MITRE ATT&CK, Saldırgan Taktikleri, Teknikleri ve Ortak Bilgi anlamına gelir. Saldırganların kullandığı taktik ve tekniklerin kamuya açık bir bilgi tabanıdır ve özel siber tehdit modelleri ile yöntemlerinin geliştirilmesinde temel olarak kullanılır.
İçindekiler
Bu bilgi tabanı, aşağıdaki üç kavram temel alınarak geliştirilmiştir:
Rakiplerin bakış açısını korur
Gerçek dünyadaki faaliyetlerin ampirik kullanım örnekleriyle izlenmesini esas alır.
Soyutlama düzeyi, saldırgan eylemlerle savunma arasındaki köprüyü kurmak için uygundur.
MITRE ATT&CK, sektöre bir saldırganın yaklaşımının nasıl tanımlanıp standartlaştırılacağı konusunda yardımcı olur. Yaygın saldırı taktiklerini, tekniklerini ve prosedürlerini (TTP) toplar ve kategorilere ayırır, ardından bu bilgileri bir çerçeveye oturtur.
Üçüncü kavram ise; saldırı yöntemi ile savunma tarafında uygulanabilecek karşı önlemler arasında köprü kurmak için uygun bir soyutlama düzeyi gerektirir. Özellikle ATT&CK yapısını anladığınızda bu önemlidir. Bilgi, IP adresleri, URL’ler veya kötü amaçlı yazılımların imza bilgileri gibi bireysel/spesifik bilgiler değil, yüksek soyutlama derecesine sahip bilgiler olarak organize edilir.
Kavramsal temelin esası, saldırıları Taktik, Teknik ve Prosedür (TTP) adı verilen unsurlara göre analiz etmektir. Genellikle, Teknikler hakkında bilgi edinilir ve organize edilir.
Taktik: Bir saldırganın kısa vadeli hedefi
Teknik: Bir saldırganın bir hedefe ulaşması için kullanılan araçlar
Prosedür: Bir saldırganın teknikleri kullanması için özel bir yöntem
Bu çerçeve, rakiplerin nasıl davrandığını, ne yapmaya çalıştıklarını ve bunu nasıl yapmaya çalıştıklarını açıklamaya yardımcı olmak için kullanılabilir.
Ortak bir dile ve çerçeveye sahip olmak, tehditleri mümkün olduğunca etkili ve verimli bir şekilde iletişim kurma, anlama ve bunlara yanıt verme yeteneğinde önemlidir.
MITRE ATT&CK, siber savunucular için kritik bir bilgi tabanı haline gelmiştir ve nihayetinde güvenlik verimliliğini ve müdahale süresini artırır. Yıllık MITRE Değerlendirmesi, sektör genelinde yenilikleri karşılaştırır ve gelişen tehdit ortamına yanıt vermek için gereken çözümleri ortaya koyar.
Orijinal kaynağa buradan ulaşabilirsiniz.
Bu tür bir çerçeve, bilgi güvenliği profesyonelleri için son derece faydalıdır ve yeni saldırı teknikleri hakkında güncel bilgilere sahip olmalarına ve saldırıların en baştan gerçekleşmesini önlemelerine yardımcı olur.
Kurumlar, topluluk tartışmalarını standartlaştırmak, savunma stratejilerini test etmek ve ürün/hizmet değerlendirmeleri yapmak için ATT&CK çerçevesinden yararlanır.
MITRE ATT&CK değerlendirmeleri
MITRE ATT&CK Değerlendirmesi, müşterilere gerçek dünya saldırı senaryolarını simüle ederek şeffaflık sağlar. Bu yaklaşım, müşterilerin güvenlik ürünlerini aktif olarak değerlendirmesine ve en kritik ihtiyaçlarına göre saldırganların en güncel gelişmelerine karşı kendilerini korumasına olanak tanır. Değerlendirme, müşterilerin günümüz tehditlerini etkili biçimde ele alabilmesini sağlamak için saldırgan emülasyonu yaklaşımını kullanır. Gerçek saldırgan davranışlarından ilham alan teknikler, araçlar, yöntemler ve hedefler kullanılır.
Simülasyonlar, adil ve doğru test sonuçları elde edebilmek için kontrollü bir laboratuvar ortamında gerçekleştirilir. Saldırgan teknikleri, ATT&CK kapsamının genişliğini değerlendirmek amacıyla mantıksal ve adım adım bir süreçte uygulanır.
Bu değerlendirmeler rekabetçi bir karşılaştırma amacı taşımaz. Herhangi bir puanlama, sıralama veya derecelendirme yapılmaz. Bunun yerine, her bir tedarikçinin tehdit tespitine ATT&CK bilgi tabanı bağlamında nasıl yaklaştığını gösterir.
Bu değerlendirme, siber güvenlik çözümü alıcılarına ve müşterilere, öncelikli ihtiyaçları doğrultusunda güvenlik ürünlerini saldırganların en güncel tekniklerine karşı tarafsız bir şekilde değerlendirme imkânı sunar.
Örneğin, 2022 yılında yapılan değerlendirmede Wizard Spider ve Sandworm gruplarının sahada gözlemlenen saldırı davranışlarını yansıtmak amacıyla bu grupların saldırı teknikleri emüle edilmiştir. Simülasyonlar tamamlandıktan sonra, sonuçlar ve kullanılan metodoloji işlenerek kamuoyuyla paylaşılmıştır.
MITRE ATT&CK matrisleri
MITRE ATT&CK çerçevesi, siber tehditlerin faaliyet gösterdiği farklı ortamlar için özel olarak tasarlanmış birden fazla matrise ayrılmıştır. Bu matrisler, saldırganlar tarafından kullanılan taktikleri, teknikleri ve prosedürleri (TTP'ler) kategorize ederek güvenlik ekiplerinin savunma stratejilerini geliştirmelerine yardımcı olur.
Kurumsal matris
Windows, macOS, Linux ve bulut ortamlarındaki tehditleri kapsayan en kapsamlı matris. Ayrıcalık eskalasyonu, yanal hareket ve veri sızıntısı gibi teknikleri içerir.
Mobil matris
iOS ve Android cihazları hedefleyen tehditlere odaklanmıştır. Bu matris, kimlik bilgisi hırsızlığı, ağ istismarı ve mobil kötü amaçlı yazılım sürekliliği gibi saldırı tekniklerini ayrıntılı olarak açıklar.
ICS (Endüstriyel Kontrol Sistemleri) matrisi
SCADA sistemleri gibi endüstriyel ortamlara özel siber tehditleri ele alır. Yetkisiz komut yürütme ve ürün yazılımı manipülasyonu dahil olmak üzere kritik altyapıyı bozmak için kullanılan teknikleri vurgular.
MITRE ATT&CK taktikleri
ATT&CK'nin temelleri, bir saldırganın bir hedefe ulaşması için eylemleri temsil eden bir dizi Tekniktir. Hedefler Taktikler olarak sınıflandırılır.
Taktik, Tekniğin "Nedenini" temsil eder. Bu, bir saldırganın bir eylemi gerçekleştirmesinin nedenidir. Bir teknik, saldırganın bir eylemi gerçekleştirerek belirli bir hedefe ulaşmak için kullandığı "Yöntemdir". Ayrıca, saldırganın "Ne" elde ettiğini temsil eder.
Kurumsal (Enterprise) alan örnek alındığında, taktik şu şekilde tanımlanır:
İlk Erişim: Saldırganların bir ağa ilk erişimi elde etmek için kullandıkları yöntemlerdir; kimlik avı, tedarik zinciri ele geçirilmesi veya internete açık uygulamaların istismar edilmesi gibi.
Uygulama: Komut satırı yürütme, komut dosyası oluşturma ve istemci yürütmesi için istismar dahil olmak üzere bir sistemde kötü amaçlı kod çalıştıran teknikler.
Kalıcılık: Saldırganların, yeni kullanıcı hesapları, kayıt defteri değişiklikleri ve planlanmış görevler oluşturmak gibi ilk tehlikeden sonra erişimi sürdürmek için kullandıkları yöntemler.
Ayrıcalık Yükseltme: Saldırganların, güvenlik açıklarından yararlanma, kimlik bilgisi dökümü ve erişim jetonu manipülasyonu gibi yöntemlerle daha yüksek düzeyde izinler elde etme yolları.
Savunma Kaçınması: Güvenlik kontrollerinden kaçınmak ve tespiti zorlaştırmak amacıyla kullanılan tekniklerdir; güvenlik araçlarını devre dışı bırakma, dosyaları gizleme (obfuscation) ve süreç enjeksiyonu gibi.
Kimlik Bilgisi Erişimi: Tuş kaydı (keylogging), kaba kuvvet saldırıları ve kimlik bilgisi dökümü gibi yöntemlerle kullanıcı kimlik bilgilerinin ele geçirilmesine yönelik tekniklerdir.
Keşif: Ağ taraması ve hesap envanteri çıkarma gibi yöntemlerle sistemler ve ağlar hakkında bilgi toplamaya yönelik tekniklerdir.
Yanal Hareket: Bir ağ içerisindeki sistemler arasında ilerlemek için kullanılan tekniklerdir. Bunlara Uzaktan Masaüstü Protokolü (RDP) kullanımı ve pass-the-hash saldırıları örnek verilebilir.
Veri toplama: Ekran görüntüsü alma, tuş kaydı (keylogging) ve yerel veritabanlarından veri çekme gibi hassas bilgilerin toplanmasına yönelik yöntemleri kapsar.
Veri dışa aktarımı: Çalınan verilerin ağ dışına çıkarılmasını sağlayan tekniklerdir. Şifreli veri aktarımı ve bulut depolama servislerinin kötüye kullanılması bu kapsamdadır.
Etki: Operasyonları aksatmayı hedefleyen teknikleri ifade eder. Fidye yazılımı dağıtımı, veri imhası ve hizmet engelleme (DoS) saldırıları bu gruba dahildir.
MITRE ATT&CK teknikleri
MITRE ATT&CK çerçevesi, siber saldırılarda kullanılan tehdit aktörü tekniklerini sistematik biçimde sınıflandırır. Temel teknikler şunları içerir:
İlk Erişim - Kimlik avı saldırıları veya dışa açık uygulamaların istismar edilmesi yoluyla sisteme giriş sağlanması.
Yürütme - Komut satırı veya komut dosyası mekanizmaları aracılığıyla zararlı kodun çalıştırılması.
Kalıcılık - Kayıt defteri değişiklikleri veya zamanlanmış görevler yoluyla erişimin korunması.
Yetki Yükseltme - Güvenlik açıkları ya da kimlik bilgisi dökümü (credential dumping) ile daha yüksek yetkiler elde edilmesi.
Savunmadan Kaçınma - Zararlı faaliyetlerin gizlenmesi veya güvenlik araçlarının devre dışı bırakılması.
Yanal Hareket - RDP veya pass-the-hash gibi yöntemlerle ağ içinde yayılma.
Veri dışa aktarımı - Şifreli aktarım kanalları veya bulut servislerinin kötüye kullanılmasıyla veri sızdırma.
Bu tekniklerin anlaşılması, kurumların güvenlik savunmalarını daha etkili şekilde güçlendirmesine yardımcı olur.
MITRE ATT&CK çerçevesinin anatomisi
Taktikler, saldırganların neye ulaşmaya çalıştığını tanımlar.
Taktikler, bir kitabın bölümleri gibi düşünülebilir. Bir CISO, bir saldırıda kullanılan üst seviye taktikleri anlatarak vermek istediği hikâyeyi net bir şekilde çerçeveleyebilir; ardından tekniklere referans vererek saldırının nasıl gerçekleştirildiğini daha ayrıntılı biçimde açıklayabilir.
Örnek hikaye: Ortak bir dil kullanarak saldırı hikâyesi oluşturma
Saldırganın hedefi, ağa ilk erişimi sağlamaktı. Güvenilir bir ilişkiyi kullanarak gerçekleştirilen bir drive-by compromise ve spear phishing bağlantısı sayesinde saldırgan, bu teknik aracılığıyla ilk erişimi başarıyla elde etti.
Not: Çerçeve, bir saldırganın ilk erişimi sağlayabileceği bilinen tüm yöntemleri kapsamlı biçimde listeler.
Siber güvenlik çözümü nasıl yardımcı olur?
Çözüm, sahip olduğu güvenlik yeteneklerini ATT&CK Çerçevesi ile eşleştirerek; tespitleri ilgili taktikler ve tekniklerle ilişkilendirir. Bu yaklaşım, tehditlerin tespit edilmesi ve bunlara müdahale edilmesi konusundaki zorlukların nasıl ele alınabileceğini somut şekilde ortaya koyar.
Peki ya önleme?
Önleyici kontroller, bir tehdit azaltma stratejisinin temel unsurlarından biridir ve saldırı altındayken kurumun dayanıklılığını artırır. Son test çalışmalarında, önleyici kontrollerin riskleri erken aşamada bertaraf edebildiği görülmüş; bu da kurumların kaynaklarını daha karmaşık ve kritik güvenlik sorunlarına ayırabilmesine olanak sağlamıştır.
MITRE ATT&CK ve Siber Öldürme Zinciri Karşılaştırması
MITRE ATT&CK, bir saldırı sırasında gerçekleşebilecek davranışları çok daha ayrıntılı bir seviyede tanımlamak üzere tasarlanmıştır ve bu yönüyle geleneksel Siber Öldürme Zinciri modeline kıyasla önemli bir ilerleme sunar.
Siber Öldürme Zincirinde yedi adım vardır:
Keşif
İzinsiz Giriş
Kötüye Kullanım
Yetkili Çalıştırma
Yanal Hareket
Gizleme / Adli analizden kaçınma
Hizmet Reddi
Eksfiltrasyon
MITRE ATT&CK kullanım durumları
MITRE ATT&CK çerçevesi, güvenlik teknolojilerinin saldırganın bakış açısından yapılandırılmasını sağlarken, savunma tarafındaki karşı önlemlerin de referanslanmasına imkân tanır. Bu yaklaşım doğrultusunda aşağıdaki kullanım senaryoları tanımlanır:
Tehdit aktörü emülasyonu
Bir saldırganın emülasyonu. Veritabanındaki tehdit gruplarına ait teknikler ve saldırı senaryoları çıkarılarak; saldırı zincirleri tespit edilebilir ve bu saldırılara karşı etkili savunma kontrollerinin mevcut olup olmadığı doğrulanabilir.
Kırmızı ekip oluşturma
Siber egzersizler için saldırı senaryoları oluşturun. Bu tatbikatlarda kırmızı takım (red team) saldırgan rolünü, mavi takım (blue team) savunma rolünü, beyaz takım (white team) ise kontrol, değerlendirme ve karar verme rolünü üstlenir.
Davranışsal analitik geliştirme
IoC’lere veya yalnızca bilinen tehdit istihbaratına dayanmaktansa, ATT&CK bilgi tabanı kullanılarak bilinmeyen teknikler ve eylem kalıpları analiz edilebilir; bu sayede yeni tespit ve önleme mekanizmaları geliştirilebilir.
Savunma boşluklarının değerlendirilmesi
Bir kuruluşun mevcut önlemlerinde eksik olan unsurları belirleyin. Yatırım önceliklerini belirleyin.
SOC olgunluk değerlendirmesi
SOC tarafından gerçekleştirilen tespit, analiz ve müdahalenin ne kadar etkili olduğunu belirleyin.
Siber tehdit istihbaratını zenginleştirme
Güvenlik analistleri, bir saldırgan grubun eylemlerini derinlemesine anlayabilir ve bu bulguları ayrıntılı şekilde raporlayabilir. Veritabanından elde edilen veriler sayesinde; belirli bir grubun hangi araçları kullandığı, hangi teknolojilere dayandığı ve saldırıları başlatırken hangi prosedürleri izlediği net biçimde tespit edilebilir.
Bu alan profesyonel uzmanlık gerektirse de MITRE ATT&CK web sitesi, yukarıda belirtilen amaçlara uygun matrisler oluşturulmasına olanak tanıyan ATT&CK Navigator adlı bir uygulama da sunmaktadır.
Kurumsal Güvenlik Çözümleri için MITRE ATT&CK 2024 Sonuçları
2024 yılında MITRE Engenuity, bugüne kadar simüle edilen en gerçekçi modern saldırı tekniklerini kullanarak çıtayı bir üst seviyeye taşıdı. Trend Micro’nun bu değerlendirmede olağanüstü bir performans sergilediğini söylemek bile yetersiz kalır.
Trend Micro’nun 2024 MITRE Engenuity ATT&CK Evaluations kapsamındaki etkileyici başarısı, üst üste beşinci yılına ulaşmış olup, bugüne kadar herhangi bir üretici için kaydedilen en yüksek puanlardan bazılarını içermektedir.
2023 yılında 161 milyardan fazla tehdidin engellenmiş olması (2022’ye kıyasla %10’luk bir artış) en gelişmiş saldırıların dahi proaktif şekilde durdurulabilmesi için risk görünürlüğünün ne kadar kritik olduğunu açıkça ortaya koymaktadır.
Bu yılki değerlendirmeler; günümüzdeki en sofistike ve en tehlikeli fidye yazılımı tehditlerinden üçü olan DPRK, CL0Pve LockBit’in taktik, teknik ve prosedürlerine (TTP’ler) odaklanmıştır.
Jon Clay has worked in the cybersecurity space for over 29 years. Jon uses his industry experience to educate and share insights on all Trend Micro externally published threat research and intelligence.