Ana Sayfa Çözümler Neden Netsmart? Kariyer Keşif Kurumsal Materyal İletişim

Netsmart Bilişim Sistemleri A.Ş.

Esentepe Mh. Ecza Sk. No: 6 K: 1, 34394,
Şişli-İstanbul, Türkiye

+90212-274-31-61

info@netsmart.com.tr

Analiz

PICUS ve MITRE ATT&CK

Ağa ve/veya sisteme zarar vermek isteyen kötü niyetli kullanıcı davranışlarını belgeleme amacıyla ortaya çıkarılan MITRE ATT&CK, saldırganın bir kurumsal ağ içinde çalışırken gerçekleştirdiği eylemleri tanımlayan teknik, taktik ve prosedürlerin yer aldığı bir bilgi tabanıdır.

PICUS ve MITRE ATT&CK

ATT&CK, bir saldırganın hedefine ulaşmak amacıyla alabileceği aksiyonlara karşı güvenlik riskini belirlemek, güvenlik iyileştirmelerini ve süreçlerini planlamak ve savunmaların beklendiği gibi çalıştığını doğrulamak  için kullanılmaktadır. Taktikler ve teknikler arasındaki ilişki ATT&CK matrisinde görselleştirilmekte ve bu matris sayesinde başarıyla sonuçlanan bir saldırıda ağın hangi yöntemler izlenerek ele geçirildiği kolaylıkla bulunabilmektedir.

Taktik, saldırganın bir eylemi gerçekleştirmeye yönelik hedefini; teknik ise bir saldırganın bir eylem gerçekleştirerek taktiksel bir hedefe “nasıl” ulaştığını temsil eder.Taktikler, bilgiyi keşfetme, yanal olarak hareket etme, dosyaları yürütme ve verileri sızdırma gibi olayları kapsarken teknikler ise bu olayları gerçekleştirmek için yapılan işlemler ve yöntemler olarak düşünülebilir.

Aşağıdaki görselde ATT&CK matrisinin bir örneği gösterilmektedir, bu tablo farklı taktiklere göre sıralanmış farklı siber saldırı tekniklerinin bir matrisidir. Her kategori, her saldırı türüne karşılık gelen belirli alt kategorilere bölünmüş olup, teknikle ilgili ayrıntılar, örnekler, referanslar içermektedir.  Dolayısıyla bu anlık görüntü, matrisin yalnızca küçük bir bölümünü göstermektedir.

Tekniklerin bağlantılarından herhangi birine tıklanarak tekniğin kısa bir açıklamasını, örnek programların bir listesini ve tespit ipuçlarını içeren bir sayfaya geçiş yapılır. Örneğin, Account Manipulation tekniği seçilerek, bu teknik ile ilgili detaylar, mitigation önerileri ve tespit ipuçları görüntülenebilmektedir.

“Enterprise” olarak nitelendirilen ATT&CK matrisi haricinde, saldırı öncesi taktik ve teknikleri gösteren “PRE-ATT&CK” ve mobil cihazlar için oluşturulan “Mobile ATT&CK” matrisleri de mevcuttur. “Enterprise ATT&CK matrisinde”  12 adet taktik bulunmaktadır. Bu taktikler:

  • Initial Access: Bir saldırganın ortamınızda yer edinebilmesi ilk erişim ile başlar . Güvenliği ihlal edilmiş hesapların kimlik bilgileri pishing, valid accounts ve trusted relationship gibi çeşitli teknikler ile ele geçirilerek, ağ içindeki sistemlerdeki çeşitli kaynaklara uygulanan erişim denetimlerini atlamak için kullanılabilir. İlk erişimin ardından hedeflere ulaşmak için diğer taktik ve tekniklere geçiş yapabilir. Dolayısıyla ilk erişim engellendiğinde sistemin güvenliği büyük ölçüde sağlanmış olur.
  • Execution: Yürütme, yerel veya uzak bir sistemde saldırgan tarafından kontrol edilen kodun çalıştırılmasını sağlayan tekniklerden oluşur. Kötü amaçlı kod çalıştıran teknikler, bir ağı keşfetmek veya veri çalmak gibi daha geniş hedeflere ulaşmak için genellikle diğer tüm taktiklerin teknikleriyle eşleştirilir. Command Line Interface veya PowerShell gibi teknikler saldırganlar için son derece kullanışlıdır. Bu tür tekniklerin saldırganlar üzerindeki gücü, uç noktalara zaten kurulmuş olmaları ve nadiren kaldırılmalarıdır. Saldırgan, sistem keşfi yapabildiği bir komut dosyasını bu uygulamalar üzerinde çalıştırarak, sistem hakkında kolayca bilgi sahibi olabilir.
  • Persistence: Kalıcılık, saldırganın sistem erişiminin sürekliliğini sağlamayı hedefleyen tekniklerden oluşur. Bu teknikler meşru kodu değiştirmek veya ele geçirmek ya da başlangıç kodu eklemek gibi sistemlerdeki erişebilirliğini korumalarına izin veren her türlü erişim, eylem veya yapılandırma değişikliğini içerir.
  • Privilege Escalation: Mevcut araştırma verilerine göre saldırganlar genellikle yetkisiz/ayrıcalıksız hesaplar üzerinden sistemlere erişmektedirler. Ancak, saldırganlar hedeflerine ulaşmak için yetkili kullanıcılara ihtiyaç duyarlar. Bu nedenle ele geçirilen hesabın yetkilerini arttırma yoluna giderler. Ayrıcalık Arttırma, rakiplerin bir sistem veya ağ üzerinde daha üst düzey izinler elde etmek için kullandıkları tekniklerden oluşur. Bu teknikler genellikle Persistence teknikleriyle örtüşür.
  • Defense Evasion: Saldırganın tespit edilmekten kaçınmak için kullandığı teknikleri içerir. Bu teknikler güvenlik yazılımını kaldırmayı, devre dışı bırakmayı veya verileri ve komut dosyalarını gizlemeyi/şifrelemeyi içerir.
  • Credential Access: Kimlik bilgisi erişimi, Brute Force, keylogging gibi teknikler kullanılarak hedef sistemlerde yer alan kimlik bilgilerini ele geçirme taktiğidir. Mevcut yapıdaki kimlik bilgilerinin kullanılması, saldırganın bir çok sisteme erişmesini sağlarken, yakalanmasını zorlaştıracaktır.
  • Discovery: Keşif, saldırganın ağa eriştikten sonra ne yapacağına, nasıl davranacağına karar vermeden, gözlem yapmasını amaçlar. Meşru hedefe nasıl erişileceğinin ve giriş noktalarının tespit edilmesi Account discovery, Network Sniffing ve System Information Discovery gibi teknikler ile mümkün kılınır.
  • Lateral Movement: Saldırgan, daha yüksek ayrıcalıklar ve erişim elde etmek için farklı araçlar ve yöntemler kullanarak, sistemi haritalamak, hedefleri belirlemek ve sonunda kuruluşun temel taşlarına ulaşmak için bir ağ üzerinden yanal olarak hareket eder. Saldırgan bir ağ üzerindeki uzak sistemlere erişim ve kontrol sağlayabilirse, kötü niyetli faaliyetlerinin tespit edilmesi son derece zor olacaktır.
  • Collection: Toplama, saldırganların hedefe ulaşmak amacıyla ilgili kaynaklardan bilgi toplamak için kullanabilecekleri Man in the Middle , Email collection ve Input capture gibi teknikleri içerir. Veri toplandıktan sonra, hedef veriyi dışarıya sızdırmaktır.
  • Command and Control: Saldırganların hedef ağ içinde kontrolü ele geçirdikleri sistemlerle iletişim kurmasını ve kontrol etmesini sağlayan tekniklerden oluşur.
  • Exfiltration: Hırsızlık, saldırganların sistem üzerinden veri çalmak için kullanabilecekleri tekniklerden oluşur. Saldırganlar verileri topladıktan sonra, tespit edilmekten kaçınmak için  verileri sıkıştırma veya şifreleme yöntemleri ile paketleyerek kaldırırlar. Bir hedef ağdan veri almak genellikle komut ve kontrol kanalı üzerinden gerçekleştirilir.
  • Impact: Etki taktiği, saldırganların sistemin veya verilerin kullanılabilirliğini engellemeye çalışması ve verinin bütünlüğünü bozması amacını taşır. Data Destruction, Firmware Corruption gibi verileri yok etmeyi ve değiştirmeyi sağlayan teknikler içerir.

MITRE ATT&CK matrisini kullanarak, kuruluşlar saldırgan bakış açısıyla teknik ve taktikleri görüntüleyebilir ve Saldırgan nasıl içeriye sızdı? Hangi eylemleri gerçekleştirdi? Bir sonraki adım ne? gibi sorulara kolayca cevap bulabilirler.  Saldırgan davranışının analiz edilebilmesi  kurumdaki güvenlik açıklarının tespit edilmesini sağlamada ve riskleri belirlemede kritik rol oynar.  Dolayısıyla, savunmadaki eksiklikler net bir şekilde görülebilir ve iyileştirme süreçleri bu doğrultuda planlanabilir. MITRE ATT&CK matrisinden yararlanarak, kullanıcılarına etkili bir analiz yapma imkanı sağlayan Picus güvenlik  ürünüyle ilgili bilgiler yazının devamında yer almaktadır.

Picus, gerçek siber tehdit örneklerini kullanarak ortaya çıkan tehditlere karşı kurumların hazırlıklı olup olmadığını atak simülasyonları ile sürekli olarak sorgulayan güvenlik ürünüdür. Güvenlik tedbirlerinin güçlü ve zayıf noktalarını gerçek zamanlı olarak tanımlar ve elde ettiği sonuçlar doğrultusunda önerilerde bulunarak mevcut yapıdaki güvenlik ürünlerinden en yüksek düzeyde verim alınmasını sağlar.  Atak simülasyon sonuçları analiz edilerek güvenlik skoru belirlenir.  Endpoint, Network ve Email veya atak kategorileri özelinde güvenlik seviyelerini kurumlara ayrı ayrı görüntüleme ve inceleme imkanı sunulur, böylece kurumların zayıf oldukları konulara odaklanmaları hedeflenir.

Picus ile atakların simüle edilebilmesi için atack yapan(attacker) ve atağı karşılayan (victim) picus yazılımının yüklü olduğu sistemlere ihtiyaç vardır, bu sistemler peer olarak adlandırılır. Attacker ve victim peer arasındaki network yolu ise vector olarak isimlendirilir. İncelenmek istenen güvenlik ürününe göre peer ve vector tipi belirlenmelidir. Örneğin, Firewall, WAF gibi güvenlik ürünlerinin kontrol edilmesi için Network Peer;  AV,IDR gibi ürünlerin analiz edilebilmesi için ise Endpoint Peer konumlandırmak gerekmektedir.

Attack Simulation à Analysis bölümünden ilgili vector seçilerek; güvenlik skoru, engellenen ve engellenemeyen  atak bilgisine ulaşılabilir.  Tehdit kategorisi, etkilenen ürün bilgisi, prokol (htp/https) tipi ve önem derecesi  gibi özelliklere göre filtreleme yapmak mümkündür.

BlackTech APT Group’s Plead Downloader senaryo atağında ilk olarak Explorer.exe’ye bir malicios dll yerleştiriliyor,  ardından registry’de bir key değiştiriliyor, command prompt kullanılarak bir registry key siliniyor vb. tüm adımlar aşağıdaki ekran görüntüsünde yer almaktadır. Bu atak senaryosu gerçekte nasıl davranıyorsa picus üzerinde konumlandırılan endpoint  peer üzerinde de aynı şekilde davranır ve simülasyon sonucunda var olan adımlardan engellenip engellenemediği bilgisi sağ tarafta yer alan yeşil ve kırmızı simgelere göre ayırt edilir.

Tüm bu adımlar tek tek incelenerek engellenemeyen atakların nedeni tespit edilmeli ve  mitigation önerileri göz önünde bulundurularak  gerekli iyileştirmeler yapılmalıdır.

Picus ile yapılan atak senaryolarına ait sonuçlar MITRE ATT&CK tablosunda anlık başarı oranına göre teknik ve taktik olarak gösterilmektedir.  İnceleme yapılan vector analiz sayfasından  “Go to MITRE ATT&CK Analysis” seçilerek tabloya kolayca ulaşılabilir.

Bu tabloya göre kırmızıların yoğunlukta olduğu ve dolayısıyla engellenemeyen bir çok atağın mevcut olduğu sonucuna varılmaktadır. Amaç, oynatılan atak senaryolarının engellenmesidir. Kullanıcılar tekniklere tıklayarak, teknik detaylarına ulaşabilirler. Read more on Mitre seçeneği seçildiğinde, kullanıcı https://attack.mitre.org/ üzerinden o atağın teknik detayıyla ilgili ayrıntılı bilgiye ulaşılabilir.

Technique’s Actions bölümünde bu tekniklerle ilişkili olan atak senaryoları listelenilir. Bu senaryo seçilerek; atağın tanımı, atak kategorisi, etkilediği sistemler ve ürünler gibi bilgilere ulaşılabilir.

Heat Map bölümünden tabloya geniş bir açıyla bakılarak başarı oranı görüntülenebilir.

MITRE ATT&CK analysis tablosu kullanılarak sistemde iyileştirme yapıldığında aslında bir atak engellediğinde, bu ataktaki tüm taknik ve teknikleri kullanacak tüm atakların engellenmesinin önü açılmış olur. Bir başka deyişle, Mitre framework’ü engellenebildiği takdirde bilinen davranış örnekleri gösteren gelecekteki tüm ataklar otomatik olarak engellenmiş olur.

9 Adımda Veri Keşfi Neden Önemli

9 Adımda Veri Keşfi neden önemli ve Veri Keşfi ürünlerinde nelere dikkat edilmeli

Analiz

Veri keşfi konusu 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile hayatımıza girdi. Bu kanunla beraber bu zamana kadar dağınık olan verilerimizin nerede tutulduğunun ve ne derece kritik olduğunun önemi giderek artmaktadır.

Daha fazla
ArcSight ESM MISP entegrasyonu nasıl yapılır?

ArcSight ESM MISP entegrasyonu nasıl yapılır?

Entegrasyon

SIEM ürünlerinin en önemli özelliği korelasyon yapabilmesidir. ESM de correlation engine sayesinde verileri işler ve korelasyon yapabilme yeteneği kazanır.

Daha fazla
Türkiye'nin En Mutlu İş Yeri ve Mükemmel Çalışan Deneyimi

“Türkiye’nin En Mutlu İş Yeri” ve 3 yıldız ile “Mükemmel Çalışan Deneyimi” ödüllerini büyük bir gurur ve heyecan ile aldık

Ofis

Happy Place to Work tarafından gerçekleştirilen uluslararası standartlara uygun değerlendirme sonrası sektöründe “En Mutlu İşyeri” seçilmiş olmamız başarımızı taçlandıran bir ödül oldu. Ofisimizde düzenlediğimiz bir etkinlik ile ödülümüzü alırken, değerlendirmeye katılan ve bizi bu ödüle layık gören ekip arkadaşlarımızla kutlama yaptık.

Daha fazla
ReFS ve NFTS Hakkında Karşılaştırma

ReFS vs. NTFS

Versus

Full Stabil yapılardan söz etmek mümkün mü? Dosya içeriği değişmiyor belki ama dosya sistemi, formatı ihtiyaçlarla paralel olarak değişebiliyor. Neden bu konuya girdim peki? Çünkü alışkın olduğumuz FAT32 ya da NTFS dosya sistemlerinin yanında artık sıklıkla duyulmaya başlanan ReFS dosya sistemi de yerini almaya başladı.

Daha fazla