MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), siber saldırganların bir sisteme sızarken kullandıkları yöntemleri gözlemlere dayanarak listeleyen devasa, etkileşimli ve ücretsiz bir veri tabanıdır. 1958'de kurulan tarafsız bir kuruluş olan MITRE Corporation tarafından 2015 yılında hayata geçirilmiştir.
MITRE ATT&CK Framework, sadece "bir saldırı oldu" demek yerine, saldıran kişinin o noktaya kadar nasıl geldiğini ve bir sonraki adımlarında ne yapabileceğini anlamamızı sağlar. Bunu, hırsızın evimize nereden girdiğini, hangi kilidi nasıl zorladığını ve içeride değerli eşyaları nerede arayacağını anlatarak örneklendirebiliriz.
Çalışma Prensibi: Taktik ve Teknikler
MITRE ATT&CK'i anlamanın en kolay yolu matrisin temel yapı taşlarını bilmektir. Bunlar:
- Taktikler (Neden?): Saldırganın ulaşmaya çalıştığı en üst düzey hedeflerdir. Örneğin, sistemden bir veri çalmak (Exfiltration) taktiktir.
- Teknikler (Nasıl?): Saldırganın belirlemiş olduğu taktiğe ulaşmak için kullandığı spesifik yöntemlerdir. Örneğin, brute-force saldırısı bir tekniktir.
- Prosedürler: Bir tekniğin, belirli bir saldırgan grubu (APT grupları gibi) tarafından tam olarak hangi komutlarla veya araçlarla uygulandığıdır.
Taktik | Açıklama |
Initial Access | Ağınıza sızma girişimi. |
Execution | Kötü amaçlı kod çalıştırma. |
Persistence | Elde edilen erişimi koruma çabası. |
Privilege Escalation | Daha üst düzey (yönetici) izinler alma. |
Defense Evasion | Tespit edilmekten kaçma yöntemleri. |
Lateral Movement | Ağ içinde diğer sistemlere yayılma. |
Exfiltration | Veri çalma aşaması. |
MITRE ATT&CK'in asıl gücü, sadece bir liste olması değil, savunma ekiplerine ortak bir dil kazandırmasıdır.
Siber Savunmada Nasıl Kullanılır?
- Red Team: Sızma testi uzmanları, MITRE ATT&CK Framework'ü kullanarak gerçekçi saldırı senaryoları kurgularlar. APT gruplarının bilinen taktiklerini sistemlerde deneyerek ilerlemeye çalışılır.
- Blue Team: Savunma ekipleri, mevcut güvenlik kontrollerinin matrisin hangi alanlarını kapattığını görerek blind spot belirleyebilirler. Saldırganın belirlediği taktiğe karşı savunma araçlarınız yok ise bu durumu kapatmanız ve oraya odaklanılır.
- Tehdit İstihbaratı: Eskiden sadece IP adresleri veyahut hash üzerinden savunma yapılırdı. Günümüzde de halen kullanılsa da artık ATT&CK'i de hail ederek saldırganların önceden saptanmış davranışlarına odaklanılır.
Cyber Kill Chain Neden Tek Başına Yetersiz Kalır?
Lockheed Martin tarafından geliştirilen Cyber Kill Chain, saldırının aşamalarını ancak MITRE ATT&CK ise çok daha derine iner ve hedefler, yöntemler ve araçlar gibi daha çok bilgi sağlar. Kill Chain bir saldırıyı genel hatlarıyla (delivery, exploitation vb.) anlatır ama MITRE ATT&CK ise saldırgan içeri girdikten sonra yaptığı her hareketi ele alır. Bu da saldırı başarılı olsa bile exfiltration gerçekleşmeden onu durdurma şansı verir.
