MITRE ATT&CK Framework
MITRE ATT&CK
MITRE ATT&CK Framework (Adversarial Tactics, Techniques, and Common Knowledge), siber güvenlik alanında bir çerçeve olarak tasarlanmış bir bilgi kaynağıdır. Bu çerçeve, siber saldırılarla mücadele ederken kullanılabilecek taktikleri, teknikleri ve genel bilgiyi içeren bir veritabanıdır. Temel amacı, saldırganların tipik olarak ne tür taktikler ve teknikler kullandıklarını belirlemek ve bu bilgiyi savunma ekiplerine rehberlik etmek için kullanmaktır. ATT&CK Framework, savunma stratejilerini oluştururken ve geliştirirken, organizasyonların siber tehditlere daha etkili bir şekilde karşı koymalarına yardımcı olur.
ATT&CK Framework, saldırganların kullanabileceği taktikleri ve teknikleri bir dizi aşamaya böler. Bu aşamalar, saldırının evrimini takip etmemizi sağlar. Bazı temel aşamalar şunlardır:
- Initial Access (İlk Erişim),
- Execution (Yürütme),
- Persistence (Kalıcılık),
- Defense Evasion (Savunma Kaçınma),
- Credential Access (Kimlik Bilgisi Erişimi),
- Discovery (Keşif)
Her aşama, saldırganların amaçlarına ulaşmak için kullanabileceği taktiklerin ve tekniklerin bir listesini içerir. (https://attack.mitre.org/techniques/T1594/)
Keşif, siber saldırganların gelecekteki operasyonlarını planlamak için kullanabilecekleri bilgileri toplamaya çalıştıkları bir aşamadır. Saldırganlar, bu bilgileri hedeflemeyi desteklemek ve operasyonlarını yönlendirmek için kullanabilirler. Keşif kategorisi, aktif veya pasif yöntemlerle toplanan bilgileri içerir ve bu bilgiler genellikle mağdur kuruluşun, altyapısının ve çalışanlarının ayrıntılarını içerir. (https://mitre-attack.github.io/attack-navigator/)
Aktif Keşif (Active Reconnaissance):
T1594 – Kurbanın Sahip Olduğu Web Sitelerini Ara:
Nasıl Çalışır: Saldırganlar, kurbanın sahip olduğu web sitelerinde bilgi arar.
Tespit: Şüpheli IP adreslerinden gelen sıradışı veya sık erişim desenlerini izlemek için web sunucusu günlüklerini denetlenebilir.
Önleme: Web sunucularında erişim kontrolleri mordo ve hız sınırlamaları uygulayarak otomatik taramaları sınırlanabilir.
T1593 – Açık Web Siteleri/Etki Alanlarını Ara:
Nasıl Çalışır: Saldırganlar, serbestçe kullanılabilir web sitelerini ve etki alanlarını kurban bilgileri için arar.
Tespit: Şüpheli web sitesi erişimi için ağ trafiğini izleyin ve kötü amaçlı siteleri engellemek için web filtreleme kullanılabilir.
Önleme: Çalışanları çevrimiçi hassas bilgileri paylaşmanın riskleri konusunda eğitilebilir.
T1595 – Active Scanning (Aktif Tarama):
Nasıl Çalışır: Saldırganlar, bilgi toplamak için aktif keşif taramaları gerçekleştirirler.
Tespit: Aktif taramaları tespit etmek için ağ izleme ve güvenlik yazılımları kullanılabilir. Anormal taramalar ve yoğun erişim trafiği izlenebilir.
Önleme: Aktif taramaların tespitini önlemek için ağ erişim kontrolleri ve güvenlik duvarları kullanılabilir. Ayrıca, güvenlik yazılımları ve izleme araçları bu tür etkinlikleri izlemek için kullanılabilir.
T1596 – Açık Teknik Veritabanlarını Ara:
Nasıl Çalışır: Saldırganlar, serbestçe kullanılabilir teknik veritabanlarını kurban bilgileri için arar.
Tespit: Sıradışı alan sorgularını izlemek ve tehdit istihbaratı beslemelerini kullanmak için DNS sorgularını izlenebilir.
Önleme: Teknik verilerin kamuya açık olarak görünürlüğünü sınırlayın ve alan gizlilik hizmetlerini kullanılabilir.
T1597 – Kapalı Kaynakları Ara:
Nasıl Çalışır: Saldırganlar, kapalı kaynaklardan kurbanlar hakkında bilgi toplar.
Tespit: Organizasyonunuzun bahsedilip bahsedilmediğini belirlemek için düzenli olarak dark web ve siber suç forumlarını izlenebilir.
Önleme: Veri sızıntısı riskini azaltmak için güvenlik önlemlerini güçlendirilebilir.
T1598 – Bilgi Toplamak İçin Phishing:
Nasıl Çalışır: Saldırganlar, hassas bilgileri elde etmek için phishing (oltalama) iletişimleri gönderir.
Tespit: Phishing girişimlerini belirlemek için e-posta filtreleme kullanın ve çalışanları e-posta güvenliği konusunda bilgilendirilebilir
Önleme: İki faktörlü kimlik doğrulamayı uygulayın ve güvenlik farkındalık eğitimi yapılabilir.
Pasif Keşif (Passive Reconnaissance):
T1591 – Kurban Kuruluş Bilgisi Toplama:
Nasıl Çalışır: Saldırganlar, kurban organizasyonu hakkında bilgi toplar.
Tespit: Bilgi sızıntıları için çevrimiçi kaynakları ve sosyal medyayı izlenebilir.
Önleme: Çalışanları hassas kurumsal ayrıntıları açıklamanın önemi konusunda eğitilebilir.
T1590 – Kurban Ağ Bilgisi Toplama:
Nasıl Çalışır: Saldırganlar, kurbanın ağları hakkında bilgi toplar.
Tespit: Ağ izleme ve sızma tespiti sistemleri (IDS) kullanılabilir.
Önleme: Ağ bölümleme ve erişim kontrolleri uygulanabilir.
T1589 – Kurban Kimlik Bilgisi Toplama:
Nasıl Çalışır: Saldırganlar, kurbanın kimlik bilgileri hakkında bilgi toplar.
Tespit: Çalışan veri erişimini izlemek ve davranış analitiği kullanılabilir.
Önleme: Hassas kimlikle ilgili verileri şifreleyin ve güçlü parola politikaları uygulanabilir.
T1592 – Kurban Ana Bilgisayar Bilgisi Toplama:
Nasıl Çalışır: Saldırganlar, kurban ana bilgisayarlar hakkında bilgi toplar.
Tespit: Ana bilgisayar tabanlı sızma tespiti sistemleri (HIDS) kullanın ve sistem günlüklerini izlenebilir.
Önleme: Sistemleri ve yazılımları güncel tutun ve güvenlik duvarları kullanılabilir.
MITRE ATT&CK Framework, siber güvenlik alanında savunma stratejilerinin geliştirilmesine ve siber saldırıların analiz edilmesine yardımcı olan önemli bir araçtır. Bu çerçeve, siber saldırganların kullanabileceği taktikleri ve teknikleri belirli aşamalara böler, böylece savunma ekipleri, saldırganların eylemlerini anlayabilir ve önlem alabilirler.
Sonuç olarak, ATT&CK Framework, organizasyonların siber tehditlere karşı daha etkili bir şekilde hazırlıklı olmalarına yardımcı olur. Bu çerçevenin kullanılması, savunma ekiplerinin siber saldırıları daha iyi anlamalarını ve önlem almalarını sağlar, böylece bilgi güvenliği riskini azaltabilirler. Ayrıca, çerçeve, saldırıları tespit etme, savunma stratejileri geliştirme ve güvenlik açıklarını kapatma konusunda rehberlik sağlayarak organizasyonların daha güvenli hale gelmelerine yardımcı olur.