MITRE ATT&CK ile Güvenlik Sıkılaştırması – Bölüm 1

Bu yazı dizisini kaleme alırken üç bölümden oluşacak şekilde yayınlamaya karar verdim.Bu kapsamda aşağıdaki üç başlık altında sizlerle seri makaleleri paylaşıyor olacağım.

  1. MITRE ATT&CK ile Güvenlik Sıkılaştırması
  2. ATT&CK Kullanım Alanları
  3. Caldera ile Kırmızı Takım Operasyonları

İlk bölümde güvenlik sıkılaştırmalarına genel bakış açısı ve Mitre Att&Ck çerçevesini genel hatlarıyla sizlere aktarmaya çalışacağım.

İkinci bölümde bu modelin kullanım alanlarını, tehdit istihbaratı alanında kullanımını örneklendirerek sizlere aktarmayı planlıyorum.

Üçüncü bölümde ise kırmızı takım (RedTeam) operasyonlarının otomatize bir şekilde Caldera yazılımı üzerinden yürütülmesini aktarıyor olacağım.

Sıkılmadan okuyacağınız keyifli bir yazı dizisi olmasını dilerim.

Amaç ve Kapsam

Günümüzde gelişen dijital süreçlerle birlikte kurumların dijital ortamda bulunan kritik ve gizliliği yüksek değere sahip verisini siber saldırılara karşı korumak ve içeride dinamik bir güvenlik yapısını sürdürmek giderek daha zor bir hal almaktadır. Kuruluşların, bir saldırganın ağlarına ve sistemlerine erişmek için kullanabileceği her yöntemi tespit etmesi ve bunlara karşı savunma becerilerine sahip olması pek olası değildir.

Kurumsal yapılar içerisinde çalışan birçok Siber güvenlik ve sistem uzmanı, veri güvenliğini danışman firmaların yönlendirmelerine veya yapıda bulunan güvenlik ürünlerinin üreticileri tarafından belirtilen yönergelerini uygulayarak dış tehditlere karşı daha güvenli hale getirmeyi hedeflemektedir.

Bu yazı dizisi ile sizlere kurumsal yapılarda bulunan sistemlere yapılmış veya yapılması muhtemel saldırılara karşı ilgili savunma sensörlerini belirlemek ve inşa etmek için davranışa dayalı bir tehdit modeli olan Mitre Att&Ck çerçevesinin tanımlamış olduğu gelişmiş kalıcı tehdit gruplarının (İng. Advanced Persistent Threat – APT) simülasyonlarının nasıl kullanılacağı ve uygulanan simülasyonlar sayesinde loglama sistemlerinin gerçek saldırı durumunda göstereceği reaksiyonun analizi aktarmaya çalışacağım.

Kurumsal Ortamlarda Güvenlik Sıkılaştırılması

Günümüzde kuruluşların uyguladığı dijital dönüşüm stratejisi kâğıt üzerinde basılı olan birçok bilginin ve bu basılı bilgilere bağlı süreçlerin lokal ağ veya internet üzerinden erişilebilir olmasını sağlamak üzerine planlanmaktadır. Kuruluşların dijital dönüşüm süreçlerinin vazgeçilmez bir parçası olan her türlü yazılım veya donanım envanterinin üzerinde yer alan verinin önemine bağlı olarak bilgi güvenliği riskleri ortaya çıkabilmektedir. Şirketler dijital süreçlerini tasarlarken bu riskleri analiz ederek bilgi güvenliği alanında da çeşitli yatırımlar yapmaktadır. Verinin dijitalleşmesine ve depolanmasına fayda sağlayacak tüm yazılım ve donanım envanteri üzerinde, güvenlik sıkılaştırmalarının düzenli olarak uygulanması riskleri azaltma anlamında fayda sağlayabilir.

Kurumsal ortamlarda kurulan her yazılım ve donanım envanterinin çeşitli güvenlik standartlarının önerdiği yönergeler doğrultusunda iç ve dış tehditlere karşı sıkılaştırılması gerekir. Yazılım ve donanım envanteri üzerinde sıkılaştırma çalışmaları yapılırken, bilgi güvenliğinin en zayıf halkası olarak değerlendirileninsan” faktörününse bilgi güvenliği farkındalık eğitimleriyle oluşabilecek tehditlere karşı olgunluğunun arttırılması sağlanmalıdır. Bu kapsamda Ulusal Standartlar ve Teknoloji Enstitüsü (ing. National Institute of Standards and Technology-NIST), Uluslararası Standardizasyon Örgütü (ing. International Organization for Standardization-ISO), MITRE ve İnternet Güvenliği Merkezi (ing. Center for Internet Security-CIS) tarafından çeşitli sistem sıkılaştırma çerçeveleri bilişim uzmanlarının kullanımına sunulmuştur.

Kurumsal ortamlarda, uluslararası kabul görmüş standartlardan herhangi biriyle güvenlik sıkılaştırma çalışması yapılması, veri ihlal olaylarının olma olasılığını düşürebilir. Sistem veya yazılım envanterini devreye alınırken yapılan güvenlik sıkılaştırmasının dinamik olarak sürdürülmesi de büyük önem taşımaktadır. Kurumsal ağlarda bir yazılım veya donanım envanteri devreye alınmadan önce dijital dönüşüm projeleri içerisinde görev alan personel tarafından NIST SP 800-53 Rev. 5 standarttı incelenebilir. Bu standarttın içerisinde yer alan bilişim sistemleri üzerinde en iyi güvenlik ve kalite önerilerine spesifik olarak değinen CIS kalite ölçüm testleri de kuruluş içerisinde çalışan bilişim personeli tarafından incelenerek veri ihlal riskleri en aza indirilmiş bir dijital dönüşüm projesi devreye alınabilir. Kurumsal ağlarda bir saldırganın davranış analizini yaparak içeride oluşabilecek anomali hareketlerin tespiti ve bunlara bağlı aksiyonların belirlenmesi içinse MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) çerçevesi bilgi güvenliği uzmanları tarafından değerlendirilebilir.

Güvenlik Sıkılaştırma Süreçleri

Güvenlik, risk yönetiminin gerektirdiği şekilde idari, Teknik ve fiziksel kontrollerin kuruluş süreçleri içerisinde makul ve uygun şekilde uygulanması yoluyla bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini sağlar. Bu çerçevede değerlendirdiğimizde risk yönetimi yapılmadan güvenlik sıkılaştırma süreçleri oluşturulmaya başlanmamalıdır.

Güvenlik açıklıkları iş odaklı olarak incelendiğinde insanlar, süreçler ve teknolojideki zayıflıklar olarak değerlendirilebilir. Tehditler ise tesadüfi veya kasıtlı olarak güvenlik açıklarından yararlanan teknik, insani veya doğal olaylardır. Bir tehditin güvenlik açığından yararlanma olasılığı, tehditin kuruluşun bilgi varlığına, güvenlik açığı üzerinden erişilebilirliğine ve önleyici kontrollerinin etkinliğine bağlı olarak aşağıda görüldüğü şekilde hesaplanabilir.

Kuruluşların sistem sıkılaştırması yaparken verileri işleyen veya depolayan tüm donanım, yazılım ve bulut ortamlarındaki varlıklarını saldırı yüzeyi (ing. Attack surface) olarak kabul etmesi gerekecektir. Bu kapsamda sistem sıkılaştırma süreçleri içerisinde planlamanın ana başlıkları saldırı yüzeyi içerisinde bulunan varlık envanterini kapsayacak şekilde tasarlanması önem arz etmektedir. Varlık envanteri üzerinde ne tür sıkılaştırmalar uygulanacağı, uygulanacak sıkılaştırma seviyeleri ve ele alınacak uyum standartlarının uygulanması için belirlenecek sıkılaştırma düzeyine yardımcı olması adına varlık envanteri üzerinden sınıflandırma yapılmalıdır.

Saldırı Yüzeyinin Belirlenmesi (Attack Surface)

Saldırı yüzeyi (ing. Attack surface), herhangi bir yetkisiz erişim için olası tüm giriş noktalarının toplam sayısı olarak tanımlanır. Saldırı yüzeyinin şeffaf bir şekilde haritalanarak işletmeye süreçlerine uygun olarak modellenmesi sonrasında varlık envanteri üzerinde net bir görünürlük kazanılmış olur. Bu görünürlük çerçevesinde saldırı yüzeyine bağlı risk analizi yapılabilir ve işletme bu analiz sayesinde kendi içerin güçlü ve zayıf yönlerini belirleyebilir.

Saldırı yüzeyi dört grup altında ele alınır. Bu grup içeriği aşağıda yer alan maddelerden oluşur.

  1. Bilinen varlıklar : Web sitesi, sunucu vb.
  2. Bilinmeyen Varlıklar : Geliştirme bölümünün disk üzerinde unuttuğu bazı hassas veriler.
  3. Varlık Taklit Etme : Sahte alan adları vb.
  4. 3. Parti Varlıklar : 3. Taraf JavaScript dosyaları, API entegrasyonları vb.

    NIST, CIS, Mitre ATT&CK vb. güvenlik standartları yukarıda yer alan saldırı yüzeyi gruplarına yönelik sistem sıkılaştırma yöntemlerini bize sunar. NIST tarafından oluşturulan Ulusal Kontrol Listesi Programı (National Checklist Program -NCP) kapsamında oluşturulan kontrol listesine ait örnek bir görüntüyü aşağıda sizlerle paylaşıyorum.

Bu kontrol listeleri içerisinde sunucu sıkılaştırması, veri tabanı sıkılaştırması, ağ sıkılaştırması ve platform fark etmeksizin yazılım sıkılaştırması aşamalarında uygulanması gereken sıkılaştırma standartları net bir şekilde ifade edilmektedir.

Listelerden bağımsız olarak aşağıda belirtilen konuların sistemler devreye alınmadan önce ilgili BT personeli tarafından uygulanması önem arz etmektedir.

MITRE ATT&CK Modelini Tanıyalım

Kurumsal yapılar içerisinde yer alan sistemler üzerinde bulunan verileri Gelişmiş Kalıcı Tehdit (ing. Advanced Persistent Threat -APT) gruplarının saldırılarına karşı korumak, içeride en iyi güvenlik yazılımlarını kullanarak veya çok sayıda personel istihdam ederek sağlanamaz. Kurumsal ağlarda benimsenmiş bilgi güvenliği modelleri bir saldırganın ağlarına ve sistemlerine erişmek için kullanabileceği her yöntemi tespit etme ve bunlara karşı savunma geliştirme olasılığına sahip değildir.

Kurum içerisinde uygulanmakta olan yama yönetim ve yazılım geliştirme programı kusursuz olsa bile, bir rakip, potansiyel bir hedefin ağında yer edinmek için sıfırıncı gün (ing. Zero-day) açıklıklarını veya sosyal mühendislik saldırılarını kullanabilir. Sisteme sızmayı başaran bir saldırgan içerisine girdiği ortamın gürültüsüne ve karmaşıklığına çok çabuk ayak uydurarak saklanır. Saldırgan bu izleme süreci sonrasında meşru mekanizmalar kullanır ve gerçekleştirdiği faaliyetlerini kamufle edebilir. Kurumsal sistem ve ağ alt yapısındaki güvenlik politikalarına bağlı olarak saldırgana hedefine ulaşması için gerekli zaman sunulur.

Bu zaman tezini doğrular nitelikte FireEye firmasının 2021 yılı M-Trend raporunda yer alan yayınlamış olduğu “Küresel Medyan Bekleme Süresi” aşağıdaki tablo üzerinden incelenebilir. Rapor içerisindeki veriler analiz edildiğinde 2020 yılında küresel medyan bekleme süresi ilk kez 30 günün altına düşmüştür. 2019 yılındaki oranların tespit oranıyla kıyasladığımızda iki kat daha hızlı bir tespit ve yanıt verme süresinin sağlandığını görebiliyoruz. Bu sürenin azaltılmasındaki temel neden ilgili saldırıların %63’lük bir oranının Mitre kuruluşunun sağladığı ATT&CK çerçevesi içerisindeki düşman öykülenmesi yönergeleriyle güvenlik sıkılaştırılması yapılmış sistem alt yapılarına bağlı olduğunu söyleyebiliriz.

Analiz, tespit ve müdahale aşamasındaki bu zorlukların daha kolay bir şekilde yönetimini sağlamak için 2010 yılında Amerika Birleşik Devletleri hükümeti tarafından finanse edilen ve kâr amacı gütmeyen Mitre kuruluşu tarafından bir model geliştirilmiştir. Bu model kapsamında uç nokta telemetri verilerinin kullanımı yoluyla “İhlali Varsay” prensibi benimsenerek APT gruplarının saldırı yöntemlerini daha hızlı tespit etmek için veri kaynakları ve analitik süreçleri araştırmaya başlamıştır. Bu araştırmaların sonucunda bilgisayar ve ağ davranışlarından oluşan bir kombinasyona bağlı analitiğin kullanılmasının, saldırgana ödün verme sonrasında düşman davranışını tespit etme konusunda yararlı bir yöntem sağladığı görülmüştür.

ATT&CK Nedir?

2010 yılında başlatılan araştırmaların sonucunda 2013 yılında saldırganın Teknik, taktik ve bunların etkisini ortadan kaldırmak için saldırganın hareketlerinin analiz sonuçlarının gösterimini yapacağı bir süreç geliştirmeye başlanmıştır. 2015 yılında piyasaya sürülen modele Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) adı verilmiştir.

ATT&CK üzerinde APT gruplarının kullanmış olduğu Taktik, Teknik ve Prosedürler (TTPs) üzerinden saldırganın faaliyetleri değerlendirilerek, potansiyel güvenlik açıklıklarının belirleneceği bir ortam oluşturulur. Oluşturulan bu ortam içerisinde toplamda son güncellemeyle birlikte 14 Taktik, 193 Teknik, 401 Alt-teknik, 135 APT Grubunu içermektedir. Mitre Enterprice ATT&CK çerçevesi; Windows, Linux, macOS, IOS, ICS ve Android kullanan birçok farklı tipteki sistemi kapsar.

Kapsamı içerisinde yer alan tüm sistemler üzerinde meydana gelebilecek saldırı tehdidinin anatomisini net bir şekilde ortaya koyar ve bu tehdide karşı alınması gereken aksiyonların tanımlanmasına ve sonrasında bu aksiyonların etkin olup olmadığına karar verilmesine imkan tanır.

Pre-ATT&CK Nedir?

ATT&CK çerçevesi bir saldırı başladıktan sonraki adımlara odaklanırken, PRE-ATT&CK çerçevesi saldırganın hazırlık aşamalarına odaklanarak kurum adında oluşabilecek saldırıları gerçekleşmeden önce tahmin etmeyi ve bu saldırılara karşı daha hazır bir güvenlik mimarisi kurgulanmasını hedefler.

PRE-ATT&CK ile ATT&CK arasındaki farkı daha iyi anlamak için Lockheed Martin tarafından oluşturulan “Siber Ölüm Zinciri (ing. Cyber Kill Chain)” çerçevesinin yedi aşaması ile eşleştirilmiş çerçeve grafiği oluşturulmuştur. Saldırganın gerçekleştireceği tüm aşamalar bu yedi aşama altında eşlenecektir. Aşağıdaki şekilde görüldüğü üzere, ilk iki aşama Mitre PRE-ATT&CK tarafından ve diğer beş aşama ATT&CK çerçevesi tarafından kapsanmaktadır.

Taktik, Teknik / Alt Teknik ve Prosedürler

Mitre ATT&CK çerçevesi APT gruplarının yapmış olduğu saldırıları taktik, teknik ve prosedür zincirine bağlı olarak incelemektedir. Taktikler; bir saldırganın ulaşmaya çalıştığı hedefleri temsil eder, Teknikler; siber saldırganların taktiklerinin amaç ve hedeflerine ulaşabilecekleri farklı yolları tanımlar, prosedürler tekniklerin sistemler üzerinde gözlemlenen kullanımını belgelemektedir. Bu fazların tamamının kısaltması TTPs olarak adlandırılmıştır.

Yaşanan her olayın vaka analizi yapıldığında geride mutlaka bir iz bırakması muhtemeldir. Bu olasılık üzerinden değerlendirdiğimizde siber saldırılar sırasında da saldırgan geride izler bırakır ve her iz bir Uzlaşma Göstergesi ( Indicator of Compromise -IoC) olarak adlandırılır. IoC bir siber saldırının gerçekleştiğinin kanıtı olarak kabul edilir. IoC göstergeleri, yaşanan olaylar hakkında değerli bilgiler sağlar. Siber güvenlik uzmanlarına bu bilgiler gelecekteki saldırılara hazırlar ve oluşabilecek muhtemel saldırıları önlenmeye, tespit etmeye ve yanıt vermeye yardımcı olur. IoC göstergeleri arasındaki önem değerleri farklılık gösterebilmektedir. Bu nedenle göstergeler arasında bir sınıflandırmaya ihtiyaç duyulmuştur.

Bu nedenle 2013 yılında bir IoC sınıflandırması olan “The Pyramid of Pain”, siber güvenlik uzmanı David J Bianco tarafından tanıtılmıştır.

Şekilde yer alan piramidi incelediğimizde en tepede TTPs’leri görmekteyiz. Saldırgan bu seviyede tespit edilir ve yanıt verilirse onların kullanacağı araçlara karşı değil, direk olarak davranışlarına göre bir yapılandırma sağlamış oluruz. Bu çerçevede analiz edilmiş kurumsal yapılardaki sistemler üzerinde gerekli önlemler alınırsa APT gruplarının uygulayacağı TTPs’lere karşı çok hızlı yanıt verilmesi mümkündür. TTPs’lere hızlı yanıt veren bir sistem altyapısı saldırganı iki seçeneğe yönlendirir; Saldırıdan vazgeçmek veya yeni taktik ve teknikler geliştirmek.

Bir sonraki seride görüşmek üzere…

Makalemin ikinci bölümü için aşağıdaki link’i inceleyebilirsiniz;

Kaynak
Stephan C. (2019). “Emulating Attacker Activities and The Pyramid of Pain”MITRE Corp. (2022). “Enterprise Matrix”,NCP ,“ Checklist Repository”Howard, R., & Olson, R. (2020). Implementing Intrusion Kill Chain Strategies. The Cyber Defense Review
Exit mobile version