CyberFlow Logo CyberFlow BLOG
Soc L2 Threat Hunting Hipotez

Siber Tehdit Avcılığında ATT&CK Taktik ve Teknik Haritalama

✍️ Ahmet BİRKAN 📂 Soc L2 Threat Hunting Hipotez

Siber tehdit avcılığında ATT&CK taktik ve teknik haritalamanın önemi ve süreci hakkında detaylı bilgiler.

Siber Tehdit Avcılığında ATT&CK Taktik ve Teknik Haritalama

Siber güvenlik alanında ATT&CK haritalama süreçleri, saldırı tekniklerinin analizinde önemli bir rol oynamaktadır. Bu yazıda, ATT&CK taktik ve teknik haritalamanın aşamalarını, avantajlarını ve zorluklarını inceleyeceğiz.

Giriş ve Konumlandırma

Siber güvenlik alanında, saldırganların kullandığı tekniklerin detaylı analizi ve bu tekniklerin hangi taktiklerin bir parçası olduğunun anlaşılması, kurumsal güvenliğin sağlanması için kritik bir öneme sahiptir. Siber tehdit avcılığı, güvenlik ekiplerinin bu tür tehditleri proaktif bir şekilde belirlemesi ve önlemesi amacıyla gerçekleştirdiği süreçtir. ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) çerçevesi, bu süreci destekleyen önemli bir araçtır ve saldırı taktiklerinin tekniklerle nasıl ilişkilendirileceğini göstermektedir.

ATT&CK Mapping Nedir?

ATT&CK mapping, saldırı taktikleri ile uygulanan teknikler arasındaki ilişkiyi belirlemeyi ifade eder. Bu süreçte, saldırganın hedeflerine ulaşmak için kullandığı çeşitli yöntemler analiz edilir ve bu yöntemlerin hangi taktiklerle ilişkilendirildiği ortaya konur. Bu haritalama, güvenlik analistlerinin saldırganların davranışlarını daha iyi anlamasını, olası saldırı senaryolarını tahmin etmesini ve etkili savunma stratejileri geliştirmesini sağlar.

Örneğin, bir saldırganın "Sisteme giriş" (Initial Access) taktiğiyle bir kuruma sızması durumunda, bu girişin nasıl gerçekleştirildiği (örneğin, bir kimlik avı e-postası aracılığıyla) "Teknik" (Technique) olarak adlandırılacaktır. Bu tür bir haritalama sayesinde savunma ekipleri, belirli teknikleri hedef alarak önlem alabilir.

Neden Önemli?

Siber tehdit avcılığı açısından ATT&CK mapping, güvenlik ekiplerinin saldırılara karşı daha hazırlıklı olmalarını sağlar. Her bir saldırı taktiği, savunma ekipleri için belirli bir tehdit profili oluşturur. Bu profiller, hangi savunma önlemlerinin alınması gerektiğine dair karar verme süreçlerini destekler. Örneğin, "Yetki artırma" (Privilege Escalation) gibi kritik bir taktik, güvenlik ekiplerinin sistem içindeki yetki ihlallerine karşı nasıl bir savunma mekanizması kuracaklarını belirlemeleri için önemli bir gösterge olabilir.

Siber Güvenlik ve Pentest Bağlamında

Siber güvenlik ve penetration testing (pentest) süreçlerinde ATT&CK sayfasının kullanılması, gerekli bilgiye dayalı karar alma süreçlerini destekler. Pentest süreçlerinde kullanılan araçlar ve teknikler, genellikle real-world saldırı senaryolarına dayandığından, ATT&CK çerçevesinin sağladığı bilgiler, bu tür testlerin daha gerçekçi ve etkili olmasını sağlar. Güvenlik testleri, yalnızca zafiyetleri tespit etmekle kalmaz, aynı zamanda bu zafiyetlerin hangi taktikler çerçevesinde kullanılabileceğini de ortaya koyar.

Teknik İçeriğe Hazırlık

Bu bağlamda, okuyucunun bu yazının devamında ATT&CK taktiklerinin nasıl hiyerarşi içinde organize edildiğini, her bir taktiğin altında hangi tekniklerin yer aldığını ve bu süreçte karşılaşabilecekleri avantajlar ve zorlukları detaylandıracağımızı anlaması önemlidir. Haritalama süreci, yalnızca tekniklerin belirlenmesiyle sınırlı kalmaz, aynı zamanda bu teknikleri analiz etmek ve daha iyi anlamak için gerekli olan analiz becerilerinin geliştirilmesini de içerir.

Aşağıdaki kod bloğu, ATT&CK mapping sürecinin basit bir gösterimini sunmaktadır:

ATT&CK Mapping Süreci:
1. Taktik Tanımlama
2. Kullanıcı Davranış Analizi
3. Teknik Belirleme
4. Zafiyet İlişkilendirme
5. Tespit Stratejileri Geliştirme

Bu aşamalar, güvenlik ekiplerinin etkili bir tehdit avcılığı gerçekleştirmesi için izlemeleri gereken adımları özetlemektedir. Bütün bu süreç, organizasyonların saldırılara karşı daha dirençli hale gelmesine yardımcı olur ve siber güvenlik alanındaki kalitenin artırılmasına katkı sağlar.

Teknik Analiz ve Uygulama

Mapping Tanımı

Siber güvenlik alanında tehdit avcılığı, organizasyonları hedef alan kötü niyetli faaliyetleri tespit etmek ve önlemek için kritik öneme sahiptir. ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) çerçevesi, siber saldırganların davranışlarını anlamak ve analiz etmek için yaygın olarak kullanılır. ATT&CK haritalama, saldırı taktikleri ile teknikleri arasındaki ilişkiyi belirlemeyi ifade eder.

Bu süreç, bir saldırı senaryosunun değişkenlerini anlayarak güvenlik ekiplerinin etkili önlemler almasını sağlar.

Tactic Kavramı

ATT&CK çerçevesinde "tactic", bir saldırganın ulaşmak istediği hedefe yönelik kullandığı geniş stratejileri temsil eder. Her bir tactic, belirli bir çıkarım veya hedefe yönelik niyetleri içerir. Örneğin, "Initial Access" (Sisteme giriş) taktiği, bir saldırganın sistemlere sızma girişimlerini ifade ederken, "Privilege Escalation" (Yetki artırma) taktiği, mevcut erişim izinlerini artırma çabalarını kapsar.

Technique Kavramı

Bir "technique", saldırganın belirtilen bir hedefe ulaşmak için kullandığı spesifik yöntemdir. Örneğin, "Spear Phishing" (hedefli kimlik avı) bir teknik olarak "Initial Access" taktiğine dahil edilir. Bir teknik, bir saldırı taktiğinin gerçekleştirilmesi için gereken adımları ve yöntemleri içerir.

Mapping Süreci

ATT&CK haritalama süreci, belirli adımlardan oluşur:

  1. Taktiklerin Belirlenmesi: Hedeflenen saldırı senaryoları için hangi taktiklerin geçerli olduğunu belirleyin.
  2. Tekniklerin Seçilmesi: Belirlenen taktikleri gerçekleştirebilecek teknikleri tanımlayın.
  3. Veri Toplama: Gerçek saldırı verileri ya da simüle edilmiş kayıtlar toplayarak analiz için zemin hazırlayın.
  4. Analiz Süreci: Toplanan verileri kullanarak, saldırıların nasıl gerçekleştiğini anlayın ve ilgili teknikleri belirleyin.
  5. Geliştirme: Elde edilen bilgiler ile önleyici tedbirler ve erken tespit sistemleri geliştirin.
# Örnek: Teknik analiz için kullanılabilecek bir Python kodu
import pandas as pd

# Saldırı verilerinin yüklenmesi
data = pd.read_csv('attack_data.csv')

# Saldırıların taktiklerin belirlenmesi
tactics = data['Tactic'].unique()

# Taktiklere göre tekniklerin çıkarılması
for tactic in tactics:
    techniques = data[data['Tactic'] == tactic]['Technique'].unique()
    print(f"Tactic: {tactic} - Techniques: {', '.join(techniques)}")

Mapping Amaçları

ATT&CK haritalamanın temel amacı, saldırı senaryolarını anlamak ve güvenlik gözlemlerini geliştirmektir. Bu, hem mevcut güvenlik çözümlerinin etkinliğini artırmak hem de yeni saldırı tekniklerine karşı daha hazırlıklı olmak için gereklidir.

Use Case

Örnek bir kullan case olarak, bir organizasyonun "Phishing" saldırısı sonrası ATT&CK haritalama sürecini değerlendirdiğini düşünün. Saldırganın "Initial Access" taktiği altında "Phishing" tekniğini kullandığını belirler ve ardından güvenlik mühendisleri, aynı tür saldırılara karşı alabilecekleri önlemleri geliştirmek için bu bilgiyi kullanır.

Örnek Taktikler

Etkili bir tehdit avcılığı için bazı temel ATT&CK taktikleri şunlardır:

  • Initial Access (Sisteme giriş): Kötü niyetli yazılımlar aracılığıyla sisteme sızmak.
  • Execution (Kod çalıştırma): Saldırganın, sızdığı sistemde kötü amaçlı kodları çalıştırması.
  • Privilege Escalation (Yetki artırma): Sistemdeki sınırlı erişimleri genişletme çabası.

Her bir taktik, belirli tekniklerle ilişkilendirilmiş ve saldırı senaryoları üzerinde etkili bir şekilde analiz edilmiştir.

Avantajlar

ATT&CK haritalama, organizasyonların güvenlik açıklarını tanımlamaları için önemli bir araçtır. Ayrıca:

  • Görünürlük Artışı: Saldırıların nasıl gerçekleştiği hakkında daha fazla bilgi edinerek, güvenlik ekiplerinin kaynaklarını daha etkili kullanmasını sağlar.
  • Standartlaştırma: Saldırı tekniklerinin araç ve yöntemlerini daha iyi anlamak, analiz süreçlerini standartlaştırır.
  • Tespit Etkinliğini Artırma: Gerçek saldırılara benzer simüle edilmiş senaryolar oluşturularak, tespit sistemleri geliştirilebilir.

Zorluklar

ATT&CK haritalama sürecinde bazı zorluklar da mevcuttur:

  • Karmaşık Haritalama: Karmaşık saldırı senaryolarında doğru taktik ve teknikleri belirlemek zordur.
  • Doğru Verinin Elde Edilmesi: Gerçek verilerin toplanması için genellikle uzmanlık gereklidir.

SOC L2 Final Süreci

SOC L2 analistleri, ATT&CK haritalama sürecini etkili bir şekilde kullanarak saldırı tekniklerini analiz eder ve potansiyel tehditleri tespit eder. Bu süreç, güvenlik olaylarına hızlı ve etkili bir şekilde müdahale etmeyi mümkün kılar. Doğru ve güncellenmiş bir ATT&CK haritası, analistlere güçlü bir rehberlik sağlar ve güvenlik önlemlerini geliştirmek için ihtiyaç duyulan bilgileri sunar.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, saldırganların kullanabileceği çeşitli teknikler ve taktikler bulunmaktadır. Bu noktada, ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) çerçevesi, bu tekniklerin ve taktiklerin haritalanmasında önemli bir rol oynamaktadır. ATT&CK, saldırganların hedeflerine ulaşmak için kullandığı yolları anlamamıza yardımcı olurken, savunma stratejilerimizi de güçlendirmektedir. Bu bölüm, elde edilen bulguların güvenlik anlamını yorumlayarak, yanlış yapılandırmalar, zafiyetler ve tehditler hakkında kapsamlı bir değerlendirme sunmaktadır.

Elde Edilen Bulguların Yorumlanması

Siber tehdit avcılık sürecinde elde edilen bulgular, organizasyonun güvenlik durumu hakkında oldukça fazla bilgi sağlar. Örneğin, sızan veriler, hizmetlerin düzgün çalışıp çalışmadığı ve altyapının ne şekilde yapılandırıldığı gibi unsurlar, risk değerlendirmesi için kritik öneme sahiptir.

Bir örnek üzerinden gitmek gerekirse, bir organizasyonun veritabanında izinsiz erişim tespit edildiğinde, aşağıdaki noktaların incelenmesi gerekir:

  • Sızıntının Kaynağı: Saldırganın hangi teknikleri kullandığı ve ne tür bilgilere eriştiği belirlenmelidir.
  • Veri Türü: Elde edilen verinin türü (kişisel veri, finansal veri vb.) değerlendirilmelidir.
  • Etkilenen Alanlar: Altyapının hangi bileşenlerinin etkilendiği, organizasyonun genel güvenlik açığını ortaya çıkarır.
# Elde Edilen Sonuçlar
- Veri Sızıntısı: Kişisel bilgilerin üçüncü şahıslara verilmesi
- Kullanılan Teknik: Phishing
- Etkilenen Hizmet: Veritabanı sunucusu

Yanlış Yapılandırma ve Zafiyet Analizi

Yanlış yapılandırmalar, organizasyonların güvenlik seviyelerini ciddi şekilde etkileyebilir. Birçok saldırı, sistemlerin yanlış yapılandırılması sonucunda gerçekleşir. Örneğin, bir sunucunun yetkili kullanıcı listesi yetersiz ise, bu durum yetkisiz erişimlere yol açabilir.

# Yanlış Yapılandırma Kontrolü
grep -i "password" /etc/passwd

Yukarıdaki komut, şifrelerin yönetildiği dosyadaki potansiyel zafiyetleri tespit etmeye yöneliktir. Eğer burada şifrelerin açık bir şekilde yer aldığı tespit edilirse, bu durum acil bir güvenlik zafiyetidir.

Sızan Veri, Topoloji ve Servis Tespiti

Siber saldırılar sonucunda sızan veriler, saldırganların hedeflerine dair önemli ipuçları sunar. Örneğin, bir şirkete ait kullanıcı adı ve şifrelerin çalınması durumunda, bu bilgilerin nerede kullanıldığı ve hangi sistemlere erişim sağlandığı tespit edilmelidir.

Ayrıca, ağ topolojisinin incelenmesi de önemlidir. Hangi sistemlerin bağlı olduğu, hangi portların açık olduğu gibi bilgiler, saldırı yüzeyini oluşturur. Aktif hizmetlerin tespiti, ağda bulunan zayıf noktaları ve yanlış yapılandırmaları belirlemek için önemlidir.

# Açık Portların Tespiti
nmap -sT -p- 192.168.1.1

Yukarıdaki komut, belirli bir IP adresinde açık olan tüm portları taramak için kullanılır. Tespit edilen açık port ve hizmetlerin güvenlik kontrollerinin yapılması gereklidir.

Profesyonel Önlemler ve Hardening Önerileri

Siber tehditlere karşı alınabilecek bazı önlemler ve hardening önerileri şunlardır:

  1. Güçlü Parola Politikaları: Şifrelerin karmaşık ve düzenli aralıklarla değiştirilmesi gerekmektedir.
  2. Ağ Segmentasyonu: Kritik sistemlerin ve verilerin farklı alt ağlarda tutulması, saldırı senaryolarını minimize edecektir.
  3. Düzenli Güncellemeler: Yazılımların ve işletim sistemlerinin güncellenmesi, bilinen zafiyetlerin kapatılmasına yardımcı olur.
  4. Erişim Kontrolleri: Kullanıcıların yetkilerinin uygun bir şekilde sınırlandırılması, yalnızca gerekli bilgilere erişim sağlamaları hedeflenmelidir.

Sonuç

Siber tehdit avcılığı, sürekli bir süreç olarak değerlendirilmelidir. Elde edilen bulguların doğru yorumlanması, organizasyonların doğru önlemleri almasına ve siber güvenlik düzeylerini artırmalarına yardımcı olur. Ayrıca, yanlış yapılandırmaların ve zafiyetlerin belirlenmesi, siber güvenlik stratejilerinin etkili bir şekilde uygulanmasını sağlar. Bu bağlamda, profesyonel önlemler alarak, organizasyonların güvenlik açıklarını minimize etmeleri ve olası saldırılara karşı direnç kazanmaları mümkündür.