Mitre Att&ck ve Siber Tehdit İstihbaratı
Bu yazımda sizlere Mitre Att&ck üzerinde basitçe Siber Tehdit İstihbaratı nasıl yapılabileceğinden bahsedeceğim, keyifli okumalar dilerim.
Mitre Att&ck ve Siber Tehdit İstihbaratı
Öncelikle Siber Tehdit İstihbaratından bahsetmek isterim. Korumak istediğimiz sistemi hedef alabilecek saldırgan veya grupların saldırı yöntemleri kullandıkları zafiyetler gibi bir çok parametre hakkında veri toplama, analiz etme ve raporlandırıp yetkili kişiler ile paylaşarak tehditleri gerçekleşmeden önlemektir.
Mıtre platformu 2013 yılında saldırgan gruplarının kullandıkları bilinen TTP’lerini (Teknikler, Taktikler ve prosedürleri) veri tabanına kaydetmeye başlamışlardır. Daha sonra kayıt edilmeye başlanılan TTP’leri taklit edip raporlandırmakla görevli bir saldırı ekibi kuruldu ve bu saldırılardan elde edilen veriler sayesinde bugün CTI (Siber Tehdit istihbaratı) için sıkça kullanılan yukarıdaki resimde de gördüğümüz ATT&CK matrisi oluşturuldu.
Bir senaryo üzerinden basit bir şekilde ATT&CK matrisi ile Siber Tehdit İstihbaratını nasıl yapabileceğimizi anlatıyım.
SENARYO
Bir bankacılık kurumunda Analist olarak çalışmaktayız. Kurumumuzu Tehdit edibilecek saldırgan gruplarının görüntülemek için ilk olarak Mıtre ATT&CK sayfasına giriş yapıyoruz https://attack.mitre.org/ link’ten ulaşabiliriz. Arama çubuğuna kurumumuzun sektörünü yazıp gelen sonuçları görüntülüyoruz.
Burada sektörümüz ile ilgili daha önceden yapılan saldırılar ve saldırı grupları yer almaktadır. Bu gruplar içerisinden Silence, Whisper Spider grubunu ele alalım.
Grubun sayfasını görüntülediğimizde hakklarında detaylı bilgiler yer almaktadır.
Bu görselde Silence grubunun 2016 yıllarında görülmeye başlandığını ve Rusya , Ukrayna, Beyaz Rusya, Azerbaycan, Polonya, Kazankistan gibi ülkelerde saldırılarda bulunulduğu hatta Rusya Merkez Bankasına da saldırıda bulunulduğu belirtilmiş.
Sayfanın devamında ise yukarıdaki görseldeki gibi grubun daha önceden kullandığı teknikler bulunmakta ve kullanılan tekniklerin detaylı açıklamalarıda devamında bulunmaktadır.
Bu görselde ise saldırganların kullandıkları prosedürler, protokoller, yazılım zafiyetleri bulunmaktadır.
Mıtre DEFEND sayfasında ise saldırı türlerine yönelik savunma önlemleri tavsiyeleri yer almaktadır. Bu şirket NSA( National Security Agency ) tarafından onaylanmış ve finanse edilmektedir.
ATT&CK sayfasından kurumumuzu tehdit edebilecek saldırgan gruplarını tespit edip bu grupların saldırı teknik ve taktikleri hakkında bir raporlandırma sonucu kendi sistemimizde test etme ve ortaya çıkan zafiyetler için önlem alma imkanı sağlamakta, bu imkanlarıyla MITRE dünya çapında CTI için önemli bilgi kaynağıdır.
Okuduğunuz için teşekkürler umarım faydalı olmuştur.
Tepkiniz nedir?
