CYBER KILL CHAIN MODELİ
Bu yazımda CYBER KİLL CHAİN MODELİ hakkında bilgi verdimi. Keyifli okumalar dilerim.
Siber Öldürme Zinciri (CYBER KILLL CHAIN) modeli
Siber öldürme zinciri nedir?
Bir siber saldırı yaşam döngüsüdür.
İstihbarat Odaklı Savunma modelinin bir parçası olarak kapsamlı bir çerçeve sunar.
Bu yazımızda siber öldürme zincirinin ne olduğundan ve adımlarının neler olduğundan bahsedeceğiz.
Siber saldırılar çoğumuzun en kötü kabusudur.
Bu nedenle birçok siber güvenlik uzmanı ve geliştiricisi, siber saldırı faaliyetlerinin tanımlanması ve önlenmesi için benzersiz çözümler sunar.
Bizlere saldırgan bakış açısı kazandırmaya yönelik bir döngüdür ve erken keşif aşamalarından verilerin sızmasına kadar bir siber saldırının aşamalarını izlenen bir dizi adımdır.
Öldürme zinciri, fidye yazılımlarını, güvenlik ihlallerini ve gelişmiş kalıcı saldırıları (APT ler) anlamamıza ve bunlarla mücadele etmemize yardımcı olur.
Öncelikle APT ’den bahsedelim:
Gelişmiş Kalıcı Tehdit(APT) Nedir ?
Gelişmiş kalıcı tehdit (APT), bir davetsiz misafirin veya davetsiz misafirlerden oluşan bir ekibin, son derece hassas verileri mayınlamak için bir ağ üzerinde yasadışı, uzun süreli bir varlık oluşturduğu bir saldırı kampanyasını tanımlamak için kullanılan geniş bir terimdir.
Burada APT amacı ise istenilen bir fikir proje vb. gibi bilgileri ele geçirmektir. Araştırılan bu saldırıların hedefleri genellikle büyük işletmeleri veya devlet ağlarını içerir.
Bu saldırıları geleneksel web uygulaması tehditlerinden ayıran şeyler:
Önemli ölçüde karmaşıklardır.
Uzun süreli bilgi elde etmek için yapılırlar.
Belirli bir işarete karşı manuel olarak devam ettirilir.
Genellikle bir parça yerine tüm ağa sızmayı hedefler.
Failler genellikle önemli finansal desteğe sahip deneyimli siber suçlulardan oluşan
ekiplerdir.
Bir APT saldırısı üç aşamaya ayrılabilir:
1) ağ sızması
2) saldırganın varlığının genişletilmesi
3) birikmiş verilerin algılanmadan çıkarılmasıdır.
Yani anlaşıldığı üzere devletlere karşı saldırlar yapılan durumlardır. APT grupları genellikle devlet destekli gruplardır.
Bu kadar bilginin konumuz hakkında yeterli olacağını düşünerek konuma devam ediyorum.
Cyber Kill Chain 7 adımdan oluşur:
1. Bilgi toplama (Keşif) (Reconnaissance)
2. Silahlanma (Weaponization)
3. İletim (Delivery)
4. Zafiyet sömürüsü (Exploitation)
5. Kurulum (Installation)
6. Komuta ve kontrol(Command and control)
7. Hedefe yönelik eylemler (Actions on objectives)
Bu adımlar hakkında daha detaylı bilgi vermek gerekirse:
1. Keşif: Bu adımda saldırgan / davetsiz misafir hedefini seçer. Ardından, istismar edilebilecek güvenlik açıklarını belirlemek için bu hedef üzerinde derinlemesine bir araştırma yaparlar. Bu aşama da bilgi toplama için aktif ve pasif bilgi toplama kullanılır.
Aktif bilgi toplama: Hedef ile direkt olarak temasa geçilen bilgi toplama çeşitidir.
Pasif bilgi toplama: Hedef ile direkt olarak temasa geçilmeden bilgi toplama çeşitidir.
2. Silahlanma: Bu adımda, davetsiz misafir, hedefin güvenlik açıklarından yararlanmak için virüs, trojen veya benzeri bir kötü amaçlı yazılım silahı oluşturur. Saldırganın hedefine ve amacına bağlı olarak, bu kötü amaçlı yazılım yeni, tespit edilmemiş güvenlik açıklarından ( sıfır gün açıkları olarak da bilinir ) yararlanabilir veya farklı güvenlik açıklarının bir kombinasyonuna odaklanabilir. Peki burada bahsettiğim sıfır gün açığı nedir:
Adını bir yama yayınlandıktan sonra, kullanıcıların güvenlik güncellemelerini indirirken az sayıda bilgisayara ulaşmalarından alır. Yazılımdaki açıklar henüz daha düzeltilmemiştir ve bu da saldırganlara fırsat sağlar.
3. İletim: Hazırlanan zararlının ve belirlenen yöntemle hedefe iletilmesi bu aşamadadır. Çeşitli açık kaynak kodlu yazılımlar, phishing, sosyal networkler veya tünellemeler gibi yöntemler kullanılabileceği gibi, güvenlik olarak çalışanların sosyal mühendisliklere veya phishing saldırılarına karşı farkındalıkları, çalışanların hangi donanımların kurum ağına bağlanabildiği veya bağlanamadığı konusunda bilgilendirmesi, bilinen zararlı veya şüpheli web sitelerinin erişim bloklarının kontrol edilmesi bu aşamayı önleyebilir.
4. Zafiyet Sömürü: Bu adımda, kötü amaçlı yazılım eylemi başlatır. Kötü amaçlı yazılımın program kodu, hedefin güvenlik açığından/güvenlik açıklarından yararlanmak için tetiklenir. Bunu önlemek amacıyla yazılımlar ne sıklıkla güncellendiği, sistemdeki zafiyetlerin tespit edilmesi için güvenlik denetimleri yapılıp yapılmadığı kontrol edilebilir.
5. Kurulum: Bu adımda kötü amaçlı yazılım saldırgan için bir erişim noktası kurar. Bu erişim noktası, arka kapı olarak da bilinir.
6. Komuta ve Kontrol: Kötü amaçlı yazılım, saldırgana/saldırgana ağ/sistem içinde erişim sağladığı yani Sisteme yerleşmiş olan zararlının çalışması uzaktan kontrol edilebildiği ve sistemin ele geçirildiği aşamadır.
7. Hedefe Yönelik Eylemler: Saldırgan kalıcı erişim elde ettiğinde, sonunda fidye için şifreleme, veri hırsızlığı ve hatta veri imhası gibi amaçlarını gerçekleştirmek için harekete geçerler.
Cyber Kill Chain Genel Saldırı Metodolojisi:
1. Bilgi toplama
2. Ağ haritalama
3. Zayıflık tarama
4. Sisteme sızma
5. Yetki yükseltme
6. Başka ağlara sızma
7. Erişim koruma
8. İzleri temizleme
9. Raporlama
bu maddelerden oluşurken siz değerli okurlarıma bu noktada metodoloji hakkında bilgi vermem gerekirse öncelikle ne olduğunu açıklamam gerekirse:
Metodoloji: Bir kişinin doğru araştırma yapabilmesini sağlayan, etkin bir metin yazabilecek temellendirme ile değerlendirmeyi içeren bir bilim alanıdır.