MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi saldırıları tespit edebildiğimizi ve hangilerini engelleyebildiğimizi işaretleyerek, önemli bir boşluk analizi yapılması gerekiyor.

Bu çalışma tamamlandığında;

  • Hangi saldırıları engelleyemediğimizi (engelleme boşluk analizi)
  • Hangi saldırıları tespit edemediğimizi (tespit boşluk analizi)
  • Hangi saldırılara müdahale edemediğimizi (müdahale boşluk analizi)

MITRE ATT&CK matrisini bir süzgeç olarak düşünürsek, bazı yerleri mevcut yatırımlarımızla zaten tıkadığımızı, ancak bazı yerleri de tamamen boş bıraktığımızı göreceğiz.

Bu konu, özellikle ciddi bir saldırı bekliyorsak (Kamu kurumu, savunma sanayi kuruluşu, yazılım firması, kritik sektör kuruluşu, vb.) yapılması gereken yatırımları belirlemek için daha da önemlidir.

Aşağıdaki basitleştirilmiş örneği ele alırsak;

Yukarıda seçtiğim renk kodlarına göre;

  • Mavi: Bu saldırıyı engellemek için yeterli tedbirimiz var + saldırının gerçekleşmesi halinde tespit edecek yapı var + bu olaya müdahale edebilecek teknik yeterliliğimiz var. 
  • Sarı: Bu saldırıyı kısmen engelleyebiliyor, görebiliyor veya müdahale edebiliyoruz. Bu örnekte RDP protokolünün bizim tarafımızdan da yoğun kullanımı nedeniyle bunun saldırgana yerel ağda yayılmak için bir fırsat verebileceğini söyleyebiliriz. 
  •  Kırmızı: Bu saldırıyı engelleyemiyoruz, tespit edemiyoruz ve müdahale edecek teknik kabiliyetimiz yok.

“Peki hocam bu gerçek hayatta ne işimize yarayacak?” dediğinizi duyar gibiyim. Siber tehdit istihbaratı ve tehdit modellemesi çalışmaları tam olarak burada işimize yarayacak ve buradaki teorik durumu pratiğe dökeceğiz.

Aşağıda Mandiant tarafından yayımlanan yeni bir raporda İran kaynaklı bir siber saldırı grubunun saldırı adımlarını görüyorsunuz;

Bu siber saldırgan grubunun Ortadoğu’da başta kamu kurumları olmak üzere çeşitli hedefleri olduğu biliniyor. Hal böyleyken bizim “zero-day” tehdidi beklemek yerine gerçekte bu saldırıların nasıl yapıldığına bakarak tedbirlerimizi almamız gerekiyor.

Bu örnekte sormam gereken sorular ve ATT&CK matrisinde işaretlemem gereken konular şunlar olur;

  • İlk erişim vektörü 
    • Kullanıcı hesaplarının çalındığını tespit edecek bir mekanizmaya sahip miyiz? 
  •  Bağlantı kurmak
    •  Zararlı yazılımları tespit edecek yapıya sahip miyiz (örn. “kastığı” için antivirüsü kapatılan bilgisayar var mı?) 
    • Antivirüs loglarını takip ediyor muyuz? 
    • Antivirüs bildirimleri için inceleme yapabiliyor muyuz? 
  • Kalıcı olmak
    •  Registry değerleri üzerinde değişiklik yapılınca fark edebiliyor muyuz? 
    • Zamamlanmış görevlerde veya çalışan servislerde bir değişiklik olduğunda fark edebiliyor muyuz? 
    • Bunları fark etmemiz durumunda müdahale edecek teknik beceriye sahip miyiz?
  •  Yerel ağda yayılmak 
    • Saldırganın yerel ağda yayılmak için kullanacağı teknikleri tespit edebiliyor muyuz?  
    • Yerel ağda bir saldırgan veya zararlı yazılım tespit edersek buna müdahale edecek teknik altyapıya ve beceriye sahip miyiz?

Bu boşluk analizinin yapılması ve güncel tutulması sadece hedefli saldırılara karşı değil, fidye yazılım ve benzeri daha yaygın olarak görülen saldırılarla mücadele edebilmek için de çok önemlidir.