Siber öldürme zinciri, siber suçluların bir saldırı gerçekleştirmek için sıklıkla attıkları adımların sırasını ifade eder. Ayrıca Lockheed Martin tarafından geliştirilen Cyber Kill Chain çerçevesi, bu aşamaları haritalandırarak kuruluşların siber saldırıları daha iyi anlamasına ve saldırı sürecini kesintiye uğratmasına yardımcı olur.
İçindekiler
Bu model, özellikle gelişmiş kalıcı tehditler (APT’ler) ve zararlı yazılım, fidye yazılımı, truva atı, aldatma (spoofing) ve sosyal mühendislik gibi taktiklerin bir arada kullanıldığı sofistike saldırıları analiz etmek için oldukça kullanışlıdır.
Siber öldürme zinciri çerçevesi
Lockheed Martin ilk olarak askeri “ölüm zinciri” düşüncesini siber güvenliğe uyarlamanın bir yolu olarak siber öldürme zinciri çerçevesini geliştirdi. Askerî stratejide “kill chain” (öldürme zinciri), bir düşmanın bir hedefi belirlemek ve ona saldırmak için izlediği yapılandırılmış adımları ve savunmacıların her aşamada bu saldırıyı bozma fırsatlarını tanımlar.
Benzer şekilde, siber öldürme zinciri çerçevesi, bir saldırıyı farklı aşamalara bölerek savunmacılara nerede ve nasıl müdahale edeceklerine dair net bir görüş sağlar. Güvenlik ekipleri artık tehditleri belirli aşamalara eşlemek, savunmalara öncelik vermelerine ve boşlukları tespit etmelerine yardımcı olmak için bu modeli kullanıyor.
Siber öldürme zinciri adımları
Siber öldürme zinciri modeli, siber saldırganların atacağı yedi adımı tanımlar:
Keşif: Saldırganlar, açık bağlantı noktaları veya çalışan e-postaları gibi hedef hakkında bilgi toplar.
Silahlanma: Kötü amaçlı yazılım yükleri hazırlar ve genellikle istismarları kötü amaçlı dosyalara veya bağlantılara bağlarlar.
Teslimat: Yük, genellikle kimlik avı e-postaları veya sürücüden indirmeler yoluyla gönderilir.
İstismar: Kötü amaçlı kod, hedef sistemde çalışarak bir güvenlik açığından yararlanır.
Kurulum: Kötü amaçlı yazılım, arka kapılar veya truva atları kurarak kalıcılık sağlar.
Komut ve Kontrol (C2): Saldırganlar, komut vermek için güvenliği ihlal edilmiş sistemle iletişim kurar.
Hedeflere İlişkin Eylemler: İster veri çalmak, ister dosyaları şifrelemek veya hizmetleri kesintiye uğratmak olsun, hedeflerine ulaşırlar.
Siber öldürme zinciri modeli saldırıları nasıl görselleştirir
Bu model, siber saldırıların tek bir olay değil, birbirine bağlı bir dizi adım olduğunu göstermektedir. Güvenlik ekipleri, bu zincirin bir aşamasını bile aksatarak saldırganların hedeflerine ulaşmasını önleyebilir ve bir ihlalin genel etkisini azaltabilir.
Örneğin, keşif etkinliğini tespit etmek için tehdit istihbaratı kullanabilir, silahlı kötü amaçlı yazılımları yakalamak için kum havuzu kullanabilir veya şüpheli C2 bağlantıları için ağ trafiğini izleyebilirler.
Siber öldürme zinciri ve MITRE ATT&CK karşılaştırması
Siber kill chain (öldürme zinciri), bir saldırının doğrusal ve üst düzey bir görünümünü sunarken, MITRE ATT&CK çerçevesi ise saldırganların kullandığı taktik ve tekniklere dair ayrıntılı bir matris sağlar. Her ikisini birlikte kullanmak, siber güvenliğin tespitini,olay müdahalesini ve sürekli iyileştirilmesini güçlendirir.
Tümleşik siber öldürme zinciri ve diğer modeller
Birleşik siber öldürme zinciri, Lockheed Martin modelini MITRE ATT&CK taktikleriyle entegre ederek, özellikle gelişmiş kalıcı tehditler (APT'ler) olmak üzere modern saldırıların karmaşıklığını daha iyi yakalıyor. Patlama sonrası yanal hareketi ve kimlik bilgisi hırsızlığını içerecek şekilde öldürme zincirini ilk tavizin ötesine genişleterek savunmacılara izinsiz girişleri tespit etmek ve engellemek için daha eksiksiz bir yol haritası sunar.
Siber öldürme zinciri ve diğer modeller: Karşılaştırma tablosu
Framework
Odak
Güçlü Yönler
Siber Öldürme Zinciri
Bir saldırının
doğrusal aşamaları
Anlaşılması kolay, saldırıları erkenden durdurur
MITRE ATT&CK
Taktikler ve teknikler matrisi
Son derece ayrıntılıdır, tehdit aramayı destekler
Birleşik Siber Öldürme Zinciri
Her iki yaklaşımı bir araya getirir
APT yaşam döngüsünü yakalar, tam spektrum savunmasını destekler
Siber öldürme zinciri süreci nasıl kesintiye uğratılır
Siber saldırıları durdurmak genellikle öldürme zincirinin bir veya daha fazla aşamasını belirlemek ve bozmakla ilgilidir. Bu katmanlı yaklaşım, bir saldırganın başarı şansını azaltır ve ilk savunmaları ihlal etmesi durumunda hasarı sınırlar.
Siber öldürme zinciri taktikleri ve önleme
Zincir öldürme aşaması
Yaygın saldırılar / taktikler
Tipik / en iyi önleme
Keşif
OSINT, sosyal medya profil çıkarma, açıktaki varlıklar için tarama
Tehdit istihbaratı ve saldırı yüzeyi yönetimi ile saldırganların gördüklerini belirleyin, maruz kalma riskini en aza indirin.
Silahlanma
Kötü amaçlı yazılım yükleri, kötü amaçlı makrolar, istismar kitleri oluşturma
Yama ve güvenlik açığı yönetimi, istismar edilebilir boşlukları azaltın; uç nokta araçlarını güncel tutun.
Teslimat
Kimlik avı e-postaları, kötü amaçlı bağlantılar, sulama deliği saldırıları
Kötü amaçlı e-postaları ve siteleri engellemek için e-posta güvenliği ve web filtreleme.
İstismar
Yazılım güvenlik açıklarını, kimlik bilgilerini kötüye kullanma
Kötü amaçlı eylemleri tespit etmek ve engellemek için uç nokta koruması (EPP/EDR).
Kurulum
Kötü amaçlı yazılım, arka kapıları, fidye yazılımlarını, truva atlarını kurar
Bilinmeyen veya şüpheli kurulumları durdurmak için uygulama kontrolleri ve sandboxing.
Komut ve Kontrol (C2)
Cobalt Strike, şüpheli giden bağlantılar gibi uzaktan erişim araçları
Ağ saldırı önleme sistemleri (IPS) ve anomali tespiti, C2 trafiğini engellemek için kullanılır.
Hedeflere İlişkin Eylemler
Veri hırsızlığı, fidye yazılımı için şifreleme, sabotaj
XDR SOC izleme ile hızlı tespit, izolasyon ve yanıt sağlayarak etkiyi sınırlama.
Gerçek dünya siber öldürme zinciri örnekleri
LockBit ve BlackCat (ALPHV) fidye yazılımı
2024’te LockBit, teslimat ve istismar aşamalarında QakBot truva atını kullanarak sisteme erişim sağladı, ardından Cobalt Strike ile komuta ve kontrol elde etti. Sonuçta kritik sistemleri şifrelediler, milyonlarca dolarlık fidye talep ederek erken aşamalarda algılamanın atlanmasının maliyetini gösterdiler.
Clop fidye yazılımı
Clop, güvenli dosya transfer uygulamalarındaki açıkları kullanarak sisteme erişim sağlamasıyla bilinir. Teslimattan sonra, hızla veri sızdırmaya geçer (kurulum ve hedeflenen eylemler), şifrelemeyi kamuya açık veri sızıntılarıyla birleştirerek çifte şantaj uygular.
Siber güvenlikte siber öldürme zincirini kullanmanın faydaları
İhlal Maliyetlerini Azaltır: Erken tespit, saldırıları artmadan durdurmak, kurtarma ve yasal maliyetlerden tasarruf etmek anlamına gelir.
Mevzuata Uyumu Destekler: GDPR, NIS2 ve benzer düzenlemeler kapsamında proaktif önlemlerin gösterilmesine yardımcı olur.
SOC ve IR Hazırlığını İyileştirir: Güvenlik ekiplerine tehdit avı ve olay müdahalesi için yapılandırılmış bir yaklaşım sağlar. Bunun Sıfır Güven Ağı ile nasıl bağlantılı olduğunu öğrenin
Siber öldürme zincirinin tamamında savunmalarınızı güçlendirin
Siber öldürme zincirini anlamak, ilk keşiften veri sızıntısına kadar bir saldırının her aşamasını tahmin etmenize ve kesintiye uğratmanıza yardımcı olur. Ancak gerçek zamanlı olarak tespit etme, yanıt verme ve uyum sağlama yeteneği olmadan taktikleri bilmek yeterli değildir.
Trend Vision One™, tüm ortamınızda birleşik görünürlük, güçlü analitik ve genişletilmiş algılama ve yanıt (XDR) sağlar. Öldürme zincirinin her aşamasındaki etkinliği ilişkilendirerek, tehditleri daha erken durdurabilir, bekleme süresini azaltabilir ve kritik varlıkları güvenle koruyabilirsiniz.
Jon Clay has worked in the cybersecurity space for over 29 years. Jon uses his industry experience to educate and share insights on all Trend Micro externally published threat research and intelligence.