CyberFlow Logo CyberFlow BLOG
Soc L1 Kaynak Istihbarat Osint Tehdit Istihbarati

MITRE ATT&CK: Siber Güvenlikte Taktik, Teknik ve Prosedürlerin Derinlemesine Analizi

✍️ Ahmet BİRKAN 📂 Soc L1 Kaynak Istihbarat Osint Tehdit Istihbarati

Siber güvenlikte MITRE ATT&CK Framework'ü ile saldırgan davranışlarını anlamak, TTP analizi ve stratejik hedefleri keşfedin.

MITRE ATT&CK: Siber Güvenlikte Taktik, Teknik ve Prosedürlerin Derinlemesine Analizi

MITRE ATT&CK Framework, siber saldırganların taktik ve tekniklerini analiz ederek, güvenlik sistemlerini güçlendirmek için kritik bir kaynak sunar. Bu blog yazısında, TTP analizi ve kullanım örneklerini keşfedin.

Giriş ve Konumlandırma

MITRE ATT&CK Nedir?

Siber güvenlikte etkili bir savunma stratejisi geliştirmek, sürekli olarak evrilen tehditlerle başa çıkmanın anahtarıdır. İşte bu noktada MITRE ATT&CK Framework devreye girer. MITRE ATT&CK, siber saldırganların saldırı sürecindeki taktiklerini, tekniklerini ve prosedürlerini (TTP - Taktik, Teknik ve Prosedür) sistematik bir şekilde belgeleyen küresel ölçekteki bir bilgi tabanıdır. Bu framework, karşılaşılabilecek tehditler hakkında kapsamlı bir anlayış sağlayarak güvenlik profesyonellerinin, bu tehditlere karşı daha etkili çözümler geliştirmelerine yardımcı olur.

MITRE ATT&CK’in temel amaçlarından biri, savunma stratejilerini geliştirmek ve iyileştirmektir. Framework, belirli bir tehdit aktörü tarafından hangi tekniklerin kullanıldığını analiz ederek, güvenlik ekiplerinin saldırıları önceden tahmin etmelerini ve bu saldırılara karşı hazırlıklı olmalarını sağlar. Böylece, siber saldırılara karşı daha dirençli bir altyapı oluşturma hedefi kolaylaşır.

Neden Önemlidir?

Siber güvenlik alanında MITRE ATT&CK’in önemi, özellikle savunma ve saldırı simülasyonları açısından büyüktür. Saldırganların tercih ettiği taktiksel yöntemleri analiz etmek, bu yöntemleri anlayarak kendimizi nasıl koruyabileceğimizi bilmemizi sağlar. Örneğin, bir saldırganın "Initial Access" taktiğiyle sisteme giriş yapma aşamasını göz önünde bulundurursak, bu aşama için uygulanabilecek olası teknikler arasında "Spearphishing Attachment" veya "RDP (Remote Desktop Protocol) Brute Force" yer alabilir. Bu gibi yöntemlerin bilinmesi, savunma mekanizmalarının güçlendirilmesine olanak tanır.

Siber Güvenlik ve Pentesting Açısından Bağlam

Pentest (penetrasyon testi), sistemlerin ve ağların güvenliğini test etmek amacıyla gerçekleştirilen önemli bir süreçtir. MITRE ATT&CK Framework, pentesting sırasında etkili bir kılavuz görevi görür. Güvenlik uzmanları, belirli bir hedef organizasyon üzerindeki tehdit gruplarının bilinen TTP'lerini taklit ederek sızma testleri gerçekleştirmek için bu framework’ü kullanabilir. Böylece güvenlik açıklarının belirlenmesi ve güçlendirilmesi sağlanır.

Örneğin, APT29 (Advanced Persistent Threat 29) gibi belirli bir tehdit grubunun tekniklerinin taklit edilmesi, güvenlik açıklarını ortaya çıkarmanın yanı sıra, bu saldırıların nasıl gerçekleştiğine dair bir anlayış kazandırır. Bunun için aşağıdaki gibi bir örnek olay haritalama süreci kullanılabilir:

| Taktik              | Teknik                        | Prosedür                        |
|---------------------|-------------------------------|---------------------------------|
| Initial Access      | Spearphishing Attachment      | Hedef odaklı oltalama ile bulaşma |
| Credential Access    | Credential Dumping           | Windows Credentials ile veri elde etme |
| Lateral Movement     | Pass the Ticket              | Kerberos biletleri kullanarak ağda yayılma |

Bu tabloda, her bir taktiğin altında yer alan teknikler ve prosedürler, savunma ekiplerinin hangi alanlarda daha fazla çaba göstermeleri gerektiğini göstermektedir.

Sonuç ve Teknik İçeriğe Hazırlık

MITRE ATT&CK Framework, saldırganların davranışlarının sistematik bir analizini sağlar. Bu bilgi, güvenlik ekiplerinin hem mevcut saldırıları anlamaları hem de gelecekteki saldırılar için strateji geliştirmeleri açısından son derece önemlidir. Sadece IP adresi veya hash gibi statik verilere odaklanmak yerine, davranışsal analizlerin yapılması, saldırganların yöntemlerini değiştirmek istemeleri durumunda bile etkili bir keşif ve tespit mekanizması sağlar.

Siber güvenlik uzmanları için MITRE ATT&CK, güvende kalmak için kullanabilecekleri güçlü bir araçtır. Gelecek bölümlerde, bu framework'ün alt bileşenleri olan taktikler, teknikler ve prosedürler üzerinde derinlemesine bir analiz yapılacak, okuyuculara saldırı simülasyonları ve boşluk analizi gibi uygulamalı bilgiler sunulacaktır.

Teknik Analiz ve Uygulama

MITRE ATT&CK Nedir?

MITRE ATT&CK, siber tehdit aktörlerinin kullandığı taktikler, teknikler ve prosedürleri (TTP'ler) standartlaştıran, iyi belgelenmiş bir bilgi tabanıdır. Bu framework, saldırgan davranışlarını anlamak, analiz etmek ve güvenlik önlemleri geliştirmek için kritik bir kaynak oluşturmaktadır. Her bir eleman, bir siber saldırının yaşam döngüsündeki kritik aşamaları temsil eder.

TTP: Taktik, Teknik ve Prosedür

Taktik, saldırganın o anki amacı veya stratejik hedefidir. Örneğin, "Veri Sızıntısı" veya "Kalıcılık" gibi durumlar birer taktiktir. Teknik ise, saldırganların belirli bir taktikte amaçlarına ulaşmak için kullandıkları yöntemlerdir. Örneğin, "Phishing" veya "Brute Force" gibi teknikler, belirli bir hedefe ulaşmak için kullanılan yolları gösterir. Prosedürler ise, bir tekniğin belirli bir tehdit grubunun uygulama biçimidir. Belirli bir zararlı yazılımın çalışma sırası, bu konuda örnek teşkil eder.

Taktik -> Neden (Stratejik Amaç)
Teknik -> Nasıl (Uygulanan Yöntem)
Prosedür -> Uygulama Biçimi

Matris Yapısı ve Taktikler

MITRE ATT&CK framework'ü, saldırı yaşam döngüsü boyunca saldırganın izleyebileceği farklı taktik ve teknikleri matris formatında sunar. Matris, her bir satırı bir taktiğe ve sütunları ilgili tekniklere ayırır. Örneğin, "Initial Access" (İlk Giriş) taktiği altında çeşitli teknikler sıralanır.

Taktiklerin Stratejik Amacı

Her bir taktiğin altında belli başlı teknikler yer alır. Örneğin, "Spearphishing Attachment" tekniği, "Initial Access" taktiği için hedef odaklı bir oltalama yöntemi olarak işlev görür. Bu tür tekniklerin belirlenmesi, sistem yöneticilerine savunma stratejileri geliştirmeleri için önemli bilgiler sunar. Bu bilgileri bir bileşen olarak düşünürsek, her bir teknik, saldırganların hangi amaca ulaşmak için hangi yöntemleri kullandığını anlamamıza yardımcı olur.

Teknik ve Alt-Teknikler

Her bir teknik, bazen daha da derinlemesine analiz edilebilen alt tekniklere sahiptir. Örneğin, "Spearphishing" tekniği, "Spearphishing Attachment" ve "Spearphishing Link" gibi alt tekniklere ayrılabilir. Bu derecelendirme, bir siber tehditin ne kadar karmaşık olduğunu anlamamıza yardımcı olur ve bu gibi tasnifler, tehdit avcılarının dolaylı yoldan saldırıların olasılığını öngörmelerine olanak sağlar.

Teknik: Spearphishing 
- Alt Teknik 1: Spearphishing Attachment
- Alt Teknik 2: Spearphishing Link

Vaka Haritalama (Mapping)

Güvenlik olayları, MITRE ATT&CK teknikleri ile eşlendiğinde, saldırganların bir sonraki adımlarını öngörmek daha kolay hale gelir. Bu vaka haritalama süreci, tekniklerin ve taktiklerin uygulandığı senaryoların belgelendirilmesini sağlar. Örneğin, bir alarmla karşılaşıldığında, bu alarmın hangi MITRE ATT&CK bileşeni ile eşlendiğinin belirlenmesi, olayın hızlı bir şekilde yanıtlanmasını kolaylaştırır.

Adversary Emulation (Saldırgan Simülasyonu)

MITRE ATT&CK verilerini kullanarak, gerçek bir tehdit grubunun (örneğin APT29) davranışlarını taklit ederek savunma sistemlerini test etme sürecine "Adversary Emulation" denir. Bu simülasyon, organizasyonların savunma sistemlerindeki açıkları keşfetmelerine ve gerekli güncellemeleri yapmalarına yardımcı olur. Saldırgan simülasyonları, hem teknik bilgilerin güncellenmesini sağlamakta hem de güvenlik ekiplerinin yeteneklerini geliştirmektedir.

MITRE ATT&CK Navigator

MITRE, kullanıcıların mevcut hücreleri daha hızlı ve verimli bir şekilde inceleyebilmeleri için ATT&CK Navigator isimli bir araç sunmaktadır. Bu araç, kullanıcıların matris üzerinde görselleştirme yapmalarına, tekniklerin hangi alanları kapsadığını analiz etmelerine ve güvenlik yatırımlarının etkisini gözler önüne sermelerine olanak tanır. 

# MITRE ATT&CK Navigator komutları
# Kullanıcıların hedeflediği teknikleri seçmelerine olanak sağlar.

Boşluk Analizi (Gap Analysis)

MATRIÇ üzerindeki kapsanmayan alanlar, savunma sistemlerindeki eksiklikleri ve tespit boşluklarını ortaya çıkarır. Bu analiz, bir organizasyonun güvenlik seviyesinin ne ölçüde yeterli olduğunu ve hangi alanlarda iyileştirmeler yapılması gerektiğini değerlendirir. Kapsama analizi, güvenlik yatırımlarının ne kadarını kapsadığını raporlamada önemli bir araçtır.

Davranışsal Tespit (Behavioral Detection)

Son olarak, sadece IP veya Hash gibi statik verilere odaklanmak yerine, MITRE tekniklerini temel alan davranışsal analizler yapmak, saldırganın yöntemini değiştirmesi durumunda bile tespiti sağlar. Bu yaklaşım, sistemlerin daha dinamik bir şekilde korunmasını mümkün kılar ve siber güvenlik ekiplerine saldırıya karşı daha esnek bir yapı kazandırır.

MITRE ATT&CK framework'ü, siber güvenlik alanındaki çalışmaları daha etkili hale getirmek için sürekli olarak güncellenmektedir.

Her bir bileşenin analizi ve uygulanması, daha güvenli bir dijital ortam yaratmak için gereklidir.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

Siber güvenlik alanında etkili bir savunma mekanizması oluşturabilmek için risklerin doğru şekilde değerlendirilmesi ve yorumlanması gerekmektedir. Bu değerlendirme, MITRE ATT&CK Framework'ü gibi standart bir kaynağın kullanılmasıyla yapılmalıdır. MITRE ATT&CK, saldırganların taktik, teknik ve prosedürlerini sistematik bir şekilde sunarak, siber güvenlik analistlerine detaylı bir analiz imkanı sağlamaktadır.

Saldırgan Davranışlarının Anlaşılması

Bir saldırganın sabit bir hedefe ulaşmak için ne tür taktikler kullandığını anlamak, risklerin değerlendirilmesi aşamasında kritik bir öneme sahiptir. Örneğin, bir organizasyon "Initial Access" taktiğini kullanarak saldırganların ağlarına giriş yapıp yapmadığını denetlemelidir. Bu noktada, sızan verilerin, korunan ağ topolojisinin ve hizmetlerin tespiti büyük önem taşımaktadır. Sistem üzerinde gerçekleştirilen değerlendirmelerde, saldırıların potansiyel etkilerinin ve bu etkilerin nasıl minimize edilebileceğinin belirlenmesi amaçlanır.

Etkili bir analiz için kullanılabilecek bazı taktik ve teknikler:
- **Phishing**: E-posta yolu ile kötü niyetli yazılımın dağıtılması.
- **Brute Force**: Şifre kırma işlemi ile sistemlere yetkisiz erişim sağlanması.
- **Pass the Ticket**: Kimlik doğrulama biletlerini kullanarak yan yoldan ağda hareket etme.

Yanlış Yapılandırmalar ve Güvenlik Zafiyetleri

Yanlış yapılandırmalar, bir organizasyonun siber güvenlik duruşunu zayıflatan kritik unsurlardır. Örneğin, bir sistemdeki yanlış yetkilendirme ayarları, bir saldırganın ağ üzerindeki kaynaklara erişmesini kolaylaştırabilir. Ayrıca, güncel olmayan yazılımlar veya uygulamalardaki zafiyetler, saldırganların bu sistemleri istismar etmelerine olanak tanır.

Örnek verirsek, bir web sunucusunda güncellenmemiş bir yazılımın bulunması veya varsayılan ayarların değiştirilmemesi, potansiyel bir güvenlik açığı yaratır. Bu gibi zafiyetler üzerine yapılan risk değerlendirmeleri, saldırganların potansiyel hedeflerini belirlemelerine yardımcı olur.

Profesyonel Önlemler ve Hardening Stratejileri

Güvenlik duruşunu güçlendirmek için organizasyonların, belirli savunma önlemleri almak üzere harekete geçmeleri gerekir. Bu önlemler arasında sistemlerin düzenli olarak güncellenmesi, güvenlik yamalarının uygulanması ve kullanıcı eğitimlerinin sağlanması yer alır. Ayrıca, sistemlerin hardening (sıkılaştırma) işlemi, zafiyetlere karşı ek bir koruma katmanı oluşturur.

Hardening Önerileri:

  1. Güvenlik Gruplarının Yapılandırılması: Kullanıcıların ve sistemlerin erişim haklarını sınırlamak için, minimum yetki prensibi dikkate alınmalıdır.
  2. Güvenlik Duvarı Kuralları: Ağın dış bağlantıları için sıkı kurallar oluşturulmalıdır.
  3. Olay Yönetimi: Şüpheli aktiviteleri zamanında tespit etmek için etkili bir olay yönetim sistemi kurulmalıdır.
  4. Düzenli Yedeklemeler: Kritik veri ve sistemlerin düzenli olarak yedeklenmesi, olası veri kayıplarının önüne geçer.

Kısa Sonuç Özeti

Siber güvenlikte etkili bir risk değerlendirmesi ve yorumlama süreci, sadece teknik eksikliklerin belirlenmesiyle sınırlı kalmaz, aynı zamanda potansiyel tehditlerin ve saldırıların ortaya çıkarılmasını da kapsar. MITRE ATT&CK Framework'ü, bu süreci sistematik bir şekilde yönlendiren bir rehber niteliği taşır. Yanlış yapılandırmalar ve zafiyetler dikkate alınarak alınacak profesyonel önlemler ve hardening stratejileri, bir organizasyonun siber güvenlik duruşunu güçlendirerek, olası saldırıların etkilerini minimize eder.