Hepinize Selamlar. 🙂
Bu makalemde sizlere Siber Tehdit İstihbaratı için MITRE ATT&CK matrisinden nasıl yararlanılır konusundan bahsedeceğim.
Son yıllarda güvenlik uzmanları siber tehditleri tahmin etmenin ve önlem almanın yollarını aramaktadırlar. Böyle durumlar tehdit istihbaratı kaynaklarının ve ihtiyacının ne kadar önemli olduğunu vurgulamaktadır. Bu nedenle, güvenlik ekipleri, kuruluşlarının karşı karşıya olduğu riskleri analiz etmelerine ve azaltmalarına yardımcı olabilecek stratejilere veya çerçevelere ihtiyaç duymaktadırlar.
Mitre ATT&CK Matrisini Anlamak
ATT&CK Framework, siber alanda saldırganların sistemlere yapabileceği eylemleri gösteren teknik, taktik ve prosedürleri gösteren bir bilgi tabanıdır. Mitre ATT&CK (Adversarial Tacticks, Techniques and Common Knowledge) 2013 yılından itibaren Mitre firması tarafından geliştirilmektedir. Bu bilgi tabanı saldırganların davranışlarını sistematik olarak kategorize etme ihtiyacı amacıyla gerçek dünyada meydana gelen ataklar gözlemlenerek oluşturulmuştur. Bu bilgi tabanı sayesinde siber saldırganların bir sonraki hamleleri tahmin edilebilmektedir.
Bu matriste saldırganların yapabilecekleri eylemleri gösteren, sistemlere nasıl eriştikleri, sistemlere nasıl sızdıkları, bu işlemleri nasıl yaptıkları, bu işlemleri gerçekleştirirken izledikleri yollar ve kullandıkları araçlar yer almaktadır.
Bunun sonucunda ise defansif taraftaki kişiler sürekli değişen saldırı senaryolarına karşı önlemlerini daha erken alabilmektedirler. Diğer yandan saldırganlar da sürekli gündemde olan güvenlik yöntemleriyle tespit edilmemenin yollarını aramaktadırlar.
Tehditleri belirlemenin uzun sürmesi halinde, ayrıcalık yükseltme, yanal hareket, veri hırsızlığı veya sistem kesintisi tehditlerinin olasılığı artmaktadır. Bunu önlemek için siber güvenlik ekipleri, taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) haritalandırarak saldırganların davranışlarını tahmin etmek için farklı kaynaklar aracılığıyla toplanan uzlaşma göstergelerinden (IOC) yararlanabilirler.
ATT&CK Çerçevesi ve Tehdit İstihbaratı
Siber tehdit istihbaratı, siber tehditlerin tanımlanması ve analiz edilmesine olanak sağlamaktadır. MITRE ATT&C ile eş zamanlı olarak araştırılması halinde ise matriste yer alan saldırganların ve saldırı senaryolarının tespit edilmesini kolaylaştırmaktadır. Siber güvenlik analistleri hedeflerindeki grupların tespiti ve davranışlarını analiz ederek kurumları için önlem alabilmektedirler. Bu da Tehdit İstihbaratı ve MITRE ATT&C platformlarının kurumlar için ne kadar önemli olduğunu bir kez daha göstermektedir.
MITRE ATT&CK Çerçevesi, aşağıdakileri verileri göstererek düşman davranışını anlamamızı sağlar:
- Saldırganların motivasyonları nelerdir?
- Saldırganlar en çok hangi ülkeleri ve sektörleri hedefliyorlar?
- Saldırganlar saldırı esnasında hangi teknikleri kullanıyorlar?
- Saldırganlar hangi araçları kullanıyorlar?
Seviye 1 Tehdit İstihbaratı
ATT&CK’yı tehdit istihbaratı için kullanmaya başlamak isteyen yalnızca birkaç analisti olan bir kuruluş olduğunu düşünelim. Analistler kurumun hedeflediği ya da önemsediği tek bir grubu alıp ATT&CK’de inceleyebilirler.
Örnek Senaryo:
Bir kurumumuz olduğunu düşünelim ve bu kurum “Telekomunikasyon” sektöründen olduğunu düşünelim. Şimdi bu kurum hakkında hangi bilgileri elde edebiliriz, ve bu bilgileri kurumumuz için nasıl kullanabiliriz gibi sorulara cevap verelim.
İlk olarak MITRE ATT&C sayfasına gidiyoruz. Kurumumuzu hedef alabilecek saldırı gruplarını tespit edeceğiz.
Bu sektörü hedef alan bir çok saldırı grupları olduğunu aşağıdaki gibi “telecommunication” filtresini kullanarak bulduk.
Burada daha dikkat çekici olarak MuddyWater grubunu gözüme kestirdim.
MuddyWater grubunun Kuzey Amerika‘da telekomunikasyon ve Petrol sektörlerini hedeflediğini tespit etmiş olduk. Aynı zamanda bu grubun bizim kuruluşumuzu hedef alabileceğini de görmüş olduk. Şimdi MuddyWater linkine tıklayıp bu grubun sayfasına gidiyoruz.
Görselde görüldüğü gibi ATT&CK, grubun, hedeflenen coğrafyaların ve hedeflenen sektörlerin atıflarını sağlamaktadır. MuddyWater APT grubu İran’a atfedilir, hedeflenen bölgeler Orta Doğu, Avrupa ve Kuzey Amerika’dır ve hedeflenen sektörler telekomünikasyon, hükümet ve petroldür.
ATT&CK çeşitli tehdit istihbarat raporlarında aynı veya çok benzer gruplar olan ilişkili grupları da içerisinde barındırmaktadır. Satıcıların tehdit grubu adlandırma konusunda fikir birliği içerisinde olmadıkları için, gruplarla ilişkili olan diğer grup adlarını da bilmek tehdit istihbaratı açısından önem taşımaktadır.
Grubun sayfasında, tekniklerine bakarak saldırgan grup hakkında daha fazla bilgi elde edebiliriz. ATT&CK, her bir tehdit grubu için saldırgan grup tarafından kullanılan teknikleri içerir. Aynı zamanda saldırgan grubun saldırı teknikleri nasıl kullandığını kısaca açıklar.
Ayrıca ATT&CK, grubun kullandığı teknikleri ATT&CK Navigator’da görselleştirir. ATT&CK Navigator’daki teknikleri görmek için grubun sayfasındaki “ATT&CK Navigasyon Katmanları” butonuna tıklayın. Mavi teknikler, MuddyWater tehdit grubu tarafından kullanılan teknikleri gösterir.
Son olarak ATT&CK, saldırgan grubun kullandığı teknikleri aynı zamanda ATT&CK Navigator‘da görsel olarak görüntülemeyi sağlamaktadır. ATT&CK Navigator’daki teknikleri görmek için grubun sayfasındaki “ATT&CK Navigasyon Katmanları” butonuna tıklayalım. Mavi teknikler, MuddyWater saldırı grubu tarafından kullanılan teknikleri bizlere göstermektedir.
Şu anda ATT&CK içerisinde 129 grup yer almaktadır.
Seviye 2 Tehdit İstihbaratı
Kuruluşlar içerisinde bilgileri düzenli olarak gözden geçiren orta seviye bir ekip varsa, yapılabilecek bir sonraki adım başkalarının önceden belirlemiş ya da hazırlamış olduğu kaynaklara güvenmek yerine tehdit istihbaratını ATT&CK ile ekibinizin eşleştirmesi daha doğru olacaktır.
Örnek olarak, kurumunuzun bir olayla ilgili kendi raporu varsa, bu raporu ATT&CK ile eşleştirmek çok güzel bir kaynak olabilir.
Örnek:
ATT&CK ile eşleşmiş bir FireEye raporundan bir kesit.
( https://www.fireeye.com/blog/threat-research/2014/11/operation_doubletap.html )
MITRE ATT&CK ekibi, bir tehdit istihbarat kaynağının ATT&CK ile eşleştirilmesinde yardımcı olacak adım adım bir klavuz önermiştir. Bu klavuz:
- ATT&CK’yi Anlamak (Understand ATT&CK) – ATT&CK’nin genel yapısı hakkında bilgi edindiğimiz adımdır. Taktikler (düşmanın teknik hedefleri), teknikler (bu hedeflere nasıl ulaşılır) ve prosedürler (tekniklerin belirli uygulamaları) hakkında bilgi ediniriz.
- Davranışı Bulmak (Find To Behavior) – Düşmanın eylemlerini, kullandıkları herhangi bir göstergeden bir hash değeri olabilir. Örneğin, yukarıdaki rapordaki kötü amaçlı yazılım bir X bağlantısı kuruyor diyelim. Bağlantı kurma eylemi, düşmanın yaptığı bir davranıştır.
- Davranışı Araştırmak(Research to Behavior) – Davranışı hakkında anlaşılır bilgimiz yoksa daha fazla araştırma yapılması gerekmektedir. Örneğimizde, küçük bir araştırma sonucunda X bağlantısının kullandığı protokol tespit edilebilmekte ve daha anlaşılır olmaktadır.
- Davranışı Taktiğe Çevirmek ( Compare your Results to other Analysts) – Saldırganın yapmış olduğu davranış için hangi tekniği kullanabileceğini tespit etmek gerekmektedir. Burada güzel olan şey Enterprise ATT&CK’da yer alan sadece 12 taktik bulunmaktadır.
- Davranış için Hangi Tekniğin Geçerli Olduğunu Bulmak (Figure out what technique applies to the behavior ) – Bu adım biraz daha karmaşık olabilir ancak doğru analiz sonucunda ATT&CK web sitesinde yer alan örnekler ile doğru sonuca ulaşılabilir.
- Sonuçların Diğer Analistlerle Karşılaştırılması (Compare your results to other analysts) – Analistlerin bir davranış hakkında diğer analistlerden farklı yorumları olabilmektedir. Bu nedenle raporlarda ya da analiz sırasında diğer analistlerin sonuçlarıyla karşılaştırmak her zaman doğru bir yaklaşım olacaktır.
Seviye 3 Tehdit İstihbaratı
Kurumlarda gelişmiş bir Siber Tehdit İstihabaratı (CTI) ekibi yer alıyorsa, verileri ATT&CK ile eşleştirebilir. Ve bunun sonucunda bu verileri savunma tarafında nasıl kullanılacağına öncelik vererek kullanabilirler. Makalemizde özetle bahsetmiş olduğumuz adımları uygulayarak, olay müdahale verileri, OSİNT veya tehdit istihbaratı raporları, gerçek zamanlı uyarılar ve şirketlerin geçmiş verileri ATT&CK ile eşleştirilebilir. Bu bilgi dokümanını çıkardıktan soınra da tehdit gruplarının karşılaştırılmasını yapabilir ve yaygın olarak kullanılan tekniklere öncelik verilebilir.
Kaynaklar:
- https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f
- https://www.nozominetworks.com/blog/enhancing-threat-intelligence-with-the-mitre-attck-framework/
- https://attack.mitre.org/