Mitre ATT&CK çerçevesi özel sektörde, devletler nezdinde ve siber güvenlik ürün ve hizmet toplulukları içerisinde belirli tehdit modellerinin ve metodolojilerinin geliştirilmesi için bir temel olarak kullanılmaktadır. Suç ve savunma için ortak bir dil sağlamasına bağlı olarak birçok kişi ve kurum için faydalı bir kavramsal araç halini almıştır.
Makalemin ilk bölümü için aşağıdaki linki kullanabilirsiniz
ATT&CK çerçevesi genel olarak bakıldığında aşağıdaki alanlarda aktif olarak kullanılır ve katma değer yaratır.
- Düşman Öykülenmesi (ing. Adversary Emulation)
- Kırmızı Takım (ing. Red Teaming)
- Davranışsal Analitik Geliştirme
- Savunma GAP Analizi
- Güvenlik Operasyon Merkezi Olgunluk Değerlendirmesi
- Siber Tehdit İstihbaratı
ATT&CK birden fazla alanda APT gruplarını analiz ederek platform bağımsız bir yol gösterici olmuştur. Bu kapsamda Enterprise, mobile ve endüstriyel kontrol sistemlerini destekleyici bir matrise sahiptir. Matris ek olarak teknoloji bağımsız PRE-ATT&CK modelini de desteklemektedir.
Taktikler, teknikler ve alt teknikler arasındaki ilişki yukarıdaki şekil üzerinde yer alan Enterprice Matrix ile görselleştirilir. ATT&CK web sitesi üzerinde bulunan her matrise bir sürüm numarası olarak hizmet eden zaman damgası vurulur.
- Tehdit İstihbaratı Alanında Mitre ATT&CK Kullanımı
Günümüzde tehdit istihbaratı hizmetinin aktif olarak kullanılması savunma ekiplerini daima saldırganın bir adım önünde tutmayı hedeflemektedir. Bu kapsamda ürün bazlı bu süreci işleten yazılımlar geliştirilmiştir. Geliştirilen yazılımlar siber güvenlik sektöründe insanın üzerinden büyük bir yükü azaltmış ve katma değeri daha yüksek çalışmalar ortaya çıkarmıştır.
Siber tehdit istihbaratı alanında geliştirilen yazılımlar ve bu alanda çalışan uzmanlar Mitre ATT&CK çerçevesinden aktif olarak faydalanmaktadır. Hatta geliştirilen birçok yazılımın ara yüzünde Mitre ATT&CK içerisinde yer alan APT gruplarını, TTPs’leri kaynak gösteren özet ekranlar ve raporlar görülmektedir.
Kurumsal yapılar içerisinde sektör bazlı APT gruplarını incelemek tehdit bilgi tabanına dayalı bir istihbarat hizmetinin kullanılmasını sağlar. ATT&CK üzerinden kurgulanabilecek, yazılım bağımsız bir tehdit istihbaratı modeli saldırganın ne yaptığını bilmeyi ve bu bilgiler kapsamında olay müdahale süreçlerinin dinamik hale gelmesini sağlamaktadır.
Sektör Bazlı Siber Tehdit İstihbaratı
Devlet ve özel kurumlar içerisinde yer alan farklı sektörlerin kendi içerisinde uyguladıkları farklı güvenlik standartları bulunmaktadır. Sektör bazlı işlenen ve kullanılan verinin hassasiyetine göre güvenlik standartları farklı yöntemler izlemektedir. Günümüzde devlet destekli APT grupları sektörel odaklı bir yaklaşım sergilemektedir.
APT gruplarının sektörel bazlı yapmış olduğu ayrım ATT&CK çerçevesinde dikkatli bir şekilde ele alınarak incelenmektedir. ATT&CK üzerinde oluşturulan bu sektörel grup ayrımı, kuruluşlar içerinde yer alan savunma ekiplerine odak belirleme amaçlı bir rapor olarak sunulmuştur.
ATT&CK web sitesi içerisinde yer alan arama motorunu kullanarak sektör bazlı APT grupları hakkında bilgileri inceleyerek siber tehdit istihbaratı alanında seviye 1 düzeyinde bilgi toplayarak önlem alınacak güvenlik mimarisi savunma ekipleri tarafından oluşturulabilir.
Şekilde görüleceği üzere havacılık sektörü baz alınarak bir arama yapılmış ve Leviathan APT grubu üzerinden gerçekleştirilen TTPs’lere ulaşılmıştır.
ATT&CK Navigator ile Siber Tehdit İstihbaratı
Yukarıdaki şekilde detaylı bir APT grubu analizi yapmak istediğinizde ATT&CK tarafından geliştirilmiş Navigator aracını kullanabiliriz. ATT&CK Navigator, matris içerisine açıklama eklemek ve APT gruplarının TTPs’lerini keşfetmek için tasarlanmış bir araçtır. Savunma ekiplerinin analizlerine daha görsel bir bakış kazandırmak için kullanabilirsiniz.
Gelişmiş siber tehdit istihbaratı ekipleri birden fazla APT grubunu analiz etmek istediğinde ATT&CK Navigator süreci daha okunur hale getirecektir. APT grupları karşılaştırılırken ATT&CK Navigator bize her grubun tekniklerini ayrı ayrı incelememizi ve bu APT’lerin tek başlık altında toplanmış olmuş tekniklerini görmemiz konusunda kolaylık sağlar.
Bu alt başlık altında aynı sektöre yönelik TTPs’ler kullanan APT gruplarının Navigator üzerinde karşılaştırılmasının nasıl yapılacağını inceleyeceğiz.
1. İlk olarak web tarayıcı üzerinden https://mitre-attack.github.io/attack-navigator/ adresine gidilir. Şekil 1.1’de bizi karşılayan ekran içerisinden işaretli alan seçilerek ilk analiz çalışmasını yapacağımız APT grubu seçilir.
Sonrasında Şekil 1.2’de gösterildiği üzere “More Options” altından versiyon ve domain bilgileri seçilerek devam edilir.
2. Bu anlatım için havacılık sektöründe dikine TTPs metotları bulunan APT10 ve APT40 gruplarını inceleyeceğiz. Şekil 1.3’de APT10 grubunun navigator üzerinde filtrelendiği görülmektedir.
3. APT10 grubunu seçtikten sonra görsel ayrımı yapmamız için Şekil 1.4’de gösterilen “Skore” bilgisinin girişini yapıyoruz.
4. APT40 grubunu eklemek için yeni bir layer eklemesi yapıyoruz. Ekleme ve skor verme aşamasında yukarıda belirtilen madde adımları uygulandı.
5. Her iki APT grubunun aynı sektörde aktif olduğunu düşünürsek konsolide TTPs’leri görmek için yeni bir layer daha eklememiz gerekiyor. Bu aşamada “Diğer Katmandan Yeni Katman Oluştur” seçeneği işaretlenerek devam edebilirsiniz. Şekil 1.5 üzerinde gösterildiği gibi a+b olarak değer girişi yapılır ve yeni sekme konsolide olarak oluşturulur.
6. Konsolide sağlanan TTPs skor kodu Şekil 1.6’da görüldüğü gibi 3 olarak gelecektir. Burada yer alan renkler tercihe bağlı değiştirilmiştir.
7. Şekil 1.7 üzerinde gösterilen alandan oluşturulan matris Excel veya Json formatında dışarı aktarıldı.
Yukarıda gerçekleştirilen örnekte havacılık sektörüne olan ilgileri bilinen APT10 ve APT40 gruplarının taktik ve teknikleri arasındaki benzerlikler navigator ile yapılan tehdit istihbaratı çalışmasıyla ortaya çıkarılmıştır. Yapılan bu çalışma sayesinde APT10 ve APT40 gruplarının sistem üzerinde gerçekleştirdikleri altı adet taktiğin ve bu taktiklere bağlı beş adet tekniğin biribiriyle aynı olduğu tespit edilmiştir. ATT&CK Navigator üzerinde oluşturulabilecek bu gibi birçok filtre sayesinde sektörel bazlı tehdit istihbaratı yapılarak güvenlik sıkılaştırmalarının bu alanlar üzerinde arttırılması sağlanabilir.
Bir sonraki yazı dizimizde elde edilen bu tehdit istihbaratı çıktısının Caldera ile sistem sıkılaştırmasında nasıl kullanılacağını sizlere aktarmaya çalışacağım.
Eline sağlık.
Emeklerinize sağlık Şafak bey. Serinin devamını merakla bekliyor olacağım.