Mitre ATT&CK Nedir ?

Mitre, gerçek dünyadaki gözlemlere dayanarak olumsuz davranışları tanımlamanın ve kategorize etmenin bir yolu olarak ATT&CK‘yi (Rakip Taktikleri, Teknikler ve Ortak Bilgiler) 2013 yılında tanıttı. ATT&CK, siber güvenlik tehditlerine karşı ağınızı savunmak için kullanabileceğiniz teknikler içeren bir bilgi tabanıdır.

ATT&CK, belirli güvenlik içeren taktikler ile derlenen ve bir avuç matris içinde STIX / TAXII aracılığıyla ifade edilen bilinen bir saldırgan davranışların yapılandırılmış bir listesi olarak tanımlanmaktadır. Bu liste, saldırganların ağları tehlikeye sokması durumunda kullandıkları davranışların oldukça kapsamlı bir temsili olduğundan, çeşitli saldırgan ve savunucu ölçümler, temsiller ve diğer mekanizmalar için yararlıdır.

2013 yılından bu yana, ATT&CK siber güvenlik konusunda en saygın ve en başvurulan kaynaklardan biri haline gelmiştir.

Yer alan taktikler nelerdir ?

MITRE’de ATT&CK birkaç farklı matrise bölünmüştür.

1. Enterprise(kurumsal),
2. Mobile(mobil)
3. Pre-ATT&CK(saldırı öncesi).

Bu matrislerin her biri, bu matrisin konusu ile ilgili çeşitli taktik ve teknikler içermektedir.

• Enterprise matrisi Windows, Linux veya MacOS sistemlerine uygulanan teknik ve taktiklerden oluşur.
• Mobile, mobil cihazlara uygulanan taktikleri ve teknikleri içerir.
• Pre-ATT&CK, saldırganların belirli bir hedef ağdan veya sistemden faydalanmaya çalışmadan önce yaptıklarıyla ilgili taktik ve teknikler içerir.

Enterprise(kurumsal)  ATT&CK çerçevesi 11 adet teknikten oluşmaktadır. Saldırganların neden bu saldırıyı gerçekleştirdiğini ve amacını belirleme konusunda çalışır.

Teknikler aşağıdaki gibidir;

• İlk Erişim (Initial Access)
• Yürütme (Execution)
• Kalıcılık (Persistence)
• Ayrıcalık kazanmak (Privilege Escalation)
• Savunmalardan kaçınmak (Defense Evasion)
• Kimlik bilgisi erişimi (Credential Access)
• Keşif yapma (Discovery)
• Yanal Hareketler (Lateral Movement)
• Toplama (Collection)
• Çıkış sızıntı yaratma (Exfiltration)

Aşama 1: Referans ve Veri Zenginleştirme

MITRE ATT&CK, herhangi bir kuruluş için potansiyel olarak değerli olabilecek çok büyük miktarda veri içerir. MITRE ATT&CK Navigator, tüm tekniklerin matris görünümünü sağlar, böylece güvenlik analistleri, bir rakibin kendi organizasyonlarına sızmak için hangi teknikleri uygulayabileceklerini görebilirler. Bu verileri daha kolay tüketebilmek için bu verilere ekipler arasında erişmeyi ve paylaşmayı kolaylaştıran araçlardır.

Aşama 2: Gösterge veya Olaya Dayalı Cevap

MITRE ATT&CK verilerine referans verme ve anlama yeteneğini geliştirmek için aşama 2’deki güvenlik ekipleri platformdaki operasyonel iş akışları içinde verilere daha etkili bir şekilde hareket etmelerini sağlayan yetenekler içerir. Örneğin, merkezi bir tehdit kütüphanesinde alınan verilerle, bu ilişkileri manuel olarak oluşturmak zorunda kalmadan bu veriler arasında otomatik olarak ilişkiler kurabilirler.

Aşama 3: Proaktif Taktik veya Tekniğe Dayalı Tehdit Avı

Bu aşamada tekniğe dayalı tehdit avı ile göstergeleri aramaktan ve ATT&CK verilerinin genişliğinden yararlanmaya değinilebilir. Tehdit avı ekipleri, şüpheli görünen daha hedefli veri parçalarına dar bir şekilde odaklanmak yerine, rakipler ve ilgili TTP’ler hakkında bilgi alarak daha yüksek bir noktadan başlamak için platformu kullanabilir. Kuruluşun risk profili ile başlayarak, bu riskleri belirli rakiplere ve taktikleriyle eşleştirerek, bu rakiplerin kullandığı teknikleri analize edip ilgili verinin ortamda tespit edilip edilmediğini araştırıp proaktif bir yaklaşım izleyebilirler.