2014'de Veda Ederken

"Tarih tekerrürden ibarettir" sözünün doğruluğu tartışılabilir ancak önümüzü görebilmek ardımızda kalanlardan öğrenebileceklerimizin olduğunu inkar edemeyiz.

Bazı alanlarda 2014 yılında yaşanan en önemli güvenlik ihlallerini kısaca toparladım, sıralamaları az önemliden, daha önemliye doğru yaptım. 

En çok kayıt çalınan 5 olay

5- Michaels Stores: Resim ve hobi malzemesi satan mağazalar zinciri 2.6 milyon müşterisine ait kimlik ve kredi kartı bilgilerinin çalındığını açıkladı.

4- Community Health Systems: Amerikalı hasten işletme devi 4.5 milyon hastasına ait kişisel bilgilerinin çalındığını duyurdu.

3- Home Depot: Amerikalı yapı marketin 53 milyon müşterisinin eposta adresleri çalındı. Bu bilgi geniş çaplı hedefli bir oltalama saldırısı kampanyası yürütmek için uygun bir zemin oluşturacaktır.

2- JP Morgan Chase Bankası: 7 milyonu kurumsal olmak üzere, 76 milyon müşterisine ait hassas bilgiler çalındı. Bankanın aynı zamanda büyük bir yatırım şirketi olması nedeniyle çalınan bilgilerin kredi kartı bilgilerinden fazlasını içerdiği tahmin edilmektedir.

1- Ebay: Mayıs ayında online alışveriş sitesinin 145 milyon kullanıcısının eposta adresi ve şifreli parolaları çalındı.

En çok ses getiren 5 olay

5- Sony: Kuzey Kore tarafından düzenlendiği düşünülen olayda SONY’nin ağ ve sistemlerinden yüklü miktarda veri çalındı. Obama bu işi “siber savaş” olarak adlandırmak yerine “siber Vandalizm” demeyi tercih etmiştir.

4- iCloud: Ünlülerle gereğinden fazla “samimi” olduğumuz malum olay. Çıkarılacak çok ders var. Web arayüzü üzerinden yapılan kontrollerin API ile entegrasyon sağladığımız noktalarda da yapılması gerektiği, basit parola kullanmamamız gerektiği, bu tür olayların zararlı yazılım dağıtımı için kullanıldığı ve en önemlisi: İnternet’te görmek istemediğimiz fotoğrafları çekmemekte fayda olduğunu.

3- BadUSB: USB belleklerin çeşitli yazılımlarla güvenlik çözümlerini atlatabilen, veri sızdırmak, sistemleri ele geçirmek için kullanılabilen tehlikeli hale getirilebileceğini gördük.

2- JP Morgan Chase: http://www.alperbasaran.com/2014/08/bosa-giden-250-milyon-dolar.html adresindeki yazımda ele aldığım olayın sebebinin, yapılan araştırmalar sonucunda, 2 aşamalı kimlik doğrulama sistemine (2 factor authentication) geçirilmemiş olan bir sunucudan kaynaklandığı görüşü ağırlık kazanmıştır.

1- Satır ve Regin: http://www.alperbasaran.com/2014/12/irann-stuxnete-cevab.html adresindeki yazımda “Satır operasyonundan söz ettim”. Regin zararlısının ise Belçikalı Telekom operatörü Belgacom’un ağına sızmak ve aylarca (yıllar demek mümkündür) fark edilmemeyi sağladığını gördük. BU olaylar bize dikkate almamız gereken gelişmiş saldırganların sadece Batı’dan değil, Doğu’dan da çıkabildiğini ve bize saldırıların müttefiklerimiz olabileceğini (Belgacom olayının ardında İngiliz istihbarat örgütünün olduğu düşünülmektedir) gördük.

En kritik 5 güvenlik zafiyeti

Bu başlık içime sinmedi. Bence saldırganın sistemden veri okumasına ve silmesine izin veren bütün açıklar kritiktir ama bu sene logosu bile olan bir zafiyetimiz olduğu için en yaygın olarak görülenleri derledim.

5- Heartbleed: Logosu olan çok zafiyet girmiyor hayatımıza. Kısaca bu zafiyetin bulunduğu şifreleme algoritması kullanıcı adı, parola, e-posta, anlık ileti gibi şifreli olması gereken iletişimin okunmasına imkan veriyor.

4- Shellshock: Bash (Bourne-Again Shell) üzerinde bulunan bir dizi zafiyettir. Bu zafiyeti istismar eden saldırganlar internete açık olan ve internet üzerinden gelen talepleri işlemek için bu kabuğu kullanan sistemlerde komut çalıştırabilmektedir.

3- Poodle: Ağ trafiğini üzerine alabilen (Man-in-the-Middle) saldırganların paketleri daha az güvenli olan SSL 3.0 sürümünü kullanmaya mecbur bırakabildiği bu zafiyetle geçen trafiğin okunması mümkün olmaktadır.

2- Winshock: Savunma olarak bir adım önde olduğumuz, en azından önde olduğumuzu düşündüğümüz ender durumlardan biri. Saldırganların hedef sistem üzerinde komut çalıştırmasına imkan veren bu kritik zafiyet (CVE-2014-6321) Microsoft tarafından yayınlanan bir güncelleme sonucunda duyuldu. Bu durumda çözümü gayet basit olan bir zafiyet; güncellemeleri yapılması.

1- Yapmayı unuttuğunuz basit güncellemeler: Ağınız üzerindeki sistemler ve bu sistemler üzerinde çalışan yazılımlar için yayınlanan bütün güncellemelerin yapılması çok önemlidir. NTP (Network Time Protocol) üzerinde geçtiğimiz hafta ortaya çıkan zafiyet de dahil olmak üzere, kritik zafiyetlerin önemli bir kısmı Heartbleed gibi logoya ve medya ilgisini mazhar olmaz. Bu nedenle sistemlerimizin güncellemelerinin zamanında yapılması çok önemlidir.

2015 yılının güvenli geçmesi dileğiyle.

GSM Şebekesi Dinlemek

NSA’in dünyanın pek çok ülkesinde cep telefonlarını dinlemek için yürüttüğü “Auroragold Harekatının” gün ışığına çıkmasının şokunu daha yeni atlatırken, Almanya’da bilgi güvenliği alanında faaliyet gösteren bir araştırmacı, dünya genelinde isteyenin telefonları dinleyip SMSleri okumasına imkan sağlayabilen bir zafiyet açıkladı.

Auroragold Harekatı (Operation Auroragold)

NSA’yin Libya’ya askeri müdahalenin yapıldığı 2011 yılında harekat öncesi askeri unsurlara gerekli istihbaratı sağlamak için Libya’nın GSM şebekelerini hacklediği ortaya çıktı. Libya’da yürütülen bu operasyon aslında NSA’yin dünya genelinde GSM şebekelerine erişim sağlayan daha geniş bir harekatın parçası olduğu Edward Snowden tarafından yayınlanan belgelerde görülmektedir.

GSM operatörleri tarafından görüşmelerin gizliliğini sağlamak için kullanılan şifreleme yöntemlerinin de bu operasyon kapsamında NSA tarafından “sabote” edilerek zayıflatıldığı dikkat çekiyor. Yayınlanan belgelerde NSA’yin dünya genelindeki GSM şebekelerinin %70’i (tahmini 985 şebekeden 701 tanesi) hakkında detaylı teknik bilgi topladığı görülmektedir. Toplanan bilgiler daha sonra NSA’yin “sinyal geliştirme” olarak adlandırılan birimine aktarılıp şebeke dinlemeleri için gerekli “çalışmaların” yapılması sağlanmıştır.

Bir NSA sözcüsü bu konuda; “ulusal çıkarları korumak amacıyla ve uluslararası istihbarat gereksinimleri çerçevesinde sinyal işleme operasyonlarının yapıldığı” yönünde bir açıklama yaparak sürecin varlığını teyit etmiştir.

NSA’yin GSM şebekelerinde yaygın olarak kullanılan şifreleme protokolü A5/1’i kırmayı başardığı, yeni ve daha gelişmiş bir şifreleme yöntemi olan A5/3’ü kırmak yerine “Auroragold” operasyonu kapsamında kendi açısından tamamen şefaf hale getirecek yöntemler üzerinde yoğunlaşmıştır.

Yayınlanan gizli belgelerin içinde aşağıdaki dikkat çekicidir;

Görüldüğü üzere Eylül 2009’da NSA A5/3 şifreleme yöntemine saldıracak bir donanımı test etmiştir.

2010 yılına ait aşağıdaki belgede ise NSA mühendislerinin ve analistlerinin 4G şebekesi üzerindeki iletişimi ele geçirebildikleri duyurulmaktadır. (meraklısına: bu belgenin gizliliğinin kaldırılması için belirlenmiş tarih 2032'dir)

 SS7 zafiyeti

NSA tarafından önemli kaynaklar kullanılarak yürütülen bu operasyonlara gerek duymadan da bir saldırganın telefon görüşmelerini dinleyip SMS’leri okuyabilmesi mümkün olabilir.

Gelişmiş GSM şebekeleri de dahil olmak üzere pek çok Telekom altyapısında bulunan SS7 (Signal System 7) sistemi görüşmeleri ve SMSleri yönlendirmek için kullanılmaktadır. 1980’li yıllarda geliştiren SS7 sistemlerinin güvenlik açısından ciddi zafiyetler içerdiği Ağustos ayında Washington Post gazetesinde yayınlanan bir makalede zaten ortaya çıkmıştı. Yazıda SS7 sistemindeki bir zafiyeti istismar eden saldırganların dünyanın herhangi bir yerindeki cep telefonlarının yerini tespit edebildikleri açıklanmıştı.

3G ve 4G şebekelerinin güçlü şifreleme yöntemlerine rağmen şebekelerin altyapısında kullanılan SS7 sistemleri saldırganlara önemli fırsatlar sunmaktadır.

Söz konusu zafiyetin detayları henüz açıklamayan araştırmacılar bu konuda Ocak ayında Almanya’da yapılacak bir konferansta konuşacaklarını belirtiyorlar.

Amerika Sivil Özgürlükleri Birliği (American Civil Liberties Union – ACLU) tarafından bu kunda yapılan bir açıklamada; NSA bünyesinde 4G ve A5/3 gibi gelişmiş teknolojileri araştıran birimlerin olduğu gibi SS7 benzeri daha temel, görece eski ve basit teknolojileri istismar etmek için yöntemler araştıran birimler olabileceğine dikkat çekiliyor.

Ne yapmalı?

Görüldüğü gibi kiminle ne konuştuğumuzu merak edenler sadece istihbarat örgütleriyle sınırlı değil. GSM şebekesinin gittikçe IP tabanlı hale gelerek telefon dünyasından ziyade internet dünyasına kayması hackerların da iştahını kabartmıştır. Yeri gelmişken, bunu kendimizi kandırmayı bırakmak için de bir fırsat olarak görüp elimizdeki cihazların “akıllı telefon” değil, “cep bilgisayarı” olduğunu kabul etmemiz de yerinde olacaktır. Cihazlar bilgisayardır ve bilgisayarlar için geçerli olan bazı güvenlik tedbirleri alınmalıdır. Cihaz güvenliği konusunda bazı ipuçlarını http://www.alperbasaran.com/2014/09/akll-telefon-guvenligi.html adresinden ulaşabileceğiniz yazımda derlemiştim.

Bu yazının genel fikrine daha uygun olarak, kullanıcı ve veri gizliliği için aşağıdaki önerilerde bulunabilirim;

• Konum bilgisini kullanmanız gerekmiyorsa kapatın.
• Yüklediğiniz uygulamaların talep ettiği izinleri düşünün. Basit bir oyunun ve el feneri uygulamasının çağrı yönetimine, mesajlara veya rehbere ulaşması gerekli mi?
• Eposta ile gelenlere dikkat edin: Dediğim gibi, elinizdeki bir bilgisayar ve eposta yoluyla virüs geliyor
• Şifreleme yazılımı kullanın: Telefondaki bilgileri şifreleyen yazılımları kullanabilirsiniz.
• İletişimi şifreleyin: Dikkatli olun, bu tehlikeli olabilir. Görüşmelerinizi ek bir şifreleme katmanından geçirmeniz gerekiyorsa unun için kullanacağınız uygulamanın güvenilir olması çok önemlidir.
• Eski usullere dönün: Öyle ya, bir arkadaşınızla özel bir konu konuşacaksanız bunu yüz yüze yapın. Bahaneyle görüşüp bir de kahve içersiniz.

Kurumsal Sosyal Medya Hesabı Güvenliği

Sosyal medya işlerimizi tanıtmak için kullandığımız önemli bir iletişim aracıdır. Saldırganlar ise kurumsal itibarımıza zarar vermek, müşterilerimize yönelik sosyal mühendislik saldırılarında veya sırf kendi isimlerini duyurup reklam yapmak için bu hesaplarımızı hedef almaktadırlar. Sosyal medya hesaplarımızda yaşanacak bir güvenlik ihlali kurumsal itibarımızı zedeleyecek sonuçlar doğurabilir. 

Bugün bir GSM operatörünün sosyal medya hesabına karşı düzenlenen saldırı üzerine sosyal medya hesaplarınızın güvenliğine yönelik bir kaç öneri paylaşmak istiyorum.

Kurumsal sosyal medya hesaplarının da en nihayetinde bireysel kullanıcıların elinde olduğunu düşünürsek sadece teknik önlemler almak yeterli olmayacaktır. Bu hesapları yöneten personelin de dikkatli olması gerekir.

Politikalarınızı belirleyin

Kurumsal sosyal medya hesaplarına kimlerin erişebileceği, nasıl paylaşımlarda bulunacağı açıkça belli olmalıdır. Kurumsal sosyal medya hesabı kullanım politikası aşağıdaki başlıkları düzenlemelidir:

• Paylaşılmaması gereken bilgileri belirler
• Sorumlu personelin olumsuz davranışlarının sonuçlarını belirler
• Şirketinize soruların soruları yanıtlayacak kişiyi belirler
• Sosyal medya “tonunu” belli eder (sen mi diyeceğiz? Siz mi? Vb.)
• Şirket kültürüne uygundur
• İlgili personele yol gösterir niteliktedir
• Şirket çalışanlarının kişisel hesaplarında şirket ismini/logosunu kullanabilmesini ve işleri hakkında görüş bildirme özgürlüğü (veya yasağı) gibi konular da bu politika dahilinde belirlenebilir.

Resim 1: Burger King Twitter hesabı ele geçirilip rakipleri McDonald's logosu eklenmişti

Sahipleri belirleyin

Kurumsal sosyal medya ağlarının kim veya kimler tarafından yönetileceğinin net bir şekilde belirlenmesi çok önemlidir. Kullanıcı bilgileri mümkün olduğunca üçüncü taraflarla paylaşılmamalı, paylaşılması gerekiyorsa (halkla ilişkiler firması, vb) bunun çok sıkı bir şekilde denetlendiğinden emin olun.

Resim 2: Ele geçirilen hesaptan atılan tweetlere bir örnek

Kullanıcılarınızı eğitin

Sosyal medya hesaplarıyla ilgilenecek personelin sosyal medya üzerinden gelebilecek tehlikelere karşı eğitilmesi önemlidir. Sosyal mühendislik saldırılarına karşı ekstra tedbirli olmaları gerekir. Bu saldırılar DM (direkt mesaj) yoluyla yapılabileceği gibi, herkese açık şekilde “@sirketinizin_kullanıcı_adı bu iddia doğru mu?” veya “@sirketinizin_kullanıcı_adı sizi çok seviyorum!” gibi merak uyandıracak bir mesajın devamında kısaltılmış bir URL (t.co, bit.ly veya goo.gl gibi bir hizmet kullanılarak adresin tamamını yazmak yerine, gerçek adresi saklayacak kısaltılmış bir adres) ile yapıldığını görüyoruz.

Sürekli izleyin

Hesaplarınızı gerçek zamanlı ve sürekli olarak izleyin. İzinsiz veya politikaların izin verdiğinin dışında yapılacak paylaşımlardan ne kadar hızlı haberdar olursanız o kadar kısa sürede müdahale edebilirsiniz.

Resim 3: Ele geçirilen hesaptan verilmeye çalışılan sosyal içerikli mesajlara örnek

Maksimum güvenlikle kullanın

Bir çok önemli sosyal medya platformu SMS ile tek kullanımlık şifre gönderimi (2 factor authentication) gibi ek güvenlik özellikleri sunmaktadır. Bunlar mutlaka kullanılmalıdır.

Uygulamalara dikkat edin

Sosyal medya hesabınıza yükleyebileceğiniz üçüncü taraf uygulamaların (doğum günü hatırlatıcısı, oyun, vb.) birer saldırı vektörü olabileceğini unutmayın. Kurumsal hesaplara gerekmedikçe uygulama yüklenmemesinde fayda vardır.

Resim 4: Ele geçirilen hesaptan aşalamaya yönelik atılan tweetlere bir örnek

Güvenli ağlardan giriş yapın

Kurumsal sosyal medya hesabına ortak kablosuz ağ veya bilmediğiniz/güvenmediğiniz ağlar üzerinden giriş yapmayın. Bu tür durumlarda güvenli olduğunu bildiğiniz bir ağa VPN tünel (SSL veya IPsec) oluşturup onun üzerinden bağlanın.  

Parola

En kritik konulardan birisi de kırılması/tahmin edilmesi zor bir parola kullanılması, bunun düzenli aralıklarla değiştirilmesi ve bu parolanın dağıtımının kontrollü bir şekilde yapılmasıdır.

Farklı bir tarayıcı kullanın

Kişisel güvenliğiniz için bankacılık işlemlerinizi günlük olarak internette kullandığınızdan farklı bir tarayıcı kullanmanızda fayda vardır. Benzer şekilde kurumsal sosyal medya hesaplarına erişim için personelin günlük olarak kullandığından farklı bir tarayıcı kullanmasında fayda var. Saldırganlar bir tarayıcıyı kolayca ele geçirip üzerinde saklanan parolaları görebilirler. Bu tür bir saldırıya kurban gitmemek için sosyal mühendislik saldırılarına hedef olabilecek tarayıcıyı ayrı tutmak lazım.

Sosyal medya hesaplarının kullanıldığı bir şirkette saldırganların akıllarına gelen bütün saldırı vektörlerini kullanacaklarını göz önünde bulunduracak şekilde bir risk analizi ve testleri yapılmalıdır. 

APT Nedir?

APT İngilizcesi Advanced Persistent Threat olan ülkemizde ise “gelişmiş sürekli tehdit” veya “hedef odaklı saldırı” olarak iki farklı şekilde duyulabilen özel bir saldırı türüdür.

APT’yi özel bir saldırı türü olarak sınıflandırmamdaki neden oluşturduğu tehdidin diğerlerinden farklı olmasıdır. Bilgi güvenliği konusunda tehdit kelimesinin risk anlamından biraz daha farklı kullanılmasında fayda olacaktır. Bizim için tehdidi oluşturan bileşenler saldırganın motivasyonu (gerekçesi), beceri düzeyi ve olayların tarihçesidir. Elbette, geçmişte bir saldırı olması, tekrar saldırı olacağı veya hiç saldırı olmamış olması bir saldırı olmayacağı anlamına gelmez ancak bizlere tehlikenin boyutu hakkında önemli bilgiler verir.

Saldırganların motivasyonlarını anlamak için çeşitli saldırgan profilleri ve temel motivasyonlarına, yani saldırıyı gerçekleştirmedeki amaçlarına, bakarsak aşağıdaki durumu görürüz.

Siber suçlular: kolay ve çok para kazanma fırsatı

Hacktivist: İdeolojik bir amaca hizmet

Hacker grupları: Ünlü olma, adını duyurma

Egemen devletler: Ulusal güvenlik ve ulusal çıkarlar

Suç örgütleri: Belli şahısların becerilerini veya karşılarına çıkan fırsatları değerlendirip para kazanmak

Saldırganların motivasyon düzeyini değerlendirmek için amacı uğruna ne kadar süreyle çalışmayı göze aldığına bakmak lazım. İlk birkaç denemeden sonra daha kolay ele geçirebilecekleri bir hedef aramaya başlayacak siber suçlular, hacktivistler veya suç örgütlerinin aksine APT olarak adlandırabileceğimiz saldırıları gerçekleştirecek gruplar amaçlarına ulaşana kadar saldırmaya devam ederler.

Sürekli veya devamlı niteliklerinin yanında APTler saldırganların teknik kabiliyetleriyle de diğer suçlardan ayrılır. Cryptolocker gibi fidye talep eden bir yazılıma dayalı bir operasyon yürütmek için çok derin teknik bilgiye ihtiyaç yoktur. Bu yazılımı ve yazılımı kontrol edecek sistemler yasadışı kaynaklardan kiralanıp işletilebilir. 

Tehditleri saldırganların yeteneklerine göre sınıflandıracak olursak karşımıza şu kademeler çıkabilir;

Basit tehdit: “wifi hackleme” ve “facebook patlatma” seviyesinde 1-2 kaynak okumuş “meraklı”, metodoloji bilmeyen, başlangıç seviyesi olarak nitelendirebileceğimiz saldırganlardır.

Sürekli basit tehdit (basit tehdit beceri düzeyi + saldırgan motivasyonu)

Akıllı tehdit

Sürekli akıllı tehdit (Akıllı tehdit beceri düzeyi + saldırgan motivasyonu): Kevin Mitnick bu seviyeye iyi bir örnek oluşturmaktadır. İleri düzey teknik becerisi, hedef aldığı şirket veya kuruma sızmak için yürüttüğü sosyal mühendislik çalışmalarının tamamı Kevin’i “sürekli” bir tehdit haline getirmiştir.

İleri seviye tehdit

Sürekli ileri seviye tehdit (ileri seviye tehdit + saldırgan motivasyonu): Rusya’nın APT28 ve Çin’in APT1 grupları bunlara tipik örneklerdir.

APT olarak adlandırdığımız tehdit türü (sürekli ileri seviye tehdit) en gelişmiş teknik beceri ve en yüksek seviyede motivasyon gerektiren saldırılardır.

Basit tehdit sürekli olsa bile saldırganın teknik beceri düzeyinin düşük olması nedeniyle, gerekli tedbirlerin alınması koşuluyla, çok az durumda başarıya ulaşır. Akıllı tehditler ise teknik bilgi ve becerisi belli bir düzeyinin üzerinde olan saldırganlarca düzenlendiği için, özellikle sürekli olması halinde, ciddi bir tehdit oluşturmaktadır. İleri seviye tehditler, gerekli teknik beceri seviyesi itibariyle “Akıllı” olarak nitelendirdiğimiz tehdit grubundan çok da farklı değildir. 

Bir tehdidi ileri seviye olarak nitelendirmek için temelde 4 unsurun bulunması gerekir;

• Hedef ve saldırı ile ilgili stratejik düşünce
• Saldırılarda sistematik/askeri niteliklerde yaklaşım
• Kimlik gizleme becerisi
• Saldırganların kullanabileceği daha geniş bir saldırı vektörü havuzu 

APT olarak adlandırabileceğimiz saldırılarda kullanılan zararlı yazılımlar Stuxnet, Flame, Duqu veya Wiper ile sınırlı değildir. APTlerde birden fazla saldırı vektörünün (örneğin sosyal mühendislik) ve sıradan bir saldırgandan farklı bir yaklaşım görüyoruz. Aşağıda kısaca özetlediğim Duqu örneğinde görüldüğü gibi saldırganlar ele geçirdikleri sistemden veri çalmaya çalışmak yerine stratejik öneme sahip olabilecek bilgileri toplamaya çalışmışlardır.  

Duqu ilk olarak 2011 yılında tespit edilmiştir ismini oluşturduğu dosyaların ismini DQ ile başlatmasından almakta ve temelde bulaştığı sistem hakkında bilgi toplamayı amaçlamaktadır. Duqu’yu yazanların büyük ölçüde Stuxnet’in kaynak kodundan faydalanmış olabilecekleri düşünülmektedir.

Hedef sisteme eposta ekinde gönderilen bir Word belgesinin içindeki kodla bulaşan Duqu sistem üzerinde bir arka kapı açar. Yerel ağ üzerinde yayılma becerisine de sahip olan Duqu bulaştığı sistemden aşağıdaki bilgileri sızdırır:

• Sistem bilgisi
• Klavye hareketleri
• Sistem üzerinde ve sistemden erişilen sistemlerde kullanılan parolalar
• Ekran görüntüleri
• Yerel ağdaki diğer sistemlerin bilgileri (bu özelliği ile potansiyel Stuxnet hedeflerini belirlemekte kullanılmış olabileceği düşünülebilir).

APT saldırılarının metodolojisi temel bir kaç işlevde hacker metodolojisine benzese de yaklaşım ve “felsefe” bakımından farklılıklar sergilemektedir. Temel olarak APT saldırganlarında gördüğümüz bazı özellikler şunlardır;

• Ciddi hazırlık süreci
• Çok detaylı bilgi toplama aşaması
• Planlama ve uygulamada sabırlı yaklaşım
• Saldırı adımlarının sosyal bileşenleri konusunda bilgi
• Etkili olmaya öncelik vermeleri (bu anlamda basit saldırıları da kullanırlar)
• Yaratıcı düşünme yeteneği
• Asıl saldırı vektörünü gizlemeye yönelik dikkat dağıtma çabası
• Henüz yaygınlaşmamış/duyulmamış istismar kodlarının kullanılması
• Fiziksel sızma eyleminden çekinmemeleri

APT saldırıları özellikle Kamu Kurumları, kritik altyapıları, büyük şirketleri, finans sektörünü ve telekom operatörlerini hedef almaktadır. Hedef olabilecek bir yerde çalışıyorsanız mevcut durumunuzu 7 adımdan oluşan ve incelenen olaylarda kullanıldığını bildiğimiz APT metodolojisine göre değerlendirmenizde fayda vardır.