Mitre ATT&CK Framework’u, kar amacı gütmeyen Mitre isminde kurum tarafınca oluşturulmuş siber hücum teknikleri, taktikleri ve ortak bilgilerin yer almış olduğu informasyon tabanıdır. Açılımı ise “Adversarial Tactics, Techniques and Common Knowledge” şeklinde.
2013 senesinde gösterilen bu informasyon tabanında amaç; her geçen gün hızla artan siber saldırıların neyi amaçladığı, {nasıl} gerçekleştiği benzer biçimde durumların açıklanıp tek bir çatı altında toplamaya çalışmaktır. Mitre ATT&CK Framework, saldırganların davranışlarını ve vakaları modelleyerek gruplandırır. Hücum tekniklerini çözümleme ederek kategorize ve parasız bir halde topluluğa sunar.
Mitre ATT&CK Framework Kullanımının Yararları
- Gerçekleşebilecek saldırılara karşı tedbir olarak yeni sistemler geliştirilmesini ve güvenlik politikalarının iyileştirilmesini sağlar.
- Bir saldırının {nasıl} gerçekleştiğini, gerçekleştikten sonrasında tesirinin {nasıl} arttırılabileceğini, tespitinin zorlaştırılması için neler yapıldığını idrak etmek ve tedbirler almak için kullanılabilir.
- Herhangi bir hücum yaşandığında saldırının türünü belirlerken Mitre ATT&CK Framework’ünden yararlanılabilir.
- Saldırganların hedeflerinin anlaşılmasını ve tedbirlerin ona bakılırsa alınmasını sağlar.
Mitre ATT&CK Framework Matrisleri
Mitre ATT&CK Framework, iki tane matrise bölünmüştür. Öncesinden Pre-ATT&CK isminde üçüncü bir matris de bulunmaktaydı fakat Mitre, bu matrisi Enterprise ATT&CK matrisine dahil ederek matris sayısını ikiye düşürdü.
- Enterprise ATT&CK
- Mobile ATT&CK
Enterprise ATT&CK Taktikleri
- Reconnaissance (Bulgu)
- Resource Development (Kaynak Geliştirme)
- Initial Access (İlk Erişim)
- Execution (Yürütme)
- Persistence (Kalıcılık)
- Privilege Escalation (Yetki Yükseltme)
- Defense Evasion (Savunmadan Kaçınma)
- Credential Access (Kimlik Bilgilerine Erişim)
- Discovery (Bulgu)
- Lateral Movement (Yanal Hareket)
- Collection (Toplama)
- Command and Control (Komuta ve Denetim)
- Exfiltration (Sızma)
- Impact (Tesir)
Mitre ATT&CK Framework içinde, Enterprise ATT&CK matrisinde yer edinen başlıkları inceleyelim.
Reconnaissance (Bulgu): Saldırganın, saldırıları planlamak için kullanabileceği detayları toplarken kullandığı teknikleri ihtiva eder.
Resource Development (Kaynak Geliştirme): Saldırganın, yapacağı saldırılara destek olması amacıyla oluşturabileceği kaynakların tekniklerini ihtiva eder.
Initial Access (İlk Erişim): Saldrıganın ağa sızmak ve erişim elde etmek için kullandığı teknikleri ihtiva eder.
Execution (Yürütme): Saldırganın sistemde zararı dokunan kod çalıştırmak için kullandığı teknikleri ihtiva eder.
Persistence (Kalıcılık): Saldırganın saldırmış olduğu, ulaştığı sistemle olan bağlantısını korumaya çalışırken kullandığı teknikleri ihtiva eder.
Privilege Escalation (Yetki Yükseltme): Saldırganın ulaştığı sistemde daha yüksek seviyeli izinlere haiz olmak için kullandığı teknikleri ihtiva eder.
Defense Evasion (Savunmadan Kaçınma): Saldırgan, müdafa yöntemlerine ve sistemlerine yakalanmadan saldırısına devam edebilmek için buradaki tekniklerden yararlanabilir.
Credential Access (Kimlik Bilgilerine Erişim): Saldırgan, hedeflediği sistemde bulunan kullanıcı adı ve parola benzer biçimde detayları buradaki teknikler yardımıyla elde etmeye çalışır.
Discovery (Bulgu): Saldırgan, Reconnaissance aşamasında dışardan informasyon toplamaya çalışıyordu fakat Discovery aşamasında artık sistemden iç ağı tarayabilir ve genel olarak sistemin yapısını çıkarabilir.
Lateral Movement (Yanal Hareket): Saldırganın Discovery aşamasında bulmuş olduğu bulgularla sistemdeki öteki ağlara ya da cihazlara sızmaya çalşırken kullandığı teknikleri ihtiva eder.
Collection (Toplamak): Saldırganın ulaştığı sistemdeki tehlikeli sonuç detayları toplarken kullandığı teknikleri ihtiva eder.
Command and Control (Komuta ve Denetim): Saldırganın hedef sistem içinde kontrolü ele geçirdikleri sistemlerle yazışma kurmasını ve denetim etmesini elde eden teknikleri ihtiva eder.
Exfiltration (Sızma): Saldırgan, hedeflediği sistemdeki verileri çalmak için buradaki teknikleri kullanabilir.
Impact (Tesir): Saldırgan, hedeflediği sistemi manipüle etmeye, erişilemez hale getirmeye ve yok etmeye çalışırken buradaki teknikleri kullanabilir.
Mobile ATT&CK Taktikleri
- Initial Access
- Execution
- Persistence
- Privilege Escalation
- Defense Evasion
- Credential Access
- Discovery
- Lateral Movement
- Collection
- Command and Control
- Exfiltration
- Impact
- Network Effects (Ağ Tesirleri)
- Remote Service Effects (Uzaktan Servis Tesirleri)
Bu matris içinde de Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration, Impact aşamaları bulunuyor. Enterprise ATT&CK kısmında incelediklerimize ek olarak Network Effects ve Remote Service Effects kısımları var. Bu tarz şeyleri inceleyelim.
Network Effects (Ağ Tesirleri): Saldırgan, bir cihaza gelen ya da giden ağ trafiğini engellemeye ve manipüle etmeye çalışırken buradaki teknikleri kullanabilir.
Remote Service Effects (Uzaktan Servis Tesirleri): Saldırganın hedeflediği aygıt üstünde uzak hizmetleri kullanarak denetim sağlarken ve izlemeye çalışırken kullandığı teknikleri ihtiva eder.
Mitre ATT&CK Framework’u haiz olduğumuz ya da güvenliğini sağlamakla yükümlü olduğumuz bir sisteme saldırganın bakış açısından bakmamıza yarayabiliyor. İçerisindeki matrisleri ve hücum tekniklerini özetlemek gerekirse açıklamaya çalıştım. Ümit ederim yararlı olmuştur. Mitre ATT&CK Framework’ünü buraya tıklayarak kendi sitesinden inceleyebilirsiniz.