MITRE ATT&CK Framework Nedir ?
ATT&CK (Adversarial Tacticks, Techniques and Common Knowledge) Framework, 2013 yılından itibaren Mitre firması tarafından geliştirilmektedir. Mitre; güvenli bir dünya yaratmayı amaçlayan kar amacı gütmeyen bir kuruluştur.
Mitre ATTC&CK Framework; gerçekleştirilmiş tüm siber saldırıları, saldırgan davranışlarını modelleyerek bunlara karşı mevcut sistemlerde önleyici güvenlik tedbirlerini almaktır, bu saldırı tekniklerini analiz eder, gruplandırır ve belirli teknikleri uyguladıkları bilinen APT grupları ile ilişkilendirir. Çeşitli endüstriler için tehdit modelleri oluşturmayı basitleştirmeyi amaçlayan bu framework bu amaç doğrultusunda belirli bir çözümün veya kombinasyonun hangi bilinen tehditleri tespit edebileceğini belirlemek için kullanılmaktadır. Bu framework bu güne kadar kurumlara yapılan tüm saldırıları tek çatı altında toplanarak kategorize edilmiş ve kullanımı ücretsiz bir şekilde sunulmuştur.
Mitre ATT&CK Framework’ün yararları;
· Yapılacak saldırılara karşı mevcut sistemlerde önleyici güvenlik tedbirlerinin alınmasını sağlar.
· Saldırılarda tespit süresini kısaltır ve daha kısa zamanda tepki vermesini kolaylaştırır.
· Matris biçiminde sunulması. (Matris halinde sunulduğu için saldırganların kurumsal altyapıya nasıl nüfuz ettikleri ve kurumsal altyapıda nasıl bir dayanak kazandıkları, tespit edilmemek için kullanılan püf noktalar gibi bilgiler hakkında genel bir bakış sunmaktadır. )
· Kuruma gelen saldırıyı ATT&CK framework matrisleri ile eşleştiriyor ve hangi tehditler ile karşı karşıya kalındığını görebilme imkanı veriyor.
· Uzmanlar tarafından hem genel hem de özel uygulamalar için EDR çözümü sağlar.
· Savunma tarafında bulunan uzmanlar tarafından sistem açıklıklarını tanımlamak ve risk önceliklendirilebilir.
· Ağların ve sistemler test etmek amacıyla frameworkte gösterilen teknikler kullanabilir.
· Saldırganların ne yapmak istediklerini daha kolay anlaşılır olmasını sağlar.
· SIEM ürünleri içerisinde yerleştirilebilir.
Siber saldırganlar sisteme erişim sağlamalarından, sistemde hak ve yetki kazanmaları ile verilerin sızdırılmasına kadar tüm aşamaları göstermiştir. Bu aşamalarda hangi saldırı vektörlerinin kullanıldığı hakkında detaylı bilgi verilmiştir.
Mitre ATTC&CK Framework’ün; Enterprise ATT&CK, Mobile ATT&CK, Pre-ATT&CK olmak üzere 3 çeşit matrisde bölünmüştü fakat son zamanlarda Pre-ATT&CK Enterprise içerisine alarak 2 kısma ayrılmıştır;
– Enterprise ATT&CK
– Mobile ATT&CK
Pre-ATT&CK ayrı bir matris olarak incelenmesinde dolayı ayrı bir başlık altında bakalım daha sonra Enterprise ATT&CK, Mobile ATT&CK matrislerini detaylı bir şekilde inceleyelim;
Pre-ATT&CK:
Pre-ATT&CK bir saldırı hazırlığının tekniklerini, taktiklerini ve prosedürlerini daha iyi açıklamak için oluşturulan ATT&CK ‘nin non-instruvie (Müdaheleci olmayan) ve intelligence-based (İstihbarat temelli) karşılığıdır. Amacı, diğer kuruluşları bir saldırgan için hedef olmaktan çıkarmak ve gelen bir saldırının erken zayıf sinyallerini tespit etmek için siber tehdit istihbaratı veri edinimlerine nasıl öncelik vereceğini anlamaktır. Artık Mitre ayrı bir matris olarak almamaktadır Enterprise içerisinde incelenmektedir.
Enterprise ATT&CK:
Enterprise ATT&CK matrisi detaylı bir şekilde incelendiği zaman; sütun başlıklarında saldırganların kullandıkları taktikler yer almaktadır. Burada saldırganların o aşamada hangi amaçları yerine getirmeye çalıştıklarını göstermektedir. Hücreler de ise saldırganların taktiksel hedeflere ulaşma teknikleri gösterir.
Sütun içerisinde yer alan taktikler;
1- Inital Access (İlk Erişim): Saldırganların ağ içinde ilk erişimi elde etmek için kullandıkları teknikleri içerir.
2- Execution (Yürütme): Yerel veya uzak bir sistemde saldırganın zararlı kodunun yürütülmesini sağlayan teknikleri içerir.
3- Persistence (Kalıcılık): Saldırganın sistem erişimlerinin kesintiye uğramaması için kalıcı hale gelmesini sağlayan teknikleri içerir.
4- Privilege Escalation (Ayrıcalık Arttırma): Erişilen sistemde yetki yükseltmeyi sağlayan teknikleri içerir.
5- Defense Evasion (Savunmadan Kaçınma): Savunma yöntemlerini atlamasını sağlayan teknikleri içerir.
6- Credential Access (Kimlik Bilgisi Erişimi): Hedef sistemde kullanılan kimlik erişim bilgilerini kontrol etmeyi sağlayan teknikleri içerir.
7- Discovery (Keşif): Saldırganın sistem ve iç ağ hakkında bilgi edinmesini sağlayan teknikleri içerir.
8- Lateral Movemet (Yanal Hareket): Saldırganın ağ içindeki diğer uzak sistemlere erişmesini sağlayan teknikleri içerir.
9- Execution (Yürütme): Hedef sistemdeki bilgilere, dosyalara erişmesini sağlayan teknikleri içerir.
10- Collection (Toplamak): Hedef sistemdeki kritik bilgileri belirlemesi ve toplamasını sağlayan teknikleri içerir.
11- Exfiltration (Sızdırma): Hedef sistemdeki bilgilere, dosyalara erişmesini sağlayan teknikleri içerir.
12- Command and Control (Komuta ve Kontrol): Saldırganların hedef ağ içinde kontrolü ele geçirdikleri sistemlerle iletişim kurması ve kontrol etmesini sağlayan teknikleri içerir.
Mobile ATT&CK:
Mobil cihazlar üzerinde ele geçirilmesi ile ilgili taktik ve teknikleri ele alır. Mobile ATT&CK framework daha detaylı anlamak için satırları inceleyelim. Yukarda Enterprise üzerinde; Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exifltrationi Impact sütunlarının açıklamasını yapmıştık konun uzamaması için sadece Network Effects ve Remote Service Effects anlatacağım.
· Network Effects (Ağ Etkileri): Mobil cihaza giden gelen ağ trafiğini kesmek veya değiştirmek için kullanılan teknikleri içerir.
· Remote Services Effects (Uzaktan Hizmet Etkileri): Bulut hizmetleri veya EMM/MDM hizmetleri gibi uzaktan hizmetleri içeren teknikleri içerir.
Bazı teknikler, birden fazla taktik altında saldırganlar tarafından kullanılmaktadır.
Matristeki sütunlar bir saldırı sırasındaki taktikleri gösterirken ,hücreler ise saldırganların taktiksel hedeflere ulaşma yollarını açıklayan teknikleri gösterir. Taktikler altında yer alana tekniklere tıklanıldığın da detaylı bilgi alınabilmektedir. Tekniğe tıkladığımızda meta data bilgisi, işletim sistemlerinde nasıl kullanıldığı, hangi, APT gruplarının kullandığı, zararlı yazılımın bu teknikte nasıl kullanıldığı, teknikte korunmak için alınabilecek tedbirler, saldırılarda bu tekniğin nasıl tespit edilebileceği ve atağı raporlayan kişilerin referans bilgileri yer almaktadır. Yani kısaca saldırı hakkında ayrıntılı bilgilere ulaşılabilmektedir.
MITRE ATT&CK matirisinde bulunan tatikler ve teknikleri detaylı olarak incelemek için https://attack.mitre.org/ adresi incelenebilir.
Kaynaklar:
https://www.picussecurity.com/resource/the-top-ten-mitre-attck-techniques
https://www.slideshare.net/bgasecurity/mitre-attck-kullanarak-etkin-saldr-tespiti
https://www.kaspersky.com.tr/blog/mitre-apt29-evaluation/8145/
https://digitalguardian.com/blog/what-mitre-attck-framework
https://www.youtube.com/watch?v=0cGwapiNdhI&ab_channel=InnoveraBT
https://blog.sweepatic.com/reconnaissance-and-preatt-ck/