MITRE ATT&CK

MITRE, framework’u “bir düşmanın saldırı yaşam döngüsünün çeşitli aşamalarını ve hedef aldıkları platformları yansıtan, siber düşman davranışlarına yönelik düzenlenmiş bir bilgi tabanı ve model” olarak tanımlıyor. Buradaki anahtar kelimeler “aşamalar” ve “davranış”tır. Bir düşmanın stratejik bir amacı olduğunda — örneğin veri kaçırma veya uzun vadeli komuta ve kontrol kurma gibi — bunu aşamalı olarak birden fazla taktik kullanarak gerçekleştireceklerdir. Her aşama, teknikler dizisi olan davranışlardan oluşur.Tekniklerin ise farklı prosedür setleri vardır. Bu nedenle, nihai hedef, bir veya daha fazla teknik içeren başlangıç taktiğiyle başlayıp, ardından diğer taktik ve tekniklerle devam eder ve düşmanın amacı gerçekleşene kadar böyle devam eder. Genel taktiklerin spesifik prosedürlere kadar katmanlaşması, TTP (Taktik, Teknik, Prosedür) olarak adlandırılır.

MITRE Nedir?

1958 yılında MIT Lincoln Laboratuvarı’ndan ayrılarak kurulan MITRE, merkezi Bedford, Massachusetts ve McLean, Virginia’da bulunan, hükümet destekli kar amacı gütmeyen bir kuruluştur. MITRE, Amerika Birleşik Devletleri hükümetine havacılık, savunma, sağlık, iç güvenlik ve siber güvenlik alanlarında araştırma, geliştirme ve sistem mühendisliği konularında yardımcı olmak için federal olarak finanse edilen araştırma merkezleri işletmektedir.Siber güvenlik topluluğuna kayda değer katkıları arasında, kamuya açık güvenlik açığı bilgilerini yayımlayan CVE veritabanı ve tehdit istihbarat bilgisinin paylaşılmasına yardımcı olan Yapılandırılmış Tehdit Bilgi Değişimi (STIX) dili bulunmaktadır.MITRE , 2019 yılında, “siber savunma konusunda endüstri genelindeki sorunları çözmek için özel sektörle iş birliği yapmak” amacıyla kurulmuş özel bir vakıf olarak hayata geçirilmiştir. MITRE , MITRE ATT&CK framework’unun geliştiricileri olup, MITRE ATT&CK değerlendirmelerini gerçekleştirmektedir.

MITRE ATT&CK’in Amacı Nedir?

MITRE , belirtilen amaçları doğrultusunda kar amacı gütmeyen bir araştırma kuruluşudur:Son kullanıcılara, belirli ticari güvenlik ürünlerini kullanarak bilinen düşman davranışlarını nasıl tespit edebilecekleri konusunda objektif bilgiler sağlamak.Güvenlik ürün ve hizmetlerinin bilinen düşman davranışlarını tespit etme yetenekleri konusunda şeffaflık sağlamak.Güvenlik satıcı topluluğunu, bilinen düşman davranışlarını tespit etme yeteneklerini artırmaya yönlendirmek.ATT&CK framework’u, paydaşların, siber savunucuların ve satıcıların, bir tehdidin tam doğası ve onu yenebilecek siber savunma planının objektif değerlendirilmesi konusunda açıkça iletişim kurmalarını sağlayan ortak bir dil sunar.

Framework’ün Üç Faydası:

Taktik ve tekniklerin kombinasyonları açısından düşmanın oyun planını anlarız.Bir tehdidin tam doğasını net bir şekilde iletebilir ve daha hızlı, daha bilinçli bir şekilde yanıt verebiliriz.Tipik düşmanlarımızın kimler olduğunu ve nasıl saldırdıklarını anladığımızda, onlara karşı proaktif savunmalar tasarlayabiliriz.

ATT&CK Ne Anlama Geliyor?

ATT&CK, Adversarial Tactics, Techniques, and Common Knowledge (Düşmanca Taktikler, Teknikler ve Ortak Bilgi) anlamına gelir. MITRE ATT&CK, gerçek dünya gözlemlerine dayanan düşman taktikleri ve tekniklerine dair küresel olarak erişilebilir bir bilgi tabanıdır.

ATT&CK Taktikleri Nelerdir?

Bir ATT&CK taktiği, bir saldırganın en yüksek seviyedeki amacıdır. Taktikler, analiste faaliyetlerin olası amacını veya bir düşmanın neden eylemlerini gerçekleştirdiğini açıklar. Taktikler, bireysel teknikler için yüksek seviyede bağlamsal kategoriler temsil eder

ATT&CK Teknikleri Nelerdir?

Bir ATT&CK tekniği, saldırganın hedeflerine nasıl ulaştığını ve eylemleriyle ne elde etmeye çalıştığını temsil eder. Örneğin, bir düşman verileri şifreleme veya sıkıştırma tekniklerini kullanarak Exfiltration (Veri Kaçırma) taktiğini gerçekleştirmeye çalışabilir.Taktikler ve teknikler arasındaki ilişki ATT&CK matrisinde görselleştirilir. Örneğin, Persistence (Kalıcılık) taktiği, yeni bir hizmet oluşturma veya yeni bir zamanlanmış görev ekleme gibi çeşitli tekniklere sahip olabilir.

MITRE ATT&CK ve Cyber Kill Chain Arasındaki Fark Nedir?

İlk bakışta, MITRE ATT&CK framework Lockheed Martin Cyber Kill Chain’e benzer görünebilir. Her iki framework de tehdit davranışları ve hedefleri için farklı modeller sunar.

ReconnaissanceWeaponizationDeliveryExploitationInstallationCommand and controlActions on objectives

Reconnaissance :

Saldırgan, hedef hakkında bilgi toplar. Bu aşama, açık kaynaklardan bilgi toplama, sosyal mühendislik, ağ taraması ve zayıflıkların araştırılmasını içerir. Amaç, hedef sistemlerin, ağların ve savunma mekanizmalarının nasıl çalıştığını öğrenmektir.

Weaponization :

Saldırgan, keşif aşamasında elde ettiği bilgileri kullanarak bir saldırı aracı geliştirir. Bu, bir kötü amaçlı yazılım veya istismar kodu oluşturma ve bunu zararsız bir dosya veya uygulama ile birleştirme sürecini içerir. Örneğin, zararlı bir PDF dosyası veya bir web sitesi istismar kiti hazırlanabilir.

Delivery :

Saldırgan, silahlandırılmış yükü hedef sisteme iletir. Bu aşama, oltalama e-postaları, kötü amaçlı web siteleri, USB sürücüler veya başka herhangi bir taşıyıcı yoluyla gerçekleştirilebilir. Amaç, zararlı yükü hedef sisteme başarıyla ulaştırmaktır.

Exploitation:

Saldırgan, teslim edilen zararlı yükü kullanarak hedef sistemi istismar eder. Bu aşama, bir güvenlik açığından yararlanarak hedef sistemde kötü amaçlı kodu çalıştırmayı içerir. Örneğin, bir kullanıcı oltalama e-postasındaki ek dosyayı açtığında veya kötü amaçlı bir web sitesini ziyaret ettiğinde gerçekleşir.

Installation:

Saldırgan, hedef sisteme kalıcı bir varlık sağlar. Bu, bir arka kapı (backdoor) veya başka bir kalıcı kötü amaçlı yazılımın kurulmasını içerir. Amaç, saldırganın sisteme sürekli erişim sağlaması ve daha sonraki aşamalarda bu erişimi kullanabilmesidir.

Command and Control :

Saldırgan, hedef sistemi uzaktan kontrol etmek için bir C2 (komuta ve kontrol) kanalı kurar. Bu aşama, hedef sistemin saldırganın kontrolündeki bir sunucuya bağlanmasını ve komutlar almasını içerir. Bu sayede saldırgan, hedef sistemi uzaktan yönetebilir ve talimatlar verebilir.

Actions on Objectives:

Saldırgan, nihai hedefine ulaşmak için gereken faaliyetleri gerçekleştirir. Bu aşama, veri hırsızlığı, sistem tahribatı, fidye yazılımı dağıtımı veya başka herhangi bir saldırı amacını içerir. Saldırgan, elde ettiği erişimi kullanarak hedeflerine ulaşır ve saldırının etkilerini artırır.

Initial accessExecutionPersistencePrivilege escalationDefense evasionCredential accessDiscoveryLateral movementCollection and exfiltrationCommand and control

Initial Access :

Saldırganın hedef ağına veya sisteme ilk giriş yaptığı aşamadır. Bu, oltalama e-postaları, güvenlik açıklarından yararlanma veya kötü amaçlı yazılım yükleme gibi yöntemlerle gerçekleştirilebilir.

Execution :

Saldırganın kötü amaçlı kodu çalıştırdığı aşamadır. Bu aşama, saldırganın hedef sistemde zararlı işlemler başlatmasını içerir ve PowerShell veya komut satırı komutları kullanarak gerçekleştirilir.

Persistence

Saldırganın erişimini sürdürmek ve yeniden giriş yapabilmek için sistemde kalıcı bir varlık oluşturduğu aşamadır. Bu, başlatma dosyalarına kötü amaçlı kod ekleme veya kullanıcı hesabı oluşturma gibi yöntemlerle yapılabilir.

Privilege Escalation :

Saldırganın daha yüksek ayrıcalıklar elde etmek için mevcut erişim seviyesini artırdığı aşamadır. Bu, yönetici hakları elde etmek veya root seviyesinde erişim sağlamak için güvenlik açıklarının kullanılmasını içerir.

Defense Evasion :

Saldırganın tespit edilmekten kaçınmak için güvenlik önlemlerini atlatma aşamasıdır. Bu, antivirüs yazılımlarını devre dışı bırakma veya logları temizleme gibi tekniklerle gerçekleştirilir.

Credential Access:

Saldırganın kullanıcı hesaplarına erişmek için kimlik bilgilerini topladığı aşamadır. Bu, parola hırsızlığı, keylogger kullanımı veya hash toplama gibi yöntemlerle yapılabilir.

Discovery :

Saldırganın hedef ağı veya sistemleri hakkında bilgi topladığı aşamadır. Bu, ağ taraması, sistem bilgisi toplama veya hizmetlerin keşfi gibi faaliyetleri içerir.

Lateral Movement:

Saldırganın bir sistemden diğerine geçerek ağı genişlettiği aşamadır. Bu, uzaktan masaüstü protokolü (RDP) veya Windows yönetim araçları (WMI) kullanılarak gerçekleştirilir.

Collection and Exfiltration :

Saldırganın hassas verileri topladığı ve hedef ağdan çıkardığı aşamadır. Bu, dosya hırsızlığı, ekran görüntüsü alma veya veri paketleme gibi yöntemlerle yapılabilir.

Command and Control:

Saldırganın hedef sistemi uzaktan kontrol ettiği aşamadır. Bu, kötü amaçlı yazılımın komutları alması ve saldırganın talimatlarını yerine getirmesi için bir C2 sunucusu kullanarak gerçekleştirilir

Her bir adımında birden fazla taktik ve teknik bulunan ATT&CK framework, saldırgan davranışlarını tanımlarken daha fazla ayrıntı ve spesifiklik sunar. ATT&CK, bir saldırının aşamalarını tanımlamanın ötesine geçerek, belirli saldırgan eylemlerini ve motivasyonlarını modellemektedir.Ek olarak, Cyber Kill Chain, keşif ile başlayıp hedeflere yönelik eylemlerle biten bir sırayla okunur. ATT&CK framework ise kronolojik değildir ve saldırganların bir saldırı süresince taktik ve teknik değiştirebileceğini varsayar.MITRE, ATT&CK’in “orta düzey bir düşman modeli” olduğunu belirtiyor, yani ne çok genelleştirilmiş ne de çok spesifik. Lockheed Martin Cyber Kill Chain gibi yüksek düzey modeller, düşmanın hedeflerini gösterir ama bu hedeflere nasıl ulaşıldığı konusunda spesifik değildir.Buna karşılık, exploit ve malware veritabanları, genellikle kötü niyetli kişilerin bunları nasıl kullandığına bağlanmayan veya kötü niyetli kişilerin kim olduğunu belirlemeyen IoC tanımlar. MITRE nin TTP modeli, taktiklerin adım adım ara hedefler olduğu ve tekniklerin her taktiğin nasıl gerçekleştirildiğini temsil ettiği bu mutlu orta noktayı sağlar.

MITRE ATT&CK Değerlendirmesi Neden Önemlidir?

Güvenlik çözümlerini test etmek uzun süredir sorunlu ve gerçek dünya yeteneklerini belirlemek için uygun olmamıştır. İlk EICAR testinden, yıllardır var olan özel üçüncü taraf test laboratuvarlarına kadar, yapay test ile gerçek dünya etkinliği arasında her zaman büyük bir kopukluk olmuştur. Satıcılar, müşterilerinin hem güvenceye hem de ürünleriyle ilgili eğitime ihtiyaç duyduğunun uzun süredir farkındalar ve doğal olarak kendi güçlü yönlerine en uygun durumlarda çözümlerini sergilemeye çalışıyorlar.MITRE’nin sağladığı şey benzersizdir. İlk olarak, değerlendirme bağımsız, tarafsız ve açık test kriterleri ve sonuçları sağlar. Önemli olan, testin satıcı ürünlerini birbirleriyle karşılaştırmayı veya yargılamayı amaçlamamasıdır. Amaç, ürünün bir saldırının belirli aşamalarına nasıl yanıt verdiğini göstermektir. Bu, kurumsal kullanıcıların benimsedikleri veya benimsemeyi düşündükleri ürünün gerçek dünyada nasıl performans göstereceğini anlamalarına yardımcı olur.İkincisi, birazdan not edeceğimiz bazı uyarılarla birlikte, şu anda mevcut olan herhangi bir şeye en yakın gerçek dünya deneyimidir. Doğada gözlemlenen TTP’leri birleştirerek ve bunları bir saldırının tüm yaşam döngüsünü taklit eden aşamalarda uygulayarak, tüketiciler, bilinen ve bilinmeyen kötü amaçlı yazılım örneklerine karşı test yapmaktan çok daha zengin bir içgörü elde ederler.

MITRE ATT&CK Enterprise Evaluations Tarihi

MITRE ATT&CK değerlendirmeleri ilk olarak 2018'de başlatıldı. MITRE , bilinen gelişmiş tehdit gruplarının bir bilgi tabanını sürdürür ve her yıl değerlendirme testleri için bir veya daha fazla düşman grubunu taklit etmek üzere seçer. Mevcut ve önceki değerlendirmelerin ayrıntılı sonuçları, MITRE ATT&CK değerlendirme katılımcı karşılaştırma aracında bulunmaktadır.