Mitre Att&ck framework, saldırganların taktikleri ve tekniklerini içeren bir bilgi tabanıdır. Gerçek dünyada meydana gelen ataklar gözlemlenerek oluşturulmuştur. Bu framework ile saldırganların bir sonraki hamlelerini tahmin edebiliriz. Matris saldırganların yapabileceği saldırı eylemlerini gösteren, sistemlere nasıl sızdıkları, sızma işlemlerini gerçekleştirirken nasıl bir yol izledikleri konusunda taktik ve teknikleri içeren bir matristir. Matrisin ortaya çıkması, saldırganların davranışlarını kategorize etme ihtiyacından doğmuştur. Çünkü saldırganlar sürekli gündemde olan güvenlik yöntemleriyle tespit edilmemenin yollarını bulmaktalar ve dolayısıyla defansif tarafta bulunanlar daha önceki defansif yaklaşımlarını değiştirmek zorunda kalmaktalar.
Windows, Linux, MacOS sistemleri ile ilgili teknikleri içeren matris “Enterprise” matris olarak adlandırılırken, saldırganların belirli bir hedef ağdan veya sistemden faydalanmaya çalışmadan önce yaptıklarıyla ilgili taktik ve teknikler içeren matris “Pre-Att&ck” ve mobil cihazlar için oluşturulan matris “Mobile Att&ack” olarak adlandırılır. Mitre Att&ck web sayfası (https://attack.mitre.org/) üzerinden matrisi görüntüleyebiliriz.
PRE-ATT&CK MATRİS
Preatt&ck matrisi 15 adet taktikten ve 174 adet teknikten oluşmaktadır. Kısaca, saldırı öncesi taktik ve teknikleri gösteren matris diyebiliriz. Sırasıyla Pre-att&ck taktiklerini inceleyecek olursak ;
1. Priority Definition Planning (Öncelik Tanımı Planlaması) : Öncelik tanımı, operasyonel veya taktik hedeflerinin karşılanması için gerekli Key Intelligence Topics (KIT) ve Key Intelligence Questions (KIQ) kümesini belirleme sürecinden oluşur. Bir analist, mevcut KIT'lerdeki veya KIQ'lardaki boşlukları tespit ederken öncelikleri ana hatlarıyla belirlemelidir.
2. Priority Definition Direction (Öncelik Tanımı Yönü): Bu taktik öncelik tanımlarının yönünün belirlenmesinde lider tarafından belirlenen KIT veya KIQ’lara yönelik gereksinimleri toplama ve atama işleminden oluşur.
3. Target Selection (Hedef Seçimi): Saldırganın ilk önce stratejik düzeyde başlayıp ardından belirli bir hedef seçilene kadar taktikleri daraltarak ilerlediği ve böylelikle bir hedef belirlediği taktiktir.
4. Technical Information Gathering (Teknik bilgi toplama): Saldırganın saldırı için bir hedefle ilgili ihtiyaç duyacağı kritik teknik işlemlerin belirlenmesi sürecinden oluşur. Teknik bilgi toplama, hedefin ağ mimarisini, IP adresini, ağ hizmetlerini, e-posta biçimini ve güvenlik prosedürlerini içerir, ancak bunlarla sınırlı değildir.
5. People Information Gathering (Kişisel Bilgi Toplama): Bu taktik teknik bilgi toplamadan farklı olarak bir saldırı hedefine en iyi şekilde yaklaşmak için kilit personeli veya kritik erişimi olan kişileri belirlemeye odaklanır.
6. Organizational Information Gathering (Organizasyonel Bilgi Toplama): Saldırganın saldırı için bir hedef hakkında ihtiyaç duyacağı kritik örgütsel unsurları tanımlama sürecinden oluşur. Bu taktik, bir ekibin operasyonel temposuna ve ekibi en iyi şekilde hedefleyecek bir strateji geliştirmek amacıyla ekibin nasıl işleyiş gösterdiğine odaklanır.
7. Technical Weakness Identification (Teknik Zayıflıkların Belirlenmesi): Bu taktik karmaşıklık ve olumsuzlara (örn. Uygunluk, gizlilik) dayalı en iyi yaklaşımı belirlemek için bilgi toplama aşamaları sırasında toplanan zayıflıkları ve güvenlik açıklarını belirleme ve analiz etmekten oluşur.
8. People Weakness Identification(Kişilerin Zayıflıklarının Belirlenmesi): İnsanların zayıflık tespiti, bilgi toplama aşamalarındaki, hedef veya orta hedef kişilere veya sosyal güven ilişkilerine erişim elde etmek için kullanılabilecek zayıflıkların belirlenmesi ve analiz edilmesinden oluşur.
9. Organizational Weakness Identification(Örgütsel Zayıflıkların Belirlenmesi): Örgütsel zayıflık tespiti, ilgili hedef veya ara hedef kuruluşlara erişim elde etmek için kullanılabilecek istihbarat toplama aşamalarındaki zayıflıkların ve zayıflıkların belirlenmesi ve analiz edilmesinden oluşur.
10. Adversary Operation Security (Saldırgan İşlem Güvenliği): Ağ trafiğini veya sistem davranışını gizlemek veya bunlara uyum sağlamak için çeşitli teknolojilerin veya üçüncü taraf hizmetlerin kullanılmasından oluşur. Saldırgan bu taktiği savunmalardan kaçınmak, atıfları azaltmak, keşfi en aza indirmek veya analiz etmek için gereken zamanı ve çabayı arttırmak için kullanabilir.
11. Establish & Maintain Infrastructure (Altyapı oluşturma ve koruma): Altyapının oluşturulması ve sürdürülmesi, siber işlemleri yürütmek için kullanılan sistem ve hizmetlerin oluşturulması, satın alınması, birlikte seçilmesi ve sürdürülmesinden oluşur. Saldırganın, operasyonları boyunca kullanılan varlıklarla iletişim kurmak ve kontrol etmek için kullanılan altyapıyı oluşturması gerekmektedir.
12. Personal Development (Kişisel Gelişim): Kişisel gelişim, kamusal bilgilerin, varlığın, tarihin ve uygun ilişkilerin geliştirilmesinden oluşur. Bu gelişme, o kişiyi veya kimliği kullanan bir operasyon sırasında atıfta bulunulabilecek ve incelenebilecek sosyal medya hesabına, web sitesine veya diğer kamuya açık bilgilere uygulanabilir.
13. Build Capabilities (Yapı Yetenekleri): Bu taktik, bir operasyonun farklı aşamalarında kullanılan yazılım, veri ve tekniklerin geliştirilmesinden oluşur. Bu, geliştirme gereksinimlerini belirleme ve kötü amaçlı yazılım, iletim mekanizmaları, şifreleme korumaları, İşletme ve Bakım işlevleri gibi çözümleri uygulama sürecidir.
14. Test Capabilities (Test Yetenekleri): Test yetenekleri, saldırganların geliştirme hedeflerini ve kriterlerini iyileştirmek ve bir operasyon sırasında başarıyı sağlamak için yetenekleri harici olarak test etmeleri gerektiğinde gerçekleşir. Bir yetenek aşamalandırıldıktan sonra belirli testler yapılabilir.
15. Stage Capabilities (Aşama Yetenekleri): Bu taktik, operasyonu gerçekleştirmek için gerekli operasyonel ortamın hazırlanmasından oluşur. Bu, yazılım dağıtımı, veri yükleme, komut ve kontrol altyapısını etkinleştirme gibi etkinlikleri içerir.
ENTERPRİSE ATT&CK MATRİS
Enterprise ATT&CK matrisi 12 adet taktikten ve 244 adet teknikten oluşmaktadır. Saldırganların neden bu saldırıyı gerçekleştirdiğini ve amacını belirleme konusunda çalışır. 
1. Initial Access (İlk Erişim) : Saldırganların bir ağ içinde ilk erişimi elde etmek için kullandıkları teknikleri temsil eder.
2. Execution (Yürütme) : Yerel veya uzak bir sistemde saldırganın zararlı kodunun yürütülmesini sağlayan teknikleri içerir.
3. Persistence (Kalıcılık) : Saldırganın sistem erişimlerinin kesintiye uğramaması için çeşitli yöntemlerle kalıcı hale gelmesini sağlayan tekniklerdir.
4. Privilege Escalation (Ayrıcalık Arttırma) : Bazı araçlar ve atak eylemlerinin çalışması üst seviye yetki ile mümkün olduğundan, bu aşamada saldırganın eriştiği sistem ya da ağ üzerinde bulunan yetkisini daha üst yetkiye çıkarmasını sağlayan tekniklerdir.
5. Defense Evasion (Savunmadan Kaçınma) : Saldırganın açığa çıkmasını engellemesi ya da diğer savunma yöntemlerini atlatmasını sağlayan teknikleri içerir.
6. Credential Access (Kimlik Bilgisi Erişimi) : Hedef sistemde kullanılan kimlik erişim bilgilerine erişim ya da kontrol etmeyi sağlayan tekniklerdir.
7. Discovery (Keşif) : Saldırganın sistem ve iç ağ hakkında bilgi edinmesini sağlayan teknikleri içerir.
8. Lateral Movement (Yanal Hareket) : Saldırganın ağ içindeki diğer uzak sistemlere erişmesini sağlayan tekniklerdir.
9. Collection (Verilerin Toplanması) : Hedef sistemdeki kritik bilgileri belirlemesi ve toplamasını sağlayan tekniklerdir.
10. Command and Control (Komuta ve Kontrol) : Saldırganların hedef ağ içinde kontrolü ele geçirdikleri sistemlerle iletişim kurması ve kontrol etmesini sağlayan tekniklerdir.
11. Exfiltration (Sızdırma) : Hedef sistemdeki bilgilere, dosyalara erişmesini sağlayan teknikleri içerir.
12. Impact (Etki) : Saldırganın saldırı ve operasyonel süreçleri manipüle ederek kullanılabilirliği bozmak veya bütünlüğü tehlikeye atmak için kullandığı tekniklerdir.
MOBİLE MATRİS
Mobil matrisi 13 adet taktikten ve 67 adet teknikten oluşmaktadır. Enterprise Att&ck matrisinden farklı olarak Network Effects taktiği ve Remote Service Effects taktiği bulunmaktadır. Diğer tüm taktikleri Enterprise Att&ck matrisindeki taktikler ile aynıdır.
Enterprise Att&ck Matristeki taktiklerinden farklı olan Mobile Matris taktiklerini inceleyecek olursak;
1. Network Effects (Ağ Etkileri) : Bu taktik, saldırganın mobil cihazın kendisine erişmeden hedeflerine ulaşmak için kullanabileceği ağ tabanlı tekniklere atıfta bulunur ve mobil cihaza giden-mobil cihazdan gelen ağ trafiğini kesmek veya değiştirmek için kullanılan teknikleri içerir.
2. Remote Service Effects (Uzaktan Hizmet Etkileri) : Bu taktik, şirketler tarafından sağlanan bulut hizmetleri (örneğin Google Drive veya Apple iCloud) veya bir saldırganın alabileceği kurumsal mobilite yönetimi (EMM) / mobil cihaz yönetimi (MDM) hizmetleri gibi uzak hizmetleri içeren teknikleri ifade eder. Mobil cihazın kendisine erişmeden hedeflerine ulaşmak için bu taktiği kullanabilmektedir.
Enterprise Att&ck Matristeki taktiklerinden farklı olan Mobile Matris taktiklerini inceleyecek olursak;
1. Network Effects (Ağ Etkileri) : Bu taktik, saldırganın mobil cihazın kendisine erişmeden hedeflerine ulaşmak için kullanabileceği ağ tabanlı tekniklere atıfta bulunur ve mobil cihaza giden-mobil cihazdan gelen ağ trafiğini kesmek veya değiştirmek için kullanılan teknikleri içerir.
2. Remote Service Effects (Uzaktan Hizmet Etkileri) : Bu taktik, şirketler tarafından sağlanan bulut hizmetleri (örneğin Google Drive veya Apple iCloud) veya bir saldırganın alabileceği kurumsal mobilite yönetimi (EMM) / mobil cihaz yönetimi (MDM) hizmetleri gibi uzak hizmetleri içeren teknikleri ifade eder. Mobil cihazın kendisine erişmeden hedeflerine ulaşmak için bu taktiği kullanabilmektedir.
Blue team ekipleri Att&ck çerçevesini, rakiplerin nasıl bir yol izlediklerini daha iyi anlamak,tehditleri önceliklendirmek ve bu tehditlere karşın doğru önlemlerin alınmasını sağlamak için kullanabilirler. Red team ekipleri Att&ck tarafından sınıflandırılmış olan davranışları modelleyerek defansif taraflarını ve ağlarını test etmek için Mitre’nin planlarını takip ederek gerekli faydayı yakalayabilirler. Kurumlar ise Mitre Att&ck Framework çerçevesinden, defansif taraftaki boşlukları ve kurumun siber alandaki teknolojik ve profesyonel bazdaki seviyesini tespit etmek, bunları risk bazlı önceliklendirmek için faydalanabilirler.
Uzun zamandır üzerinde çalıştığım ve büyük bir heyecanla derlediğim yazım sizlerle, faydalı olmasını dilerim. Sağlıklı ve esen kalın.
Kaynaklar:
%20-%20Copy.png)
0 Yorumlar