MITRE ATT&CK Matrisi: Saldırgan Davranışlarını Sınıflandırma ve Analiz Rehberi

müfettiş

müfettiş

Moderatör
Katılım
20 Ocak 2024
Mesajlar
325
Tepkime puanı
1
Puanları
18
mitre-attack.png


MITRE ATT&CK Matrisi: Saldırgan Davranışlarını Sınıflandırma ve Analiz Rehberi​

Siber güvenlikte uzun yıllar boyunca en büyük sorun "iletişimsizlikti". Bir şirket saldırıya uğradığını söylüyordu ama saldırının teknik detaylarını anlatırken standart bir dil yoktu.

MITRE kuruluşu (ABD devlet destekli bir Ar-Ge organizasyonu), 2013 yılında bu sorunu çözmek için ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) çerçevesini yayınladı.

MITRE ATT&CK, dünyadaki tüm bilinen saldırgan davranışlarını (TTP'leri) kategorize eden, yaşayan ve sürekli güncellenen bir bilgi tabanıdır. Bugün bir güvenlik ürünü (Antivirüs, EDR, SIEM) satın aldığınızda, üzerinde mutlaka "MITRE ATT&CK uyumlu" yazar. Çünkü artık siber savaşın ortak dili budur.

Bölüm 1: Matrisin Anatomisi – Tabloyu Okumak​

MITRE ATT&CK, görsel olarak Excel tablosuna benzer bir matristir. Bu tabloyu okumak için iki temel bileşeni anlamak gerekir: Sütunlar (Taktikler) ve Hücreler (Teknikler).

1. Taktikler (Tactics) – "Sütunlar" – AMAÇ​

Tablonun en üstündeki başlıklar, saldırganın o anki hedefini (Why) gösterir. Saldırı bir süreçtir ve saldırgan adım adım ilerler.Şu an Enterprise (Kurumsal) matrisinde 14 temel taktik vardır. Sıralama genellikle saldırının yaşam döngüsüne (Kill Chain) göredir:
  • Reconnaissance (Keşif): Bilgi toplama aşaması.
  • Initial Access (İlk Erişim): İçeri girme.
  • Execution (Çalıştırma): Kod çalıştırma.
  • Persistence (Kalıcılık): Sistemde kalıcı olma.
  • Privilege Escalation (Hak Yükseltme): Yönetici (Admin) olma.
  • Lateral Movement (Yanal Hareket): Ağda diğer makinelere sıçrama.
  • Exfiltration (Veri Çıkarma): Veriyi çalma.
  • Impact (Etki): Sistemi bozma veya şifreleme.

2. Teknikler (Techniques) – "Hücreler" – YÖNTEM​

Her sütunun altında, o amacı gerçekleştirmek için kullanılabilecek yöntemler (How) listelenir.
  • Örnek: "Initial Access" (Amaç) taktiğinin altında; "Phishing" (Oltalama) veya "Exploit Public-Facing Application" (Açık Uygulamayı Sömürme) teknikleri yer alır.

3. Alt Teknikler (Sub-Techniques) – DETAY​

Bazı teknikler çok geniştir. MITRE bunları daha da detaylandırır.
  • Teknik: Brute Force (Kaba Kuvvet).
  • Alt Teknik: Password Spraying (Şifre Püskürtme) veya Credential Stuffing.

Bölüm 2: MITRE ATT&CK Neden Kullanılır?​

Bu matris sadece akademik bir liste değildir; operasyonel bir silahtır.

1. Boşluk Analizi (Gap Analysis)​

Kurumunuzun güvenliğini test etmek için matrisi açarsınız.
  • "Benim güvenlik duvarım 'Phishing' saldırılarını (T1566) engelliyor, güzel."
  • "Peki ya 'USB ile Sızma' (Replication Through Removable Media - T1091) tekniğine karşı bir önlemim var mı?"
  • Sonuç: Matris üzerindeki kırmızı (korunmasız) alanları görerek yatırımı oraya yaparsınız.

2. Tehdit İstihbaratı Eşleştirmesi (Mapping)​

Bir önceki konuda işlediğimiz APT gruplarını hatırlayın. İstihbarat raporlarında artık uzun hikayeler yerine MITRE kodları kullanılır.
  • "APT29 grubu şu teknikleri kullanıyor: T1082, T1110, T1003."Analist bu kodlara bakarak saldırganın profilini saniyeler içinde anlar.

3. Avcılık ve Tespit (Threat Hunting)​

Saldırganlar sürekli yöntem değiştirir demiştik (TTP). MITRE, analistlere "Nereye bakmalıyım?" sorusunun cevabını verir.
  • "Eğer saldırgan 'Kalıcılık' (Persistence) sağlamak istiyorsa, şu 5 Registry anahtarına bakmalıyım."

Bölüm 3: ATT&CK Navigator – Savunmanın Boyama Kitabı​

MITRE'nin sunduğu en güçlü araç, web tabanlı ATT&CK Navigator'dır. Bu araç, tüm matrisi interaktif bir şekilde önünüze serer.

Analistler bu aracı "boyama kitabı" gibi kullanır:
  • Kırmızı Katman: APT29 grubunun kullandığı teknikleri kırmızıya boya.
  • Mavi Katman: Benim şirketimin engelleyebildiği teknikleri maviye boya.
  • Analiz: Kırmızının, mavinin üzerinde olduğu (yani saldırganın kullandığı ama benim engelleyemediğim) teknikler benim risk alanımdır.

Bölüm 4: ID Numaralarının Dili​

Matriste her şeyin bir kodu vardır. Bu kodlar evrenseldir.

T1059: Command and Scripting Interpreter (Komut Satırı Kullanımı)
  • T1059.001: PowerShell (Alt Teknik)
  • T1110: Brute Force
  • T1003: OS Credential Dumping (Parola Hashlerini Çalma)
Bir güvenlik analisti iş başvurusu yaparken "PowerShell saldırılarını bilirim" demez; "T1059.001 tespit kuralları yazdım" der. Bu, profesyonellik göstergesidir.

Bölüm 5: Uygulamalı Bir Senaryo (WannaCry Analizi)​

Efsanevi WannaCry fidye yazılımını MITRE ATT&CK ile analiz edelim:
  1. Initial Access (T1190): Exploit Public-Facing Application. (EternalBlue açığını kullanarak sisteme girdi).
  2. Execution (T1059): Command and Scripting Interpreter. (Komut satırı ile kendini çalıştırdı).
  3. Lateral Movement (T1021): Remote Services. (SMB protokolü üzerinden ağdaki diğer bilgisayarlara sıçradı).
  4. Impact (T1486): Data Encrypted for Impact. (Dosyaları şifreledi).
Bu harita sayesinde, bir sonraki benzer saldırıda (örneğin EternalBlue yerine başka bir açık kullanılsa bile) "Yanal Hareket" veya "Şifreleme" aşamasında saldırıyı durdurabilirsiniz.

Sonuç: Kaostan Düzene​

MITRE ATT&CK, siber güvenliğin periyodik tablosudur. Nasıl ki kimyagerler elementleri ezberlemek yerine tabloyu kullanıyorsa, siber güvenlikçiler de binlerce saldırı yöntemini ezberlemek yerine bu matrisi kullanır.

Saldırganlar yaratıcıdır ama sınırsız değildir. MITRE ATT&CK bize şunu gösterir: Düşmanın yapabileceklerinin bir sınırı ve bir listesi vardır. O listeyi bilmek, savaşı yarı yarıya kazanmaktır.
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst