Tag: Cyber Kill Chain

• Red Team: Metodolojiler ve Frameworkler

  Red Teaming ve Adversary Emulation için kurumlar veya şahışlar tarafından yayınlanmış olan birçok farklı framework ve metodoloji bulabilmemiz mümkün. Yapılan çalışma başlık ve yöntem olarak, kullanılan framework ve metodolojilere göre farklılıklar gösterebilmektedir. Bu yazı içerisinde, aşağıda paylaştığım framework ve metodolojilerin tamamını inceleme fırsatımız olmayacak fakat detaylarını merak etmeniz durumunda fikir olması açısından araştırmanızı öneririm.

  • TIBER-EU (Threat Intelligence-Based Ethical Red Teaming Framework – European Union)
  • UK CBEST
  • Hongkong iCAST (Intelligence-led Cyber Attack Simulation Testing)
  • Saudi Arabia FEER (Financial Entities Ethical Red Teaming)
  • Singapore AASE (Adversarial Attack Simulation Exercises)
  • NATO framework
  • Mitre’s ATT&CK framework
  • Cyber Kill Chain – Lockheed Martin
  • Unified Cyber Kill Chain – Paul Pols

  MITRE ATT&CK FRAMEWORK

  Hiçbir model %100 doğru değildir fakat bazı modeller kullanışlı olabilir. Bu modellerden birisi de saldırganların aksiyonlarını modelleyen Mitre Att&ck Framework. Mitre Att&ck, saldırgan davranışlara dayalı, gerçek dünya gözlemleri baz alınarak MITRE tarafından oluşturulmuş ve geliştirilen bir framework. Açık kaynaklı, ücretsiz ve herkesin erişebileceği bir modeldir.

  

  En üst satırda taktik olarak bahsettiğimiz alan, saldırgan amacı belirtmektedir. Taktiklerin sütunlarında bulunan diğer başlıklar ise içerisinde bulundukları saldırgan amaca ulaşmak için kullanılan tekniklerden oluşur. Seçilen bir tekniğe tıklandığında açılan kısım ise prosedür olarak geçer. Prosedürler yüksek seviyeli açıklama ile tespit, önleme, referanslar gibi birçok ek bilgi içerirler. Bir teknik için çeşitli prosedürler olabilir.

  Red Team Mitre Att&ck kullanarak, gerçekçi TTP’leri (Tactics, techniques and procedures – TTPs) araştırarak bir çalışma içerisinde uygulayabilir. Blue Team ise Mitre Att&ck modelini kullanarak var olan TTP’lere karşı savunma duruşuna ait durumunu analiz ederek bir skor oluşturabilir.

  Cyber Kill Chain

  Cyber Kill Chain, Lockheed Martin tarafından geliştirilen ve siber saldırıları tanımlamak için kullanılan en popüler modellerden biridir. Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control, Actions on Objective olmak üzere toplamda 7 aşamadan oluşur.

  

  Unified Cyber Kill Chain

  Lockheed Martin tarafından geliştirilen Cyber Kill Chain(CKC), kolay anlaşılabilir ve basit olacak şekilde tasarlanmıştır bundan dolayı bazı limitlere sahiptir. Yapılan bazı araştırmaların sonucunda, Cyber Kill Chain’in malware odaklı olduğu düşünülmektedir. Bu noktada Cyber Kill Chain’in (özellikle ilk sızma gerçekleştirildikten sonra) bazı saldırıları ve saldırı vektörlerini karşılayamama durumu söz konusudur.

  

  Özellikle CKC’nin limitasyonlarından ve Mitre ATT&CK modelinin zamandan-bağımsız taktiklerinden kaçınmak adına, birçok model baz alınarak “Paul Pols” tarafından Unified Cyber Kill Chain geliştirilmiştir.

  

  Unified Cyber Kill Chain’in içerisinde, hibrit yaklaşımla oluşturulan toplamda 18 taktik bulunur. Bu taktikleri ve açıklamaları “Initial Foothold”, “Network Propagation” ve “Action on Objectives” olmak üzere 3 başlık altında aşağıdaki şekildedir. 

  1. Reconnaissance: Aktif ve pasif bilgi toplama kullanarak hedef organizasyon hakkında bilgi toplanır.
  2. Weaponization: Saldırı için gerekli olan araçlar, altyapı vb. hazırlıklar yapılır.
  3. Delivery: Hedef ortama hazırlanan nesnelerin (araç, zararlı vb.) iletilme teknikleri.
  4. Social Engineering: Kişilere zararlı aksiyonları aldırmayı hedefleyen teknikler.
  5. Exploitation: Hedef sistemlerde güvenlik açıklarının istismarına dayanan teknikler.
  6. Persistence: Saldırgana sistemlerde kalıcılık sağlayacak olan her türlü yöntem.
  7. Defense Evasion: Tespit ve engelleme mekanizmalarını atlatmaya sağlayan teknikler.
  8. Command & Control: Saldırgan ve hedef arasında iletişimi sağlayan teknikler.
  9. Pivoting: Direkt olarak erişim sağlanamayan sistemlere tünelleme ile erişimin sağlanması.
  10. Discovery: Saldırganın sistem ve ağ yapısı hakkında bilgi almasını sağlayan teknikler.
  11. Privilege Escalation: Saldırganın var olan yetkilerini yükseltmesini sağlayan teknikler.
  12. Execution: Saldırganın kontrolünde olan bir komutu hedef sistemde çalıştırmasını sağlayan teknikler.
  13. Credential Access: Hedef üzerinde oturum bilgileri ile erişim sağlamaya yarayan teknikler.
  14. Lateral Movement: Saldırganın başka sistemlere yatay erişim sağlanması sağlayan teknikler.
  15. Collection: Hassas verilerin belirlenmesi ve toplanması için kullanılan teknikler.
  16. Exfiltration: Saldırganın hassas verileri almasını sağlayan teknikler.
  17. Impact: Hedef sistemde manipülasyon, bozma gibi etkilere neden olmayı amaçlayan teknikler.
  18. Objectives: Stratejik nihai bir hedefe ulaşmayı amaçlayan bir saldırının diğer hedefleri.

  Nihai hedefe ulaşabilmek adına belirtilen taktikler beraber kullanılabilir, birleştirilebilir veya düzenlenebilir.

  Referanslar

  • https://www.breachlock.com/top-3-red-teaming-frameworks-tiberaasecbest/
  • https://attack.mitre.org/
  • https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
  • https://www.unifiedkillchain.com/assets/The-Unified-Kill-Chain.pdf

  2021.10.16