Zelal Yavuz tarafından yazılmıştır.
MITRE ATT&CK, siber saldırganların davranışlarından yola çıkarak taktik, teknik ve prosedürlerini anlamaya çalışan ve bu saldırıları sınıflayan ücretsiz açık kaynaklı bir araçtır. Amaç saldırgan davranışlarını gruplayarak ortak bir sınıflandırma oluşturmaktır. MITRE ATT&CK aracı ile siber savunma ekipleri olası bir saldırı riskine karşı bir strateji geliştirebilir, sistemdeki açıkları kontrol edebilir ve riskleri değerlendirebilir. Bu sayede savunmadaki boşluklar düzeltilebilir.
MITRE ATT&CK, tamamen gerçek olayların analiz raporlarına dayalıdır. Cyber Kill Chain(Siber Saldırı Yaşam Döngüsü)’nin bir alt kümesini kapsar. Windows, Linux, Macos, IOS, Android işletim sistemlerini destekler.
Bir saldırganı ağa erişmeden önce engellemek mümkündür. Siber savunucular, saldırıları önlemek amacıyla Cyber Kill Chan’ in ilk iki aşamasını kapsayan, MITRE PRE-ATT&CK’ ın üst düzey taktiklerinden faydalanabilirler. Böylelikle saldırganın ağa erişmesi önlenebilir.
MITRE ATT&CK Enterprise Matrix; Windows, Mac, Office365, Azure AD, Google Workspace, SaaS, IaaS platformlarını destekleyen ve tüm saldırı tekniklerini sunan bir sınıflandırma sağlar. Toplamda 12 taktik bulunur. Her taktiğin kendi içerisinde farklı teknikleri vardır.
Taktik, teknik ve prosedürlerin kısaltmasıdır.
Taktik: Bir saldırganın ulaşmaya çalıştığı hedefleri temsil eder. Bunlar; İlk Erişim(Initial Access), Çalıştırma(Executions), Kalıcılık(Persistence), Ayrıcalık Yükseltme(Privilege Escalation), Savunmayı Atlatma(Defence Evasion), Kimlik Bilgilerine Erişim(Credential Accsess), Keşif(Discovery), Yanal Hareket( Lateral Movement), Toplama(Collection), Komuta ve Kontrol(Command & Control), Sızma(Exfiltration) ve Etki (Impact)’ dir.
MITRE ATT&CK Enterprise Matrisinde bulunan taktiklerin temel bir özeti;
Teknik: Rakibin hedefe nasıl ulaşabileceğini tanımlayan yollardır. Çevrimiçi matris aracı ile teknikleri detaylı inceleyebiliriz. Burada kullanılacak tekniğin daha ayrıntılı açıklamaları, Prosedürleri, Olası hafifletmeleri ve kullanılabilecek yazılımları görebiliriz.
Prosedür: Tekniğin nasıl yürütüldüğü hakkında bilgi verir. Tekniği incelediğimizde Prosedür örnekleri diye bir bölüm göreceğiz. Bunlar çeşitli prosedürlerdir. Bu prosedürlerde Saldırgan grupları, İlişkili grup Açıklamaları, Kullanılan Teknikler ve Yazılımlar hakkında bilgi verilir.
MITRE ATT&CK saldırı gruplarını netleştiren bir veritabanına sahiptir. Veritabanında 91 adet APT grubu ve bu grupların kullandığı teknikler, yazılımlar bulunur. Bir tehdit durumunda muhtemel gruplar listelenebilir ve bir harita çıkarılabilir. Bu sayede kullanılması ihtimal teknik ve davranışları anlayabiliriz.
Kullanım Durumlarının 3 Seviyesi vardır. Bunlar;
Level 1: Kaynağı kısıtlı ve yeni başlayanlar ekipler
Level 2: Orta seviye ve olgunlaşmak isteyen ekipler
Level 3: Birçok kaynağa sahip ileri derece gelişmiş ekipler
APT3 Grubunu inceleyecek olursak;
İlişkili olduğu gruplar:
APT3 Grubunun Kullandığı Teknikler
Kullanılan Yazılımlar
SONUÇ; APT3 grubunun ilişkili grup açıklamalarında verlien grupların aynı örgüt olduğu düşünülüyor. Şifre Kırma, Hesap manipülasyonu, Kimlik bilgileri çalma, Dosyaları silme gibi çeşitli saldırılarda bulunduğunu görüyoruz. Örneğin Hesap Manipülasyon saldırısı için önlem almak istiyorsak MITRE ATT&CK’ ın sunduğu prosedürleri inceleyebiliriz. Burada Hafifletmeler ve tespit etme tablolarından yola çıkarak hem nasıl bir savunma yapabileceğimizi anlıyor hem de saldırı tespiti için yapmamız gerekenleri görebiliyoruz.
Saldırganların taktik, teknik ve prosedürlerini ATT&CK Matrisi ile eşleştirerek kim olduklarını, ne yapabileceklerini ve saldırı çeşitlerini, nasıl bir önlem alınması gerektiğini ve durdurma yolları hakkında fikir sahibi olabiliriz.
Örneğin aşağıda ATT&CK ile eşleşmiş bir rapor var. Bu raporu inceleyebiliriz.
Bunun için;
ATT ve CK Navigatörü
Tüm teknikler için matris görünümü sağlayan yapıdır.
Yeni Bir Katman Oluşturduk ve Platform olarak Linux işletim sistemini seçtik.
Search diyerek araştırdığımız grup, yazılım yada tekniğe göre filtreleme yapabiliriz.
admin@338 grubu ve cloudDuke yazılımını seçtim. Renklendirme yaptım ve tüm vektörler filtrelendi.
Sonuç; MITRE ATT&CK siber saldırgan taktik ve tekniklerini anlamaya yönelik son derece detaylı, global ve güçlü bir açık kaynak araçtır. Siber güvenlik risklerini değerlendirmek ve güvenlik açıklarını belirlemek için kapsamlı bir sınıflandırma sağlar. Güvenlik açıkları anlaşıldıktan sonra kurumunuz risklerin değerlendirilmesi konusunda önlemler alabilir. MITRE ATT&CK saldırıları bölümlere ayırmıştır. Bu sayede tehditlerin karşılaştırmaları daha kolay yapılabilir ve saldırganların sistemden nasıl yararlandığı basitçe anlaşılabilir. Böylece yeni güvenlik önlemleri almak için harekete geçebilirsiniz.
[TR]Mitre ATT&CK Framework Nedir ?
MITRE ATT&CK, siber saldırganların davranışlarından yola çıkarak taktik, teknik ve prosedürlerini anlamaya çalışan ve bu saldırıları sınıflayan ücretsiz açık kaynaklı bir araçtır. Amaç saldırgan davranışlarını gruplayarak ortak bir sınıflandırma oluşturmaktır. MITRE ATT&CK aracı ile siber savunma ekipleri olası bir saldırı riskine karşı bir strateji geliştirebilir, sistemdeki açıkları kontrol edebilir ve riskleri değerlendirebilir. Bu sayede savunmadaki boşluklar düzeltilebilir.
MITRE ATT&CK, tamamen gerçek olayların analiz raporlarına dayalıdır. Cyber Kill Chain(Siber Saldırı Yaşam Döngüsü)’nin bir alt kümesini kapsar. Windows, Linux, Macos, IOS, Android işletim sistemlerini destekler.
PRE-ATT&CK VE ATT&CK
Bir saldırganı ağa erişmeden önce engellemek mümkündür. Siber savunucular, saldırıları önlemek amacıyla Cyber Kill Chan’ in ilk iki aşamasını kapsayan, MITRE PRE-ATT&CK’ ın üst düzey taktiklerinden faydalanabilirler. Böylelikle saldırganın ağa erişmesi önlenebilir.
MITRE ATT&CK Nasıl Organize Ediliyor ?
MITRE ATT&CK Enterprise Matrix; Windows, Mac, Office365, Azure AD, Google Workspace, SaaS, IaaS platformlarını destekleyen ve tüm saldırı tekniklerini sunan bir sınıflandırma sağlar. Toplamda 12 taktik bulunur. Her taktiğin kendi içerisinde farklı teknikleri vardır.
TTP Nedir ?
Taktik, teknik ve prosedürlerin kısaltmasıdır.
Taktik: Bir saldırganın ulaşmaya çalıştığı hedefleri temsil eder. Bunlar; İlk Erişim(Initial Access), Çalıştırma(Executions), Kalıcılık(Persistence), Ayrıcalık Yükseltme(Privilege Escalation), Savunmayı Atlatma(Defence Evasion), Kimlik Bilgilerine Erişim(Credential Accsess), Keşif(Discovery), Yanal Hareket( Lateral Movement), Toplama(Collection), Komuta ve Kontrol(Command & Control), Sızma(Exfiltration) ve Etki (Impact)’ dir.
MITRE ATT&CK Enterprise Matrisinde bulunan taktiklerin temel bir özeti;
Teknik: Rakibin hedefe nasıl ulaşabileceğini tanımlayan yollardır. Çevrimiçi matris aracı ile teknikleri detaylı inceleyebiliriz. Burada kullanılacak tekniğin daha ayrıntılı açıklamaları, Prosedürleri, Olası hafifletmeleri ve kullanılabilecek yazılımları görebiliriz.
Prosedür: Tekniğin nasıl yürütüldüğü hakkında bilgi verir. Tekniği incelediğimizde Prosedür örnekleri diye bir bölüm göreceğiz. Bunlar çeşitli prosedürlerdir. Bu prosedürlerde Saldırgan grupları, İlişkili grup Açıklamaları, Kullanılan Teknikler ve Yazılımlar hakkında bilgi verilir.
APT Grupları
MITRE ATT&CK saldırı gruplarını netleştiren bir veritabanına sahiptir. Veritabanında 91 adet APT grubu ve bu grupların kullandığı teknikler, yazılımlar bulunur. Bir tehdit durumunda muhtemel gruplar listelenebilir ve bir harita çıkarılabilir. Bu sayede kullanılması ihtimal teknik ve davranışları anlayabiliriz.
MITRE ATTA&CK TEMEL KULLANIM DURUMLARI
- Tehdit İstihbaratı
- Tespit ve Analiz
- Rakip Davranış Emülasyonu ve Read Time Oluşturma
- Değerlendirme ve Mühendislik
Kullanım Durumlarının 3 Seviyesi vardır. Bunlar;
Level 1: Kaynağı kısıtlı ve yeni başlayanlar ekipler
Level 2: Orta seviye ve olgunlaşmak isteyen ekipler
Level 3: Birçok kaynağa sahip ileri derece gelişmiş ekipler
LEVEL 1’ de Yapılacaklar
- Tehdit’ e göre bir APT Grubu seçilir.
- Grubun kullandığı teknikler incelenir.
- Tekniklerde kullanılan yazılımlar incelenir
- Tespitler yapılır ve sistemde bir eksik varsa düzeltilir.
APT3 Grubunu inceleyecek olursak;
İlişkili olduğu gruplar:
APT3 Grubunun Kullandığı Teknikler
Kullanılan Yazılımlar
SONUÇ; APT3 grubunun ilişkili grup açıklamalarında verlien grupların aynı örgüt olduğu düşünülüyor. Şifre Kırma, Hesap manipülasyonu, Kimlik bilgileri çalma, Dosyaları silme gibi çeşitli saldırılarda bulunduğunu görüyoruz. Örneğin Hesap Manipülasyon saldırısı için önlem almak istiyorsak MITRE ATT&CK’ ın sunduğu prosedürleri inceleyebiliriz. Burada Hafifletmeler ve tespit etme tablolarından yola çıkarak hem nasıl bir savunma yapabileceğimizi anlıyor hem de saldırı tespiti için yapmamız gerekenleri görebiliyoruz.
LEVEL 2’ de Yapılacaklar
- Saldırgan davranışları incelenir.
- Haritalama yapılır.
- Çeşitli saldırı logları incelenir
- Saldırganın kullandığı taktik ve teknikler bulunur.
Saldırganların taktik, teknik ve prosedürlerini ATT&CK Matrisi ile eşleştirerek kim olduklarını, ne yapabileceklerini ve saldırı çeşitlerini, nasıl bir önlem alınması gerektiğini ve durdurma yolları hakkında fikir sahibi olabiliriz.
Örneğin aşağıda ATT&CK ile eşleşmiş bir rapor var. Bu raporu inceleyebiliriz.
Bunun için;
- ATT&CK’ ı anlamak: Taktiklerin genel yapısı hakkında bilgi edinme
- Davranışı Bulun: Saldırgan eylemini bulma.
- Davranışı Araştır: Saldırganın davranışına hakim değilseniz araştırın.
- Davranışta Hangi Taktiğin Kullanıldığını Bulun: Saldırganın hangi taktiği kullandığını bulun.
- Hangi Tekniğin Kullanıldığını Bulun
- Sonuçları diğer analistler ile paylaşın.
LEVEL 3’ de Yapılacaklar
- Daha fazla bilgi eşleştir
- Bilgileri kullanarak savunma önceliklendirme yapılır.
- ATT&CK Navigator kullanılır.
ATT ve CK Navigatörü
Tüm teknikler için matris görünümü sağlayan yapıdır.
Yeni Bir Katman Oluşturduk ve Platform olarak Linux işletim sistemini seçtik.
Search diyerek araştırdığımız grup, yazılım yada tekniğe göre filtreleme yapabiliriz.
admin@338 grubu ve cloudDuke yazılımını seçtim. Renklendirme yaptım ve tüm vektörler filtrelendi.
Sonuç; MITRE ATT&CK siber saldırgan taktik ve tekniklerini anlamaya yönelik son derece detaylı, global ve güçlü bir açık kaynak araçtır. Siber güvenlik risklerini değerlendirmek ve güvenlik açıklarını belirlemek için kapsamlı bir sınıflandırma sağlar. Güvenlik açıkları anlaşıldıktan sonra kurumunuz risklerin değerlendirilmesi konusunda önlemler alabilir. MITRE ATT&CK saldırıları bölümlere ayırmıştır. Bu sayede tehditlerin karşılaştırmaları daha kolay yapılabilir ve saldırganların sistemden nasıl yararlandığı basitçe anlaşılabilir. Böylece yeni güvenlik önlemleri almak için harekete geçebilirsiniz.
Moderatör tarafında düzenlendi: