Siber saldırganlar, dijital sistemlerin var olduğu günden bu yana, dönemin saldırı vektörlerini kullanarak sistemlere siber saldırılar gerçekleştirmektedir. Geçmişte karmaşık ve büyük dijital sistemler olmadığından siber saldırılar basit ve anlaşılır saldırı yöntemlerinden oluşuyordu. Ancak zamanla dijital sistemler büyüyerek daha karmaşık dijital yapılara dönüştü, dolayısıyla siber saldırıların gelişmiş yöntemlerle anlaşılması da daha zor hale geldi. Bu da siber saldırıların tespitini zorlaştırıyor. Günümüzde bir siber saldırının tam olarak anlaşılabilmesi için siber saldırıların adımlarının ve detaylarının belirli gruplara uygun olacak şekilde modellenmesi gerekmektedir. Bu modelleme ihtiyacını karşılayan önemli çerçevelerden biri de MITRE ATT&CK çerçevesidir.
MITRE’ye Giriş
MİTRE nedir?
MITRE, 1958 yılında ABD’de, ulusal güvenliği yeni yöntemlerle geliştirmek için yenilikçi çözümler üreten ve bağımsız danışman olarak kamu yararına hizmet eden bir kuruluş olarak kuruldu. MITRE’nin çalışma alanları Siber Güvenlik, Havacılık, Yapay Zeka ve Makine Öğrenimi, Havacılık ve Ulaştırma, Savunma ve İstihbarat, Devlet İnovasyonu, Sağlık, Ulusal Güvenlik ve Telekom’dur.
MITRE ATT&CK Çerçevesi Nedir?
Çelişkili Taktikler, Teknikler ve Ortak Bilgi anlamına gelen MITRE ATT&CK, MITRE’nin 2013 yılında kullanıma sunduğu ve teknolojiyle birlikte sürekli olarak geliştirilen ve genişletilen bir bilgi veritabanının çerçevesidir. MITRE ATT&CK çerçevesi sayesinde siber saldırıları sistematik olarak analiz etmek mümkün. Siber saldırılar belirli aşamalara ayrılabilir ve her aşamada kullanılan yöntemler derinlemesine analiz edilerek siber güvenlikle ilgili çalışmalarda kullanılabilir. MITRE ATT&CK Çerçevesi, siber güvenlik endüstrisindeki her çalışan için önemli bir kaynaktır.
MITRE ATT&CK Çerçevesi SOC Analisti için neden önemlidir?
MITRE ATT&CK Çerçevesinde siber saldırıların her adımı detaylı bir şekilde ele alındığından, SOC Analistleri siber saldırının her aşaması için yapılması gereken aksiyonları ve bunun referans olduğunu net bir şekilde görebiliyor. Bu sayede siber saldırılara karşı geliştirilen saldırı tespit ve zarar azaltma teknikleri daha etkin şekilde kullanılabilir, siber saldırıların haritaları çıkarılabilir, derinlemesine bir rapor yazılabilir ve saldırının detayları daha sonra kullanılmak üzere arşivlenebilir. Bu çerçeve siber saldırılara ilişkin net bir yol haritası sunduğundan, henüz gerçekleşmemiş diğer olası siber saldırılar üzerinde de araştırmalar yapılarak bunları tespit etme veya önleme yolları geliştirilebilir.
Matris
MITRE ATT&CK Matrisi Nedir?
MITRE ATT&CK Matrix, siber saldırganların saldırı yöntemlerini sınıflandırmak ve görmek için kullanılan bir görselleştirme yöntemidir. Matrisler hemen hemen her konuya göre özelleştirilebilir ve kullanışlı görsellere dönüştürülebilir. MITRE, matrisleri kullanarak saldırgan davranışının ayrıntılarını görselleştirmek için MITRE ATT&CK matrislerini oluşturdu.
Matris Türleri
MITRE ATT&CK Framework içerisinde platform türlerine göre 3 farklı matris oluşturulmuştur:
Kurumsal Matris
Mobil Matris
ICS (Endüstriyel Kontrol Sistemleri) Matrisi
Kurumsal Matris
Kurumsal matris, MITRE tarafından oluşturulan ilk matristir. Bu matriste daha fazla dijital sistem bulunmaktadır ve diğer matrislere dahil olanlardan daha yaygındır, dolayısıyla bu matriste diğer matrislere göre çok daha fazla bilgi bulunmaktadır. Kurumsal matris esas olarak büyük kuruluşlara yönelik siber saldırıları anlamak için kullanılır.
Aşağıdaki resim kurumsal matrisi ayrıntılı olarak göstermektedir:
İşletme Matrisi altında 7 alt matris bulunmaktadır:
- PRE
- Windows
- macOS
- Linux
- Cloud
- Network
- Containers
Kurumsal Matris ve alt matrislerine aşağıdaki bağlantıdan ulaşabilir ve hakkında daha fazla bilgi edinebilirsiniz:
Enterprise Matrix: https://attack.mitre.org/matrices/enterprise/
Mobil Matris
Mobil matris, mobil cihazlar için hazırlanan ve mobil cihazların siber güvenliğine ilişkin bilgileri içeren matristir. Bu matris bireysel ve kurumsal mobil cihazların güvenliğinin sağlanması amacıyla kullanılabilir. Kurumsal Matris ile karşılaştırıldığında daha az bilgi içerir:
Aşağıdaki resimde mobil matris gösterilmektedir:
Mobile Matrix’e aşağıdaki bağlantıdan ulaşabilir ve daha fazlasını öğrenebilirsiniz:
Mobil Matris: https://attack.mitre.org/matrices/mobile/
Mobil Matrisin 2 alt matrisi vardır:
- Android
- iOS
ICS Matrisi
ICS Matrisi, endüstriyel kontrol sistemlerindeki cihazların siber güvenliği için toplanan bilgileri içeren matristir. Bu matris, bir EKS’nin siber güvenliğini ve analizlerini sağlamak için kullanılabilir.
Aşağıdaki görüntü ICS matrisini göstermektedir:
Yukarıdaki görselde yer alan ICS Matrix’e aşağıdaki bağlantıdan ulaşabilirsiniz:
ICS Matrisi: https://attack.mitre.org/matrices/ics/
Taktikler
Taktik Nedir?
Taktik, siber saldırganın amacını ve eyleminin nedenini ifade eder. Taktikler, siber saldırgan davranışlarını gruplamak ve saldırı adımlarını görmek için kullanılan en önemli MITRE ATT&CK Framework bileşenlerinden biridir. Taktikler matrisin en üst satırındadır.
Örnek olarak kurumsal matristeki taktikler aşağıdaki görselde gösterilmektedir:
Taktik Türleri
Taktikler genellikle siber saldırının amacını ve nedenini ifade ettiğinden genel ifadelerden oluşur. Bu nedenle her matrisin taktikleri oldukça benzerdir.
Örneğin aşağıdaki görselde kurumsal matrise ait “İlk Erişim” taktiğine ilişkin detaylı bilgiler yer alıyor:
Not: Yukarıdaki görseldeki sayfa uzun bir içeriğe sahip olduğundan sadece üst kısmı gösterilmektedir.
Her matristeki taktik numaraları ve isimleri aşağıdaki başlıklarda verilmiştir.
Kurumsal Taktikler
Aşağıdaki listede olduğu gibi Enterprise matrisinde 14 taktik bulunmaktadır:
- Reconnaissance
- Resource Development
- Initial Access
- Execution
- Persistence
- Privilege Escalation
- Defense Evasion
- Credential Access
- Discovery
- Lateral Movement
- Collection
- Command and Control
- Exfiltration
- Impact
Kurumsal Taktikler: https://attack.mitre.org/tactics/enterprise/
Kurumsal matris altındaki her taktiğe yukarıdaki bağlantıda sayfanın solundaki gezinme menüsünden ulaşabilirsiniz.
Mobil Taktikler
Mobil matrisinde aşağıdaki listede olduğu gibi 14 taktik bulunmaktadır:
- Initial Access
- Execution
- Persistence
- Privilege Escalation
- Defense Evasion
- Credential Access
- Discovery
- Lateral Movement
- Collection
- Command and Control
- Exfiltration
- Impact
- Network Effects
- Remote Service Effects
Mobil Taktikler: https://attack.mitre.org/tactics/mobile/
Mobil matris altındaki her taktiğe yukarıdaki bağlantıda sayfanın solundaki gezinme menüsünden ulaşabilirsiniz.
ICS Taktikleri
ICS matrisinde aşağıdaki listede olduğu gibi 12 taktik bulunmaktadır:
- Initial Access
- Execution
- Persistence
- Privilege Escalation
- Evasion
- Discovery
- Lateral Movement
- Collection
- Command and Control
- Inhibit Response Function
- Impair Process Control
- Impact
ICS Taktikleri: https://attack.mitre.org/tactics/ics/
ICS matrisi altındaki her taktiğe yukarıdaki bağlantıda sayfanın solundaki gezinme menüsünden ulaşabilirsiniz.
Teknikler ve Alt Teknikler
Teknikler ve Alt Teknikler Nelerdir?
Matris içerisindeki taktikler sadece saldırganın neyi hedeflediğini gösterir ve saldırganın saldırı yöntemi hakkında detaylı bilgi içermez. Teknikler ve alt teknikler ise saldırganın amacına ulaşmak için kullandığı yöntemleri ve saldırıyı tam olarak nasıl gerçekleştirdiğini gösterir. Her teknik/alt teknik, belirli bir taktiğe bağlı olarak matrise dahil edilir. Örnek olarak kurumsal matristeki bazı teknikler aşağıdaki resimde gösterilmektedir:
Yukarıdaki görüntüdeki matristeki alanların çoğunluğu tekniklerdir. Bazı tekniklerin alt teknikleri vardır, bazılarının yoktur.
Yukarıdaki görselde görüldüğü gibi matriste tekniklerin adlarının yazılı olduğu kutuların yanında gri alanlar varsa tekniğin bir alt tekniği olduğunu gösterir. Örnek olarak “Keşif” taktiği kapsamında ilk 4 tekniğin alt tekniklerini görelim:
Teknik Türleri ve Alt Teknikler
Teknikler matrislere göre 3 gruba ayrılır:
- Enterprise Techniques
- Mobile Techniques
- ICS Techniques
Kurumsal Teknikler
Oldukça fazla sayıda kurumsal teknik vardır ve zaman içinde sürekli olarak güncellenmektedir. Girişim teknikleri ve alt tekniklerin güncel sayısı (10.05.2023) aşağıdaki gibidir:
Teknikler: 193
Alt teknikler: 401
Güncel sayıları aşağıdaki bağlantıdan kontrol edebilirsiniz:
Kurumsal Teknikler ve Alt Teknikler: https://attack.mitre.org/techniques/enterprise/
Mobil Teknikler
Mobil tekniklerin toplam sayısı kurumsal tekniklere göre daha azdır ve zamanla güncellenmektedir. Mobil teknik ve alt tekniklerin güncel sayısı (10.05.2023) aşağıdaki gibidir:
Teknikler: 66
Alt teknikler: 41
Güncel sayıları aşağıdaki bağlantıdan kontrol edebilirsiniz:
Mobil Teknikler ve Alt Teknikler: https://attack.mitre.org/techniques/mobile/
ICS Teknikleri
Diğer matrislerin tekniklerinde olduğu gibi ICS teknikleri de zaman içinde güncellenmektedir. İKS teknik ve alt tekniklerinin güncel sayısı (10.05.2023) aşağıdaki gibidir:
Teknikler: 79
Alt teknikler: 0
Güncel sayıları aşağıdaki bağlantıdan kontrol edebilirsiniz:
ICS Teknikleri ve Alt Teknikleri: https://attack.mitre.org/techniques/ics/
Prosedür Nedir?
Prosedür, tekniklerin/alt tekniklerin kullanım örneklerinden oluşur. Tekniğin uygulanması sırasında hangi aracın/yazılımın kullanıldığını gösterir. Yani tekniğin kullanımına ilişkin pratik bilgilerin anlatılmasıdır.
“İşletim Sistemi Kimlik Bilgilerinin Boşaltılması” tekniği prosedürünün bir örneği aşağıdaki resimde yer almaktadır:
Prosedürlere tekniklerin yer aldığı sayfadan da ulaşılabilir.
Azaltmalar
Azaltmalar nelerdir?
Azaltmalar, MITRE ATT&CK matrisindeki tekniklere yanıt olarak alınabilecek önlemleri ve eylemleri ifade eder. Her bir azaltıcı önlemin, bunlar hakkında net bir anlayış sağlayan benzersiz bir kimliği, adı ve açıklaması vardır. Örneğin, aşağıdaki resimde kurumsal azaltımlardan biri gösterilmektedir:
Not: Yukarıdaki görseldeki sayfa uzun bir içeriğe sahip olduğundan sadece üst kısmı gösterilmektedir.
Azaltma Türleri
Azaltımlar diğer MITRE ATT&CK bileşenlerinde olduğu gibi matrisler için 3’e ayrılmıştır:
Kurumsal Azaltmalar
Mobil Etki Azaltmalar
ICS Azaltımları
Kurumsal Azaltmalar
Not: Yukarıdaki görseldeki sayfa uzun bir içeriğe sahip olduğundan sadece üst kısmı gösterilmektedir.
Bu eğitimin hazırlandığı tarihteki işletme azaltımlarının sayısı aşağıdaki gibidir:
Azaltmalar: 43
Güncellenen numarayı görmek için aşağıdaki bağlantıyı kontrol edebilirsiniz:
Kurumsal Azaltmalar: https://attack.mitre.org/mitigations/enterprise/
Mobil Etki Azaltmalar
Not: Yukarıdaki görseldeki sayfa uzun bir içeriğe sahip olduğundan sadece üst kısmı gösterilmektedir.
Bu eğitimin hazırlandığı dönemde mobil azaltımların sayısı aşağıdaki gibidir:
Azaltmalar: 11
Güncellenen numarayı görmek için aşağıdaki bağlantıyı kontrol edebilirsiniz:
Mobil Azaltmalar: https://attack.mitre.org/mitigations/mobile/
ICS Azaltımları
Not: Yukarıdaki görseldeki sayfa uzun bir içeriğe sahip olduğundan sadece üst kısmı gösterilmektedir.
Bu eğitimin hazırlandığı tarihteki ICS azaltımlarının sayısı aşağıdaki gibidir:
Azaltmalar: 51
Güncellenen numarayı görmek için aşağıdaki bağlantıyı kontrol edebilirsiniz:
ICS Azaltımları: https://attack.mitre.org/mitigations/ics/
Gruplar
Gelişmiş Kalıcı Tehdit (APT) Grupları, zaman zaman devletlerin de desteğiyle hedefli ve sistematik bir şekilde siber saldırılar gerçekleştiren, birçok farklı kişi ve grubu içerebilen hacker gruplarıdır. APT grupları farklı motivasyonlarla siber saldırılar gerçekleştirebilmektedir. Örneğin, grubun belirli bir misyonu olabilir, saldırılarını para için yapıyor olabilir, ya da yabancı devlet destekli olabilir ve saldırılarını ulusal ideallerini elde etmek için gerçekleştirebilir.
MITRE ATT&CK Çerçevesi kapsamında APT grupları hakkında bilgi toplanarak hangi APT grubunun hangi sistemleri hedef aldığı ve hangi siber saldırı tekniklerinin uygulandığı tespit ediliyor. Tüm bu bilgiler bir araya toplanıp MITRE ATT&CK matrisi ile değerlendirildiğinde APT grubunun saldırı haritası ortaya çıkabiliyor.
Gruplar: 135
Güncellenen numarayı görmek için aşağıdaki bağlantıyı kontrol edebilirsiniz:
Gruplar: https://attack.mitre.org/groups/
Yukarıdaki site ziyaret edildiğinde sayfanın sol tarafında aşağıdaki görseldeki gibi bir menü görünecektir:
Bu menüyü kullanarak listelenen APT gruplarına ait bilgilere ulaşılabilir. Örneğin “Lazarus Group” APT grubuna ilişkin bilgiler şu şekilde:
Yukarıdaki görüntüde görüldüğü gibi MITRE ATT&CK Çerçevesinde listelenen her APT grubunun benzersiz bir Grup Kimliği, Adı ve Açıklaması vardır.
Ayrıca grubun siber saldırılarda kullandığı tekniklere ilişkin bilgileri de sayfanın alt kısmında görebilirsiniz:
“Teknikler” sütununun altında, APT grubunun saldırı için hangi araçlardan, yazılımlardan veya tekniklerden yararlandığını görebilirsiniz. Örneğin “Lazarus Group” APT grubunun kullandığı bazı yazılımlar aşağıdaki görseldeki gibidir:
Yazılım
Yazılım, dijital sistemler üzerinde çalışmak üzere geliştirilmiş programlardır. MITRE ATT&CK Framework’ün yazılım bölümünde APT gruplarının kullandığı yazılımlar bulunmaktadır.
Her yazılımın benzersiz bir kimliği, adı ve açıklaması vardır. Örneğin, aşağıdaki resimde yazılımın Kimliği, Adı ve Açıklaması gösterilmektedir:
Yazılım hakkında detaylı bilgi almak için yazılım ismine tıklayarak ilgili yazılımın sayfasına ulaşabilirsiniz. Örneğin aşağıdaki görselde “3PARA RAT” yazılımının sayfası gösterilmektedir:
Not: Yukarıdaki görseldeki sayfa uzun bir içeriğe sahip olduğundan sadece üst kısmı gösterilmektedir.
Yukarıdaki görselde “3PARA RAT” yazılımı hakkında detaylı bilgilerin yer aldığı sayfa gösterilmektedir. Bu sayfadaki bilgiler yazılımın hangi teknikleri kullandığını ve bu yazılımı hangi APT grup(lar)ının kullandığını içerir.
MITRE ATT&CK Çerçevesinde oldukça fazla sayıda yazılım bulunmaktadır ve adlar/ID’ler/Açıklamalar yeni eklenen yazılımlarla zaman içinde sürekli olarak güncellenmektedir. Bu eğitimin hazırlandığı andaki yazılım sayısı aşağıdaki gibidir:
Yazılım: 718
Aşağıdaki bağlantıyı kontrol ederek mevcut yazılım sayısını görebilirsiniz:
Yazılım: https://attack.mitre.org/software/
Bu siteyi ziyaret ettiğinizde sayfanın solunda aşağıdaki görseldeki gibi bir menü göreceksiniz:
Listelenen yazılımlar hakkında detaylı bilgiye bu menüden ulaşabilirsiniz.