MITRE ATT&CK, saldırganların siber saldırılarda kullandığı yöntemleri (taktikler, teknikler ve prosedürler) tanımlayan bir güvenlik çerçevesidir. Güvenlik ekipleri, saldırıları anlamak, tehditleri tespit etmek ve savunma stratejileri geliştirmek için bu bilgi tabanını kullanır.

Mitre, MIT Research Establishment, ATT&CK” ise Adversarial Tactics, Techniques, and Common Knowledge anlamına geliyor.

MITRE ATT&CK, saldırganların kullandığı TTP’leri (Tactics, Techniques, and Procedures) içeren bir çerçevedir dedik, peki nedir bu kavramlar, ilk olarak bunları açıklayalım.

Tactics: Saldırganın ne yapmaya çalıştığını gösterir (örneğin, sisteme sızma, yetki yükseltme, veri sızdırma, keşif, kanıtları temizleme). Saldırının nedenini temsil eder.

Techniques: Saldırganın bunu nasıl yaptığıdır (örneğin, phishing ile kimlik bilgilerini çalma, zararlı yazılım yükleme). Her bir taktik altında birden fazla teknik bulunabilir. Bunlara Sub Techniques denir.

Procedures: Saldırganların teknikleri belirli bir senaryoda nasıl uyguladığını gösterir. Aynı tekniği farklı prosedürlerle uygulamak mümkündür.

MITRE ATT&CK Matrisleri Nedir?

MITRE ATT&CK matrisleri, saldırganların farklı sistemlere yönelik taktik ve tekniklerini düzenli bir şekilde gruplandıran yapılardır. Her matris, farklı bir hedef sistem türüne odaklanır.

MITRE ATT&CK Matrisleri Nedir?

MITRE ATT&CK matrisleri, saldırganların farklı sistemlere yönelik taktik ve tekniklerini düzenli bir şekilde gruplandıran yapılardır. Her matris, farklı bir hedef sistem türüne odaklanır.

1. Enterprise Matrix (Kurumsal Matris): Windows, macOS, Linux ve bulut sistemleri gibi kurumsal IT ortamlarına yönelik saldırı tekniklerini içerir.

Enterprise Matrix, siber saldırı süreçlerinin farklı aşamalarını temsil eden 14 ana Tactics kategorisi içerir.

Reconnaissance (Keşif): Saldırganlar, hedef hakkında bilgi toplar. Açık kaynak araştırması, sosyal mühendislik veya ağ taramaları kullanarak

Resource Development (Kaynak Geliştirme): Saldırıyı gerçekleştirmek için gerekli olan araçlar, kimlik bilgileri veya altyapılar hazırlanır. Örneğin, sahte web siteleri oluşturma, kötü amaçlı yazılım geliştirme veya çalıntı kimlik bilgileri satın alma gibi işlemler yapılır.

Initial Access (Başlangıç Erişimi): Hedef sisteme veya ağa giriş sağlanır. Phishing saldırıları, güvenlik açıklarından yararlanma (exploit) veya kimlik bilgisi kullanımı gibi yöntemler ile sisteme ilk erişimi elde eder.

Execution (Yürütme): Hedef sistemde zararlı komutlar veya kötü amaçlı yazılımlar çalıştırılır. Bu, doğrudan kod yürütme, komut satırı veya betikler aracılığıyla yapılabilir.

Persistence (Kalıcılık): Saldırganlar, sistemde erişimlerini korumak için arka kapılar (backdoor), otomatik çalıştırma mekanizmaları veya sistem yapılandırmalarında değişiklikler yaparak varlıklarını sürdürebilirler.

Privilege Escalation (Yetki Yükseltme): Kullanıcı yetkilerini yükselterek yönetici (admin/root) seviyesinde erişim elde edilir. Güvenlik açıklarından yararlanarak veya yanlış yapılandırmaları kullanarak daha fazla kontrol sağlanır.

Defense Evasion (Savunmadan Kaçınma): Tespit edilmemek için antivirüs, güvenlik duvarı veya güvenlik çözümlerini atlatma yöntemleri kullanılır. Kötü amaçlı yazılımın şifrelenmesi, log temizleme veya sistem süreçlerinin değiştirilmesi gibi teknikler uygulanır.

Credential Access (Kimlik Bilgisi Erişimi): Kullanıcı adı, parola veya oturum anahtarlarını ele geçirmek için çeşitli yöntemler kullanılır. Keylogger, brute-force saldırıları, credential dumping veya phishing gibi tekniklerle kimlik bilgileri çalınır.

Discovery (İç Keşif Süreci): Saldırgan, sistem içinde hangi kaynaklara erişebileceğini veya hangi varlıkların kontrol edilebileceğini belirlemek için ağ taramaları, sistem analizi ve dosya keşfi yapar.

Lateral Movement (Yanal Hareket): Başlangıçta erişilen sistemden, ağ içindeki diğer sistemlere veya daha kritik sunuculara yayılmak için kimlik bilgileri, uzak masaüstü bağlantıları (RDP) veya güvenlik açıkları kullanılır.

Collection (Veri Toplama): Hedef sistemden, hassas veya değerli veriler toplanır. Bu, ekran görüntüleri alma, klavye girişlerini kaydetme, veritabanlarından bilgi çekme veya dosya kopyalama yoluyla gerçekleşebilir.

Command and Control (Komut ve Kontrol): Saldırgan, sistem üzerinde uzaktan kontrol sağlayabilmek için gizli bir iletişim kanalı kurar. Zararlı yazılım, tespit edilmeden saldırganın komutlarını almak ve çalıştırmak için özel protokoller veya şifreli bağlantılar kullanır.

Exfiltration (Veri Sızdırma): Çalınan veriler, saldırgan tarafından hedef sistemden dışarıya çıkarılır. Bu, doğrudan bir C2 sunucusuna, bulut depolama alanlarına veya başka güvenli olmayan protokollerle aktarılabilir.

Impact (Etkileme ve Sabotaj): Saldırgan, sistemleri kesintiye uğratabilir, verileri şifreleyerek fidye talep edebilir, sistem yapılandırmalarını bozabilir veya tamamen imha edebilir. Özellikle fidye yazılımları ve sabotaj amaçlı saldırılar bu aşamada gerçekleştirilir.

2. Mobile Matrix (Mobil Matris):

Android ve iOS sistemlerine yönelik saldırı tekniklerini kapsar. Uygulama güvenlik açıkları, zararlı mobil yazılımlar, Bluetooth saldırıları gibi konular yer alır.

3. ICS Matrix (Endüstriyel Kontrol Sistemleri Matris):

SCADA, IoT ve diğer endüstriyel kontrol sistemlerine yönelik saldırı tekniklerini içerir. Fiziksel altyapılara saldırılar, fabrika sistemleri, enerji santralleri ve kritik altyapı tehditleri bu matriste ele alınır.

Mitigations: MITRE ATT&CK matrisindeki tekniklere karşı alınabilecek önlemleri ve eylemleri ifade eder. Her bir mitigation’ın benzersiz bir kimliği, adı ve açıklaması vardır. Bu bilgiler, siber güvenlik alanında çalışan kişilerin, saldırıları engellemek veya etkilerini en aza indirmek için hangi güvenlik önlemlerini uygulamaları gerektiğini belirlemelerine yardımcı olur.

MITRE ATT&CK’ın Kullanım Alanları

MITRE ATT&CK, siber güvenlik alanında birçok farklı amaç için kullanılır. Hem saldırı tespitinde hem de savunma stratejilerinin geliştirilmesinde kritik bir rol oynar. İşte başlıca kullanım alanları:

Tehdit İstihbaratı (Threat Intelligence): Saldırgan gruplarının kullandığı teknikleri ve taktikleri anlamak için tehdit istihbaratı çalışmalarında kullanılır. Siber güvenlik ekipleri, belirli saldırganların hangi yöntemleri tercih ettiğini analiz ederek savunma stratejilerini daha etkili hale getirebilir.

Olay Müdahale (Incident Response): Bir saldırı gerçekleştiğinde, güvenlik ekipleri MITRE ATT&CK çerçevesini kullanarak saldırının nasıl başladığını, hangi tekniklerin kullanıldığını ve saldırganın sistem içinde nasıl hareket ettiğini analiz edebilir. Bu sayede saldırıya hızlı ve etkili bir şekilde müdahale edilir.

Tehdit Avcılığı (Threat Hunting): Siber güvenlik uzmanları, MITRE ATT&CK framework’ünü kullanarak sistem içinde gizli kalmış saldırganları tespit edebilir. Belirli saldırı teknikleri üzerine yoğunlaşarak, proaktif bir şekilde tehditleri ortaya çıkarmak mümkündür.

Güvenlik Açığı Yönetimi ve Testleri: Red Team ve Blue Team çalışmalarında MITRE ATT&CK kullanılarak gerçek saldırı senaryoları test edilir. Sızma testleri ve güvenlik değerlendirmeleri, saldırganların kullanabileceği teknikleri simüle etmek için bu framework’e göre planlanır.