Siber güvenlik dünyasının yakından takip ettiği MITRE ATT&CK çerçevesinin en son sürümü olan v17 yayınlandı. Bu önemli güncelleme, siber tehdit aktörlerinin taktik, teknik ve prosedürlerini (TTP’ler) daha kapsamlı bir şekilde ele almayı hedeflerken, savunma stratejilerini güçlendirmeye yönelik önemli yenilikler sunuyor.
En Dikkat Çeken Yenilik: ESXi Platformu Desteği
v17’nin en çarpıcı yeniliği, Enterprise matrisine ESXi platformunun eklenmesi oldu. VMware’in yaygın olarak kullanılan bu hipervizörü, özellikle fidye yazılımı saldırıları ve kalıcı erişim elde etme çabalarında siber saldırganların hedefinde giderek daha fazla yer alıyor. MITRE, bu yeni platformla, ESXi ortamlarına yönelik saldırılarda kullanılan 34 mevcut tekniği uyarlarken, bu ortama özgü 4 yeni teknik de tanımladı. Bu sayede, siber güvenlik uzmanları ESXi altyapılarını hedef alan tehditleri daha iyi anlayıp savunabilecekler.
MITRE’den Amy L. Robertson, bu eklemeyle ilgili olarak, “Başlangıçta daha geniş bir tip-1 hipervizör platformu oluşturmayı düşünsek de, sahadaki raporlamalar saldırganların ESXi’ye yoğunlaştığını gösterdi. Sanallaştırma ortamı sürekli değişiyor ve ESXi’nin rolü farklılaşsa da, saldırganlar özellikle fidye yazılımı ve kalıcı erişim kampanyalarında aktif olarak bu platformun yeteneklerinden yararlanıyor. Diğer hipervizörler de saldırganların ilgisini çektikçe, toplulukla işbirliği içinde bu davranışların da çerçeveye yansıtılmasını sağlayacağız. Bu güncellemeyle amacımız, savunmacılara günümüzde saldırganların hedeflediği ortamlardaki tehditleri tespit ve bertaraf etmek için ihtiyaç duydukları araçları sunmaktır,” açıklamasında bulundu.
Savunma Kılavuzlarında Önemli İyileştirmeler
v17, savunma tarafında da önemli geliştirmeler içeriyor. Veri Bileşenleri, artık sadece neyin toplanması gerektiğini değil, aynı zamanda IaaS ve SaaS desteği de dahil olmak üzere platforma özel toplama kılavuzları sunarak daha kullanışlı hale getirildi. Mitigasyonlar (Hafifletmeler) bölümü ise adım adım uygulama kılavuzları, gerçek dünya kullanım örnekleri ve entegrasyon araçlarıyla zenginleştirildi. Bu sayede, güvenlik ekipleri tehditlere karşı daha etkili önlemler alabilecekler.
Mobil ve Tehdit İstihbaratında Güncellemeler
Mobil matrisine de yeni teknikler ve araçlar eklenirken, siber tehdit istihbaratı (CTI) bölümünde çeşitli ortamları hedef alan daha fazla sayıda grup, kampanya ve yazılım takip edilmeye başlandı. Özellikle kritik altyapıları ve uç cihazlarını hedef alan, saldırgan altyapısını gizleyen ve yapay zeka (AI) sistemlerindeki güvenlik açıklarını istismar eden kampanyalara dikkat çekildi. Ayrıca, Türkiye bağlantılı G1041: Sea Turtle ve İran bağlantılı G1044: APT42 gibi yeni tehdit aktörleri de çerçeveye dahil edildi.
Operasyonel Teknoloji (OT) Alanında Farkındalık Artışı
OT tarafında ise Ukrayna’da ısıtma hizmetlerini kesintiye uğratan C0041: FrostyGoop gibi gerçek dünya etkilerini gösteren olaylar ATT&CK’e dahil edildi. Ağ cihazlarını hedef alan S1203: J-magic, S1206: JumbledPath, S1184: BOLDMOVE ve S1186: Line Dancer gibi yazılımlar da güvenlik duvarları ve yönlendiriciler gibi uç cihazlardaki görünürlük ve yama eksikliklerini hedef alıyor.
Geliştiriciler İçin Yenilikler
Geliştiriciler için de önemli güncellemeler mevcut. mitreattack-python kütüphanesi v17 STIX içeriğini destekleyecek şekilde güncellenirken, Workbench daha sorunsuz güncellemeler için semantik versiyonlamaya geçti.
MITRE ATT&CK v17, siber güvenlik profesyonellerine tehditleri daha iyi anlama, tespit etme ve bunlara karşı savunma geliştirme konusunda önemli ölçüde yardımcı olacak kapsamlı bir güncelleme sunuyor. Özellikle ESXi platformunun eklenmesi ve savunma kılavuzlarındaki iyileştirmeler, günümüzün karmaşık tehdit ortamında kuruluşların güvenlik duruşlarını güçlendirmelerine olanak tanıyacak.
