchiz etmək;
- Sistemlərə icazəsiz girişin qarşısını almaq üçün mürəkkəb autentifikasiya metodlarından istifadə etmək;
- Zərərli fəaliyyətlərdən qorunmaq üçün şəbəkə seqmentasiyası həyata keçirmək;
- Sosial mühəndislik metodları ilə bağlı mütəmadi maarifləndirmə tədbirləri həyata keçirmək;
- Təchizatçıların xidmət və məhsullarının təhlükəsizliyinə diqqət yetirmək;
- Sistemdəki boşluqları aşkar etmək üçün nüfuzetmə testləri (penetration test) tətbiq etmək;
- Hücum vektorlarını aşkar etmək və təhlükəsizliyi təmin etmək üçün son nöqtə təhlükəsizlik (endpoint security) həllərindən istifadə etmək;
- Şəbəkəyə daxil və xaric olan məlumatların yoxlanılması üçün təhlükəsizlik divarlarından (firewall) yararlanmaq