Şimdiye kadar Dünyada yaşanmış olan siber saldırılar nasıl oldu, hangi taktik ve teknikler kullanıldı, yapılan bu saldırılara karşı alınan tedbirler nasıl oluşturuldu gibi sorular her zaman kafamızın bir köşesinde aklımızı kurcalamaktadır.
Bu soruların cevaplarını yeni yazmış olduğum “MITRE ATT&CK Framework Nedir” adlı blog yazımda bulunmaktadır. Bu blog yazısında:
Gibi konular ele alınmıştır.
Mitre; kâr amacı gütmeyen, mühendislik ve teknik rehberlik amacıyla oluşturulmuştur bir kuruluştur. yılında geliştirilmeye başlanılan, düşman taktikler, teknikler ve ortak bilgilerin kısaltması olan ATT%CK ismini almıştır. yılında bu proje herkese ücretsiz olarak sunulmuş ve ücretsiz bir şekilde kamuoyuna duyurulmuştur.
Böyle bir eylemin doğma nedeni saldırganların davranışlarını sistematik olarak kategorilere ayırma ihtiyacından kaynaklanmaktadır. Saldırganların kulanmış olduğu metotları inceleyip, bir saldırının nasıl oluştuğunu hangi açıklıklardan yararlanıp saldırdığını, hangi teknikleri kullandığını gösteren büyük bir kaynaktır. Bu kaynak kullanılarak saldırganların önceden hangi yolları kullandığını görmüş olup bir sonraki hamlelerini tahmin edebiliriz.
Kısacası MITRE ATT&CK Framework; şimdiye kadar yaşanan tüm siber olayların kaydının tutulduğu yerdir. Siber saldırı ansiklopedisi olarak bilinir.
MITRE ATT&CK Matrisleri Nelerdir?
MITRE ATT&CK Matrisi saldırganlarının kullanmış oldukları teknikleri içerir. Bu kullanılan teknikler teker teker kategorize edilmiş şekilde bulunur. 3 bölüme ayrılmıştır:
Enterprise ATT&CK
Enterprise ATT&CK matrisi Windows, Linux veya MacOS sistemlerinde çalıştırılan teknik ve taktiklerden oluşur. Enterprise ATT&CK matrisini incelediğimizde 14 tane farklı teknik gözümüze çarpmaktadır:
1-)Reconnaissance (Keşif): Sistem hakkında aktif ve pasif bilgi toplama
2-)Resource Development (Kaynak geliştirme): Saldırganların hedeflerini destekleyici bir yerde kullanabilmesi için oluturulan teknikleri içerir.
3-)Initial Access (İlk Erişim): Ağ içindeki ilk yerlerini elde etmek için kullanılan tekniklerden oluşur.
4-)Execution (Yürütme): Yerel veya uzak bir sistem aracılığıyla çalıştırılmasına neden olan teknikleri içerir.
5-)Persistence (Kalıcılık): Yeniden başlatma, kimlik bilgilerinin değişimi gibi değişimlere karşılık sistemde hala varlığını sürdürebilme tekniklerinden oluşur.
6-)Privilege Escalation (Ayrıcalık Yükseltme): Erişim sağladığı sistemde bulunduğu yetkiyi yükseltme tekniklerinden oluşur.
7-)Defense Evasion (Savunmadan Kaçınma): Bulunduğu sistemde tespit edilmekten kaçınmak için kullanılan yöntemleri gösterir.
😎Credential Access (Kimlik Bilgileri Erişimi): Hesap adları ve şifreler gibi kimlik bilgilerini çalma tekniklerinden oluşur.
9-)Discovery (Keşif): Saldırganın saldıracağı sitem ve dâhili ağ hakkında bilgi topladığı teknik evresidir.
)Lateral Movement (Yanal Hareket): Saldırganların bir ağda bulunan uzak sistemlere girebilme ve kontrol edebilme tekniklerini içerir.
)Collection (Toplama): Saldırganların kullanabileceği teknikler ve saldırganın amacını takip etmek üzerin oluşturulan tekniklerdir.
)Command and Control (Komuta ve Kontrol): Saldırganın ele geçirmiş olduğu sistem üzerinden diğer sistemler ile iletişim kurmak için kullandığı teknikleri içerir.
)Exfiltration (Sızma): Saldırganların ağınızdan veri çalmak için oluşturduğu teknikleri içerir.
)Impact (Etki): Saldırganların iş ve operasyonel süreçleri manipüle tekniklerini kullanarak sabote etme ve tehlike durumuna sokma gibi işlemlerin bulunduğu kısımdır.
NOT: Eskiden ayrı olarak kabul edilen Pre-ATT&CK Matrisi artık Enterprise ATT&CK matrisinin içinde yer almaktadır.
Pre-ATT&CK: Saldırganın bir saldırı hazırlığı için önceden hazırlamış olduğu taktik ve teknikleri içerir.
Mobile ATT&CK
Bir saldırganın mobil cihazlar üzerinden uyguladığı taktik ve teknikleri içerir.
Enterprise ATT&CK matrisinden farklı olarak 2 tane farklı teknik kullanır:
ICS ATT&CK
ICS endüstriyel kontrol sistemlerinin (SCADA, DCS, PLC gibi) kısaltmasıdır. Endüstriyel olarak yapılan saldırıların teknik ve taktikleri bu matris içinde bulunur.
Enterprise ATT&CK matrisinden farklı olarak 2 tane farklı teknik kullanır:
Şimdi de MITRE ATT&CK Framework platformunu nasıl kullanabileceğimizi inceleyelim.
monash.pwım: İlk yapacağımız işlem monash.pw web sayfasına gidip herhangi bir matrisi seçmek olacaktır.
monash.pwım: Oluşan bu taktik ve tekniklerden birini seçip incelemeye başlayalım. “Credential Access (Kimlik Bilgileri Erişimi)” adlı taktik içinden “Adversary-in-the-Middle (Ortadaki Düşman saldırısı)” tekniğini seçiyorum.
Yukarıdaki bilgilerden de gördüğümüz gibi yapılan saldırıya ait her türlü detay bulunmaktadır.
Yazmış olduğum bu blog yazısında; MITRE ATT&CK Framework nedir, ne işe yarar, kullanmış olduğu matrisler nelerdir, MITRE ATT&CK platformu nasıl kullanılır gibi konuları işlemiş bulunmaktayım.
Umarım faydalı olmuştur. Yeni blog yazılarımda görüşmek üzere…
Tags:ATT&CKframeworkMITREsiber tehdit
5. People Information Gathering (Kişisel Bilgi Toplama): Bu taktik teknik bilgi toplamadan farklı olarak bir saldırı hedefine en iyi şekilde yaklaşmak için kilit personeli veya kritik erişimi olan kişileri belirlemeye odaklanır.
6. Organizational Information Gathering (Organizasyonel Bilgi Toplama): Saldırganın saldırı için bir hedef hakkında ihtiyaç duyacağı kritik örgütsel unsurları tanımlama sürecinden oluşur. Bu taktik, bir ekibin operasyonel temposuna ve ekibi en iyi şekilde hedefleyecek bir strateji geliştirmek amacıyla ekibin nasıl işleyiş gösterdiğine odaklanır.
7. Technical Weakness Identification (Teknik Zayıflıkların Belirlenmesi): Bu taktik karmaşıklık ve olumsuzlara (örn. Uygunluk, gizlilik) dayalı en iyi yaklaşımı belirlemek için bilgi toplama aşamaları sırasında toplanan zayıflıkları ve güvenlik açıklarını belirleme ve analiz etmekten oluşur.
8. People Weakness Identification(Kişilerin Zayıflıklarının Belirlenmesi): İnsanların zayıflık tespiti, bilgi toplama aşamalarındaki, hedef veya orta hedef kişilere veya sosyal güven ilişkilerine erişim elde etmek için kullanılabilecek zayıflıkların belirlenmesi ve analiz edilmesinden oluşur.
9. Organizational Weakness Identification(Örgütsel Zayıflıkların Belirlenmesi): Örgütsel zayıflık tespiti, ilgili hedef veya ara hedef kuruluşlara erişim elde etmek için kullanılabilecek istihbarat toplama aşamalarındaki zayıflıkların ve zayıflıkların belirlenmesi ve analiz edilmesinden oluşur.
Adversary Operation Security (Saldırgan İşlem Güvenliği): Ağ trafiğini veya sistem davranışını gizlemek veya bunlara uyum sağlamak için çeşitli teknolojilerin veya üçüncü taraf hizmetlerin kullanılmasından oluşur. Saldırgan bu taktiği savunmalardan kaçınmak, atıfları azaltmak, keşfi en aza indirmek veya analiz etmek için gereken zamanı ve çabayı arttırmak için kullanabilir.
Establish & Maintain Infrastructure (Altyapı oluşturma ve koruma): Altyapının oluşturulması ve sürdürülmesi, siber işlemleri yürütmek için kullanılan sistem ve hizmetlerin oluşturulması, satın alınması, birlikte seçilmesi ve sürdürülmesinden oluşur. Saldırganın, operasyonları boyunca kullanılan varlıklarla iletişim kurmak ve kontrol etmek için kullanılan altyapıyı oluşturması gerekmektedir.
Personal Development (Kişisel Gelişim): Kişisel gelişim, kamusal bilgilerin, varlığın, tarihin ve uygun ilişkilerin geliştirilmesinden oluşur. Bu gelişme, o kişiyi veya kimliği kullanan bir operasyon sırasında atıfta bulunulabilecek ve incelenebilecek sosyal medya hesabına, web sitesine veya diğer kamuya açık bilgilere uygulanabilir.
Build Capabilities (Yapı Yetenekleri): Bu taktik, bir operasyonun farklı aşamalarında kullanılan yazılım, veri ve tekniklerin geliştirilmesinden oluşur. Bu, geliştirme gereksinimlerini belirleme ve kötü amaçlı yazılım, iletim mekanizmaları, şifreleme korumaları, İşletme ve Bakım işlevleri gibi çözümleri uygulama sürecidir.
Test Capabilities (Test Yetenekleri): Test yetenekleri, saldırganların geliştirme hedeflerini ve kriterlerini iyileştirmek ve bir operasyon sırasında başarıyı sağlamak için yetenekleri harici olarak test etmeleri gerektiğinde gerçekleşir. Bir yetenek aşamalandırıldıktan sonra belirli testler yapılabilir.
Stage Capabilities (Aşama Yetenekleri): Bu taktik, operasyonu gerçekleştirmek için gerekli operasyonel ortamın hazırlanmasından oluşur. Bu, yazılım dağıtımı, veri yükleme, komut ve kontrol altyapısını etkinleştirme gibi etkinlikleri içerir.
Sırasıyla taktikleri inceleyecek olursak;
Mobil matrisi 13 adet taktikten ve 67 adet teknikten oluşmaktadır. Enterprise Att&ck matrisinden farklı olarak Network Effects taktiği ve Remote Service Effects taktiği bulunmaktadır. Diğer tüm taktikleri Enterprise Att&ck matrisindeki taktikler ile aynıdır.
Enterprise Att&ck Matristeki taktiklerinden farklı olan Mobile Matris taktiklerini inceleyecek olursak;
1. Network Effects (Ağ Etkileri) : Bu taktik, saldırganın mobil cihazın kendisine erişmeden hedeflerine ulaşmak için kullanabileceği ağ tabanlı tekniklere atıfta bulunur ve mobil cihaza giden-mobil cihazdan gelen ağ trafiğini kesmek veya değiştirmek için kullanılan teknikleri içerir.
2. Remote Service Effects (Uzaktan Hizmet Etkileri) : Bu taktik, şirketler tarafından sağlanan bulut hizmetleri (örneğin Google Drive veya Apple iCloud) veya bir saldırganın alabileceği kurumsal mobilite yönetimi (EMM) / mobil cihaz yönetimi (MDM) hizmetleri gibi uzak hizmetleri içeren teknikleri ifade eder. Mobil cihazın kendisine erişmeden hedeflerine ulaşmak için bu taktiği kullanabilmektedir.
Blue team ekipleri Att&ck çerçevesini, rakiplerin nasıl bir yol izlediklerini daha iyi anlamak,tehditleri önceliklendirmek ve bu tehditlere karşın doğru önlemlerin alınmasını sağlamak için kullanabilirler. Red team ekipleri Att&ck tarafından sınıflandırılmış olan davranışları modelleyerek defansif taraflarını ve ağlarını test etmek için Mitrenin planlarını takip ederek gerekli faydayı yakalayabilirler. Kurumlar ise Mitre Att&ck Framework çerçevesinden, defansif taraftaki boşlukları ve kurumun siber alandaki teknolojik ve profesyonel bazdaki seviyesini tespit etmek, bunları risk bazlı önceliklendirmek için faydalanabilirler.
Mitre Att&ck Navigator olarak adlandırdığımız matrisin bulunduğu etkileşimli ortam ise bize tüm tekniklerin matris görünümünü sunmaktadır. Siber güvenlik analistleri, bir rakibin kendi organizasyonlarına sızmak için hangi teknikleri uygulayabileceklerini bu etkileşimli ortam üzerinden inceleyebilirler. SIEM ürünlerinin içerisine Mitre Att&ck matrisi yerleştirilmeye başlanmıştır ve bu işlevin aktifliği hususunda gelen saldırılarda müdahale ekibinin işlerinin hızlanması öngörülmektedir.Uzun zamandır üzerinde çalıştığım ve büyük bir heyecanla derlediğim yazım sizlerle, faydalı olmasını dilerim. Sağlıklı ve esen kalın.
Kaynaklar:
Ağa ve/veya sisteme zarar vermek isteyen kötü niyetli kullanıcı davranışlarını belgeleme amacıyla ortaya çıkarılan MITRE ATT&CK, saldırganın bir kurumsal ağ içinde çalışırken gerçekleştirdiği eylemleri tanımlayan teknik, taktik ve prosedürlerin yer aldığı bir bilgi tabanıdır. ATT&CK, bir saldırganın hedefine ulaşmak amacıyla alabileceği aksiyonlara karşı güvenlik riskini belirlemek, güvenlik iyileştirmelerini ve süreçlerini planlamak ve savunmaların beklendiği gibi çalıştığını doğrulamak için kullanılmaktadır. Taktikler ve teknikler arasındaki ilişki ATT&CK matrisinde görselleştirilmekte ve bu matris sayesinde başarıyla sonuçlanan bir saldırıda ağın hangi yöntemler izlenerek ele geçirildiği kolaylıkla bulunabilmektedir.
Taktik, saldırganın bir eylemi gerçekleştirmeye yönelik hedefini; teknik ise bir saldırganın bir eylem gerçekleştirerek taktiksel bir hedefe nasıl ulaştığını temsil monash.pwler, bilgiyi keşfetme, yanal olarak hareket etme, dosyaları yürütme ve verileri sızdırma gibi olayları kapsarken teknikler ise bu olayları gerçekleştirmek için yapılan işlemler ve yöntemler olarak düşünülebilir.
Aşağıdaki görselde ATT&CK matrisinin bir örneği gösterilmektedir, bu tablo farklı taktiklere göre sıralanmış farklı siber saldırı tekniklerinin bir matrisidir. Her kategori, her saldırı türüne karşılık gelen belirli alt kategorilere bölünmüş olup, teknikle ilgili ayrıntılar, örnekler, referanslar içermektedir. Dolayısıyla bu anlık görüntü, matrisin yalnızca küçük bir bölümünü göstermektedir.
Tekniklerin bağlantılarından herhangi birine tıklanarak tekniğin kısa bir açıklamasını, örnek programların bir listesini ve tespit ipuçlarını içeren bir sayfaya geçiş yapılır. Örneğin, Account Manipulation tekniği seçilerek, bu teknik ile ilgili detaylar, mitigation önerileri ve tespit ipuçları görüntülenebilmektedir.
“Enterprise” olarak nitelendirilen ATT&CK matrisi haricinde, saldırı öncesi taktik ve teknikleri gösteren “PRE-ATT&CK” ve mobil cihazlar için oluşturulan “Mobile ATT&CK” matrisleri de mevcuttur. “Enterprise ATT&CK matrisinde” 12 adet taktik bulunmaktadır. Bu taktikler:
MITRE ATT&CK matrisini kullanarak, kuruluşlar saldırgan bakış açısıyla teknik ve taktikleri görüntüleyebilir ve Saldırgan nasıl içeriye sızdı? Hangi eylemleri gerçekleştirdi? Bir sonraki adım ne? gibi sorulara kolayca cevap bulabilirler. Saldırgan davranışının analiz edilebilmesi kurumdaki güvenlik açıklarının tespit edilmesini sağlamada ve riskleri belirlemede kritik rol oynar. Dolayısıyla, savunmadaki eksiklikler net bir şekilde görülebilir ve iyileştirme süreçleri bu doğrultuda planlanabilir. MITRE ATT&CK matrisinden yararlanarak, kullanıcılarına etkili bir analiz yapma imkanı sağlayan Picus güvenlik ürünüyle ilgili bilgiler yazının devamında yer almaktadır.
Picus, gerçek siber tehdit örneklerini kullanarak ortaya çıkan tehditlere karşı kurumların hazırlıklı olup olmadığını atak simülasyonları ile sürekli olarak sorgulayan güvenlik ürünüdür. Güvenlik tedbirlerinin güçlü ve zayıf noktalarını gerçek zamanlı olarak tanımlar ve elde ettiği sonuçlar doğrultusunda önerilerde bulunarak mevcut yapıdaki güvenlik ürünlerinden en yüksek düzeyde verim alınmasını sağlar. Atak simülasyon sonuçları analiz edilerek güvenlik skoru belirlenir. Endpoint, Network ve Email veya atak kategorileri özelinde güvenlik seviyelerini kurumlara ayrı ayrı görüntüleme ve inceleme imkanı sunulur, böylece kurumların zayıf oldukları konulara odaklanmaları hedeflenir.
Picus ile atakların simüle edilebilmesi için atack yapan(attacker) ve atağı karşılayan (victim) picus yazılımının yüklü olduğu sistemlere ihtiyaç vardır, bu sistemler peer olarak adlandırılır. Attacker ve victim peer arasındaki network yolu ise vector olarak isimlendirilir. İncelenmek istenen güvenlik ürününe göre peer ve vector tipi belirlenmelidir. Örneğin, Firewall, WAF gibi güvenlik ürünlerinin kontrol edilmesi için Network Peer; AV,IDR gibi ürünlerin analiz edilebilmesi için ise Endpoint Peer konumlandırmak gerekmektedir.
Attack Simulation à Analysis bölümünden ilgili vector seçilerek; güvenlik skoru, engellenen ve engellenemeyen atak bilgisine ulaşılabilir. Tehdit kategorisi, etkilenen ürün bilgisi, prokol (htp/https) tipi ve önem derecesi gibi özelliklere göre filtreleme yapmak mümkündür.
BlackTech APT Group’s Plead Downloader senaryo atağında ilk olarak monash.pw’ye bir malicios dll yerleştiriliyor, ardından registry’de bir key değiştiriliyor, command prompt kullanılarak bir registry key siliniyor vb. tüm adımlar aşağıdaki ekran görüntüsünde yer almaktadır. Bu atak senaryosu gerçekte nasıl davranıyorsa picus üzerinde konumlandırılan endpoint peer üzerinde de aynı şekilde davranır ve simülasyon sonucunda var olan adımlardan engellenip engellenemediği bilgisi sağ tarafta yer alan yeşil ve kırmızı simgelere göre ayırt edilir.
Tüm bu adımlar tek tek incelenerek engellenemeyen atakların nedeni tespit edilmeli ve mitigation önerileri göz önünde bulundurularak gerekli iyileştirmeler yapılmalıdır.
Picus ile yapılan atak senaryolarına ait sonuçlar MITRE ATT&CK tablosunda anlık başarı oranına göre teknik ve taktik olarak gösterilmektedir. İnceleme yapılan vector analiz sayfasından “Go to MITRE ATT&CK Analysis” seçilerek tabloya kolayca ulaşılabilir.
Bu tabloya göre kırmızıların yoğunlukta olduğu ve dolayısıyla engellenemeyen bir çok atağın mevcut olduğu sonucuna varılmaktadır. Amaç, oynatılan atak senaryolarının engellenmesidir. Kullanıcılar tekniklere tıklayarak, teknik detaylarına ulaşabilirler. Read more on Mitre seçeneği seçildiğinde, kullanıcı monash.pw üzerinden o atağın teknik detayıyla ilgili ayrıntılı bilgiye ulaşılabilir.
Technique’s Actions bölümünde bu tekniklerle ilişkili olan atak senaryoları listelenilir. Bu senaryo seçilerek; atağın tanımı, atak kategorisi, etkilediği sistemler ve ürünler gibi bilgilere ulaşılabilir.
Heat Map bölümünden tabloya geniş bir açıyla bakılarak başarı oranı görüntülenebilir.
MITRE ATT&CK analysis tablosu kullanılarak sistemde iyileştirme yapıldığında aslında bir atak engellediğinde, bu ataktaki tüm taknik ve teknikleri kullanacak tüm atakların engellenmesinin önü açılmış olur. Bir başka deyişle, Mitre framework’ü engellenebildiği takdirde bilinen davranış örnekleri gösteren gelecekteki tüm ataklar otomatik olarak engellenmiş olur.
Kaynaklar
monash.pw
monash.pw
monash.pw
monash.pw
monash.pw
Çağla Demir Sıcakyüz
Bu yazıyı okuduktan sonra, MITRE tarafından hazırlanan ve ücretsiz olan CTI (Cyber Threat Intelligence) eğitiminin tamamlanması faydalı olacaktır.
monash.pw
Günümüzde yaygınlaşan siber saldırılar yıllardır devam etmektedir. Siber saldırıların evrimi ile ilgili detaylı bilgi için kaynaklardaki Siberportal bağlantısı [i] incelenebilir. Özellikle son yıllarda gerçekleşen saldırılar oldukça karmaşık hale gelmiştir. Gerçekleşen bu saldırılara karşı çeşitli tehdit modelleme çalışmaları gerçekleştirilmektedir. Tehdit modelleme çalışmaları ile ilgili detaylı bilgi için kaynaklardaki Siberportal bağlantısı [ii] incelenebilir.
David Bianco, IOCleri sınıflandırmak için Pyramid of Pain isimli çalışmayı gerçekleştirmiştir. Bu piramidin en altında olan Hash değerlerini değiştirerek saldırıyı gerçekleştirmek kolay iken, tespiti de kolaydır. Piramidin üstlerine doğru çıkıldıkça hem tespit zorlaşır hem de saldırı karmaşıklığı artar.
Saldırı yaşam döngüleri ile saldırılar analiz edilerek çeşitli şekillerde saldırıları tanımlamak ve önlemek hedeflenir. En önemli 3 saldırı modeli aşağıdaki gibi sıralanabilir.
Lockheed Martin tarafından tanımlanan Cyber Kill Chain (Siber Ölüm Zinciri) ile saldırganın adımları belli bir sıra ile tanımlanmaktadır ve saldırgan bakış açısını öğrenmek için oldukça fayda sağlamaktadır.
ATT&CK Framework ise, saldırganların kullandıkları taktikleri, teknikleri ve prosedürleri açıklayan bir bilgi kaynağı olup Siber Ölüm Zincirinin son dört adımında şekillenir.
Siber Ölüm Zincirinden farklı olarak ATT&CK Framework doğrusal bir sıra izlenmez. Saldırgan hedefine ulaşmak için istediği tekniği kullanabileceği düşünülür.
Özetle, ATT&CK Framework, saldırgan davranışlarını sınıflandırmak, saldırgan hareketlerini anlamlandırabilmek amacı ile ortaya çıkmıştır.
MITRE; savunma, istihbarat, havacılık, özel sektör, iç güvenlik, yargı, sağlık gibi bir çok alanda çalışan, bir çok fedarl araştırma ve geliştirme yapan, federal hükümetlerce desteklenen, kar amacı gütmeyen bir kuruluştur.
MITRE tarafından yılında ücretsiz olarak kullanıma sunulmaya başlanan ATT&CK Framework (Adversarial Tactics, Techniques, and Common Knowledge) de bilinen (neredeyse bütün) siber saldırılardaki saldırgan davranışlarını modelleyen bir bilgi tabanıdır. ATT&CK Framework ile aşağıdaki kavramlar gruplandırılır ve ilişkilendirilir.
Not: Bir saldırı sırasında saldırgan, bu taktik ve tekniklerin hepsini kullanmaz. Ortama ve kendisine uygun bir yöntemi tercih edebilir.
ATT&CK Framework sürekli güncellenen bir platform sağlar. Bu güncellemelere destek olan bir çok kişi ve kurum vardır.
Destek olmak için [email protected] ile iletişime geçilebilir. Örnek teknik, grup, yazılım, formları Contribute sayfasında listelenmiştir.
monash.pw
Bu desteği de arkasına alan MITRE, ATT&CK Framework sayfasında çok geniş bir kaynak havuzu da sağlar.
monash.pw
STIX standardında hazırlanan ATT&CK Framework altındaki bilgiler, CTI (Cyber Threat Intelligence) paylaşımı için yarar sağlamaktadır. ATT&CK içeriğine erişim ile ilgili detaylı bilgi için kaynaklardaki MITRE [ii] ve Medium [i] bağlantısı incelenebilir.
ATT&CK Framework ile aşağıdaki bilgiler elde edilebilir.
Ayrıca olay kayıtları ile MITRE teknikleri eşleştirilebilir.
monash.pw
ATT&CK Framework 3 adet domain ve bunlar altında da alt domainler sunar.
Windows, macOS, Linux, PRE, AWS, GCP, Azure, Azure AD, Office , SaaS ve Network gibi platformlara yönelik teknik ve taktiklerden oluşur. Aralık ortası itibari ile 14 adet taktik, adet ana teknik ve alt teknikten oluşmaktadır.
monash.pw
Bu taktik ve teknikler bir matris ile de sunulmaktadır.
monash.pw
Kullanılan taktikler ile ilgili detaylı bilgi için kaynaklardaki Netsmart, Medium [ii] ve SiberKavram bağlantıları incelenebilir.
Taktiklerden her birisinin altında farklı teknikler bulunur. Bazı tekniklerin altında da alt teknikler bulunabilir. Örneğin, matristen de görüleceği üzere, Initial Access taktiğinin altında 9 tanesi asıl olmak üzere 19 teknik bulunmaktadır.
Bu taktiklerin her birisi ile ilgili detaylı bilgi için kaynaklardaki Tripwire bağlantısı da incelenebilir.
Enterprise ATT&CK matrisinin altında bir takım alt matrisler de yer almaktadır. Bunlar aşağıdaki gibi sıralanabilir.
Mobil cihazların fiziksel (Device Access) veya uzaktan (Network-Based Effects) ele geçirilmesine yönelik saldırı taktikleri ve tekniklerini içerir. Aralık ortası itibari ile 14 adet taktik ve 86 adet ana teknikten oluşmaktadır.
monash.pw
Bu taktik ve teknikler bir matris ile de sunulmaktadır.
monash.pw
Kullanılan taktikler ile ilgili detaylı bilgi için kaynaklardaki SiberKavram bağlantısı incelenebilir. Mobile ATT&CK matrisindeki Device Access taktikleri, Enterprise ATT&CK matrisindekiler ile (teknikler olarak farklılık gösterse de) isimlendirme olarak benzerdir.
Bunun yanında Network-Based Effects altında bulunan ve mobil cihaza uzaktan gerçekleştirilen iki saldırı taktiği ise farklılık gösterir.
ICS / EKS(Industrial Control System Endistriyel Kontrol Sistemi) ortamının ele geçirilmesine yönelik saldırı taktikleri ve tekniklerini içerir.
Bu domain henüz geliştirme aşamasındadır.
monash.pw
Tüm teknikler için matris görünümünü sağlayan yapıdır.
monash.pw
ATT&CK Navigator, matrislerin görselleştirilmesi için kullanılabilir.
monash.pw
Saldırı gruplarının bulunduğu sayfadan yönlendirilerek, bir grubun kullandığı taktiklerin ve tekniklerin görselleştirilmesi amacı ile de kullanılabilir.
monash.pw
monash.pw#layerURL=https%3A%2F%monash.pw%2Fgroups%2FG%monash.pw
Birden fazla grup seçimi yapılarak, kullandıkları saldırı taktikleri ve teknikleri arayüzden görülebilir.
Benzer olarak, araçların / yazılımların bulunduğu sayfadan yönlendirilerek, bir aracın kullanıldığı taktiklerin ve tekniklerin görselleştirilmesi amacı ile de kullanılabilir.
monash.pw
monash.pw#layerURL=https%3A%2F%monash.pw%2Fsoftware%2FS%monash.pw
ATT&CK Navigator ile gösterim yapılan veriler JSON, XLSX gibi formatlarda da indirilebilir.
Mitre ATT&CK Framework, sunduğu saldırgan grupları, saldırı taktiği, tekniği ve önlemleri içeren bir kütüphane sağlamaktadır. Bu kütüphanenin yararları aşağıdaki gibi sıralanabilir:
ATT&CK Framework üzerindeki birbirinden farklı domainler için bir çok taktik ve teknik bulunmaktadır. Ancak bu framework kullamını her zaman kolay olmayabilmektedir. Örneğin,
[i] monash.pw
[ii] monash.pw
[i] monash.pw
[ii] monash.pw
[i] monash.pw
[ii] monash.pw@ncepki/the-mitre-att-ck-framework-cc85f1c07b58
monash.pw
PICUS MITRE ATTCK
Mitre ATTCK Nedir ?
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti from BGA Bilgi Güvenliği A.Ş.
monash.pw%C3%B6n%C3%BCyor-mitre-attck-vehbi-okay-dilek
monash.pw
monash.pw
monash.pw
The MITRE ATT&CK Framework: What You Need to Know
monash.pw?v=3a0WsGlLdcs
monash.pw