MITRE ATT&CK Nedir ve Nasıl Kullanılır: Taktikler, Teknikler ve Savunmaya Uygulama
MITRE ATT&CK, gerçek saldırganların kullandığı taktik ve teknikleri listeleyen açık ve ücretsiz bir bilgi tabanıdır. Bir ürün ya da standart değil, kırmızı takım, mavi takım, tehdit istihbaratı ve SOC'un paylaştığı ortak bir dildir. Yapısını (taktik, teknik, alt teknik), tehdit bilgisine dayalı savunmada nasıl kullanılacağını ve Cyber Kill Chain'den farkını kaynaklı anlattık.
MITRE ATT&CK Nedir ve Nasıl Kullanılır: Taktikler, Teknikler ve Savunmaya Uygulama
Hızlı Cevap: MITRE ATT&CK, gerçek dünyada gözlemlenmiş siber saldırganların kullandığı taktik ve teknikleri sistematik olarak listeleyen, herkese açık ve ücretsiz bir bilgi tabanıdır. Adı, Adversarial Tactics, Techniques and Common Knowledge ifadesinin kısaltmasıdır. Fikir basit ama güçlüdür: saldırganların bir hedefe girerken hangi adımları izlediğini (taktikler) ve bu adımları tam olarak nasıl gerçekleştirdiğini (teknikler) bir matris halinde toplar, böylece savunmacılar saldırıları soyut bir tehdit olarak değil, somut ve tanınabilir davranışlar olarak görebilir. ATT&CK bir güvenlik ürünü ya da bir standart değildir, bir ortak dildir. Kırmızı takım bir saldırıyı planlarken, mavi takım bir savunmayı kurarken, tehdit istihbaratı bir saldırganı tarif ederken ve bir SOC bir olayı analiz ederken aynı çerçeveyi kullanır. Bu ortak dil, bir kurumun savunmasındaki boşlukları görmesini, hangi saldırı tekniklerini tespit edip hangilerini kaçırdığını ölçmesini ve savunmasını gerçek tehditlere göre önceliklendirmesini sağlar. Buna tehdit bilgisine dayalı savunma (threat informed defense) denir.
Siber güvenlik dünyasında en sık atıf verilen çerçevelerden biri MITRE ATT&CK'tir, ve iyi bir nedeni vardır: saldırıyı savunmacının anlayabileceği bir dile çevirir. DSET olarak sızma testi, kırmızı takım ve tehdit istihbaratı çalışmalarımızda ATT&CK'i temel bir referans olarak kullanıyoruz. Yapay zeka kırmızı takımını yapay zeka kırmızı takım, AI red teaming metodolojisi, kırmızı ve mor takım farkını red team, zafiyet değerlendirmesi ve purple team farkı yazılarımızda anlattık. Bu yazı, bu çalışmaların ortak omurgasını, MITRE ATT&CK'i ele alır.
MITRE ATT&CK tam olarak nedir
ATT&CK, MITRE adlı kar amacı gütmeyen kuruluş tarafından geliştirilen ve sürekli güncellenen bir bilgi tabanıdır. En önemli özelliği, teorik değil gözleme dayalı olmasıdır: gerçek saldırılarda görülen davranışları belgeler. Yani ATT&CK'te yer alan her teknik, en az bir kez gerçek bir saldırgan tarafından kullanıldığı gözlemlendiği için oradadır.
Bu bilgi tabanı bir matris olarak görselleştirilir. Matrisin sütunları taktikleri (saldırganın amaçlarını), her sütunun altındaki hücreler ise o amaca ulaşmak için kullanılan teknikleri gösterir. Bir kurum bu matrise baktığında, bir saldırganın izleyebileceği tüm yolları tek bir haritada görür.
Yapı: taktikler, teknikler, alt teknikler ve prosedürler
ATT&CK'in gücü, katmanlı yapısındadır. Bu katmanları anlamak, çerçeveyi doğru kullanmanın anahtarıdır.
- Taktik (Tactic). Saldırganın bir aşamadaki amacıdır, yani neden bir şey yaptığı. Örneğin ilk erişim sağlamak, kalıcılık kurmak ya da veri sızdırmak birer taktiktir. Taktik, saldırının bir aşamasını temsil eder.
- Teknik (Technique). Saldırganın o amaca nasıl ulaştığıdır. Örneğin ilk erişim taktiği için oltalama (phishing) bir tekniktir. Bir taktik altında çok sayıda teknik olabilir.
- Alt teknik (Sub-technique). Bir tekniğin daha özgül bir biçimidir. Örneğin oltalama tekniğinin altında, zararlı ek gönderme ya da zararlı bağlantı gönderme birer alt tekniktir.
- Prosedür (Procedure). Belirli bir saldırganın ya da zararlı yazılımın o tekniği tam olarak nasıl uyguladığıdır, yani gerçek dünyadaki somut örneği.
Bu yapı, savunmacının hem büyük resmi (taktikler) hem ince ayrıntıyı (prosedürler) aynı çerçevede görmesini sağlar.
Kurumsal matristeki taktikler
ATT&CK'in kurumsal (Enterprise) matrisi, bir saldırının tipik yaşam döngüsünü baştan sona kapsayan bir dizi taktikten oluşur. Sırası genelde şöyle işler.
| Taktik | Saldırganın amacı |
|---|---|
| Keşif (Reconnaissance) | Hedef hakkında bilgi toplamak |
| Kaynak geliştirme | Saldırı altyapısını hazırlamak |
| İlk erişim (Initial Access) | Ağa ilk kez girmek |
| Yürütme (Execution) | Zararlı kodu çalıştırmak |
| Kalıcılık (Persistence) | Erişimi sürekli kılmak |
| Yetki yükseltme | Daha yüksek yetki elde etmek |
| Savunmadan kaçınma | Tespit edilmemek |
| Kimlik bilgisi erişimi | Parola ve kimlik bilgisi çalmak |
| Keşif (Discovery) | İç ağı haritalamak |
| Yanal hareket (Lateral Movement) | Diğer sistemlere yayılmak |
| Toplama (Collection) | Değerli veriyi toplamak |
| Komuta ve kontrol | Ele geçirilen sistemi uzaktan yönetmek |
| Sızdırma (Exfiltration) | Veriyi dışarı çıkarmak |
| Etki (Impact) | Zarar vermek, şifrelemek, bozmak |
Bir kurum bu taktiklerin her birine karşı hangi tespit ve önleme kontrollerine sahip olduğunu değerlendirdiğinde, savunmasının nerede güçlü, nerede kör olduğunu net görür.
Neden bu kadar değerli: ortak dil ve boşluk analizi
ATT&CK'in asıl değeri, güvenlik ekiplerinin farklı bölümlerini aynı dilde konuşturmasıdır. Bir tehdit istihbaratı analisti bir saldırganı tarif ederken, bir SOC analisti bir uyarıyı sınıflandırırken ve bir kırmızı takım üyesi bir saldırıyı planlarken aynı teknik kimliklerini kullanır. Bu ortak dil, iletişimdeki belirsizliği ortadan kaldırır.
İkinci büyük değer, boşluk analizidir. Bir kurum, kendi tespit ve savunma yeteneklerini ATT&CK matrisi üzerine haritaladığında, hangi tekniklere karşı hazırlıklı olduğunu ve hangilerini tamamen kaçırdığını görsel olarak görür. Bu, güvenlik yatırımını duyguyla değil, gerçek bir kapsama haritasına göre önceliklendirmeyi sağlar. Kör noktalar, bir saldırgan onları bulmadan önce kapatılır. Dış saldırı yüzeyi ve görünürlüğün genelini dış saldırı yüzeyi ve OSINT yazımızda anlattık.
Nasıl kullanılır: tehdit bilgisine dayalı savunma
ATT&CK'i pratikte kullanmanın birkaç somut yolu vardır.
- Tespit kapsamı haritalama. Mevcut güvenlik araçlarınızın (SIEM, EDR) hangi ATT&CK tekniklerini tespit edebildiğini matris üzerine işaretleyin. Böylece hangi tekniklerin kör noktada olduğunu görürsünüz.
- Kırmızı ve mor takım. Bir kırmızı takım egzersizini belirli ATT&CK teknikleriyle planlarsınız, mavi takım bu teknikleri tespit etmeye çalışır, ve sonuçlar matris üzerinde ölçülür. Bu, savunmanın gerçek tehditlere karşı test edilmesidir. Kırmızı takım sürecini red team ve purple team farkı yazımızda ele aldık.
- Tehdit istihbaratı eşleme. Sektörünüzü hedefleyen bilinen saldırgan gruplarının kullandığı teknikleri ATT&CK üzerinde işaretler, savunmanızı bu somut tehditlere göre önceliklendirirsiniz.
- Olay müdahalesi. Bir olay yaşandığında, saldırganın kullandığı teknikleri ATT&CK ile etiketlemek, olayın kapsamını anlamayı ve raporlamayı standartlaştırır. Olay müdahale sürecini siber olay müdahale, IR playbook, NIST 800-61 yazımızda anlattık.
Bu yaklaşımların ortak adı, tehdit bilgisine dayalı savunmadır: savunmayı varsayımlara değil, gerçek saldırgan davranışlarına göre kurmak.
ATT&CK ile Cyber Kill Chain farkı
ATT&CK sık sık, daha eski bir model olan Cyber Kill Chain ile karıştırılır. İkisi de bir saldırının aşamalarını tarif eder, ama farklı düzeydedir. Kill Chain, bir saldırıyı yüksek seviyede, doğrusal yedi aşamaya böler ve genel bir bakış sunar. ATT&CK ise çok daha ayrıntılıdır: her aşamada saldırganın kullanabileceği yüzlerce somut tekniği listeler ve doğrusal bir sıra dayatmaz, çünkü gerçek saldırılar nadiren düz bir çizgide ilerler. Pratikte Kill Chain büyük resmi anlatmak için, ATT&CK ise gerçek savunma ve tespit çalışması için kullanılır. İkisi çelişmez, farklı çözünürlükte aynı olguyu tarif eder.
İlgili çerçeveler: D3FEND ve ATLAS
MITRE, ATT&CK'in etrafında tamamlayıcı çerçeveler de geliştirmiştir. D3FEND, ATT&CK'in savunma tarafındaki karşılığıdır: saldırı tekniklerine karşı hangi savunma önlemlerinin alınabileceğini sistematik olarak listeler. ATLAS ise ATT&CK'in yapay zeka sistemlerine yönelik saldırılar için uyarlanmış halidir, yani makine öğrenmesi modellerine yönelik taktik ve teknikleri kapsar. Yapay zeka sistemlerine yönelik saldırıları ve ATLAS'ı yapay zeka veri zehirlenmesi ve model güvenliği yazımızda ele aldık. Bu çerçeveler birlikte, hem geleneksel hem yapay zeka odaklı bir güvenlik programı için ortak bir dil sunar.
Bir kurum ATT&CK'i nasıl uygular
ATT&CK'i benimsemek isteyen bir kurum için pratik bir yol haritası şöyledir. Önce, sektörünüzü ve büyüklüğünüzü hedefleyen tehditlerin hangi teknikleri kullandığını belirleyin, tüm matrise aynı anda yatırım yapmak gerçekçi değildir. Sonra, mevcut tespit ve önleme kontrollerinizi bu tekniklere karşı haritalayın ve en kritik boşlukları görün. Ardından, en yüksek riskli boşlukları kapatacak tespit kurallarını ve önlemleri önceliklendirin. Son olarak, bir kırmızı takım ya da sızma testiyle bu tekniklere karşı savunmanızı gerçekten test edin ve sonuçları yeniden matrise işleyin. Bu döngü tek seferlik değil, sürekli bir olgunlaşma sürecidir.
Saldırgan grupları ve yazılımları
ATT&CK yalnızca teknikleri değil, bu teknikleri kullanan gerçek saldırgan gruplarını ve zararlı yazılımları da belgeler. Her bilinen saldırgan grubu için, o grubun geçmişte hangi teknikleri kullandığı ATT&CK'te kayıtlıdır. Bu, bir kuruma çok pratik bir güç verir: sektörünüzü hedeflediği bilinen bir grubun tekniklerine bakıp, savunmanızı tam da o gruba karşı önceliklendirebilirsiniz.
Bu eşleme, tehdit istihbaratını somut savunmaya çevirir. Bir haberde bir saldırgan grubunun bir sektöre saldırdığını okuduğunuzda, o grubun ATT&CK profilini açıp hangi teknikleri kullandığını görür, ardından kendi tespit yeteneklerinizi bu tekniklere karşı kontrol edersiniz. Böylece soyut bir tehdit haberi, somut bir savunma yol haritasına dönüşür. Tehdit istihbaratının genelini ve dış görünürlüğü dış saldırı yüzeyi ve OSINT yazımızda ele aldık.
ATT&CK Navigator ve tespit mühendisliği
ATT&CK'i pratikte kullanmayı kolaylaştıran açık araçlar vardır. Bunların en yaygını ATT&CK Navigator'dır, matrisi görsel bir katman olarak açan ve üzerinde işaretleme yapmanızı sağlayan ücretsiz bir araçtır. Bir kurum, Navigator üzerinde tespit edebildiği teknikleri yeşil, kör noktalarını kırmızı işaretleyerek savunma kapsamını tek bakışta görür. Aynı görsel, yönetime güvenlik durumunu anlatmanın da en net yoludur.
Bu, tespit mühendisliği (detection engineering) denen disiplinin temelidir. Tespit mühendisi, ATT&CK tekniklerini tek tek ele alır ve her biri için SIEM ya da EDR üzerinde bir tespit kuralı yazıp yazamayacağını değerlendirir. Amaç, matrisin kapsama alanını zamanla genişletmek, yani gitgide daha çok tekniği tespit edilebilir hale getirmektir. DSET olarak KAOS motoru da bulduğu her saldırı için ilgili ATT&CK tekniğini etiketler, böylece bulgular soyut değil, tanınabilir davranışlar olarak raporlanır.
Yaygın hatalar
ATT&CK güçlü bir çerçevedir ama yanlış kullanıldığında değeri düşer. En sık yapılan hatalar şunlardır. Birincisi, tüm matrisi aynı anda kapatmaya çalışmak: matris yüzlerce teknik içerir ve hepsine aynı anda yatırım yapmak ne gerçekçi ne verimlidir, önce sizi en çok hedefleyen tekniklere odaklanmak gerekir. İkincisi, ATT&CK'i bir uyum kutusu gibi görmek: amaç matriste kaç tekniği işaretlediğiniz değil, gerçek tehditlere karşı savunmanızı ölçüp geliştirmektir. Üçüncüsü, haritalamayı bir kez yapıp bırakmak: saldırgan teknikleri ve sizin ortamınız sürekli değişir, ATT&CK haritalaması yaşayan bir belge olmalıdır. Bu hatalardan kaçınıldığında, ATT&CK bir kurumun savunmasını gerçekten dönüştürür.
Sıkça Sorulan Sorular
MITRE ATT&CK bir standart mı, bir araç mı? İkisi de değil. ATT&CK, gerçek saldırgan davranışlarını belgeleyen açık ve ücretsiz bir bilgi tabanıdır. Bir zorunluluk getirmez, bir ortak dil ve referans çerçevesi sunar.
Küçük bir şirket ATT&CK'i kullanabilir mi? Evet. Tüm matrisi uygulamak gerekmez. Küçük bir kurum, kendisini en çok hedefleyen birkaç tekniğe odaklanıp savunmasını bu tekniklere göre önceliklendirerek başlayabilir.
ATT&CK ile OWASP aynı şey mi? Hayır. OWASP daha çok web ve uygulama güvenliği zafiyetlerine odaklanır, ATT&CK ise bir saldırganın uçtan uca kullandığı taktik ve teknikleri kapsar. İkisi tamamlayıcıdır, farklı açılardan güvenliğe bakar.
ATT&CK'i savunmaya nasıl bağlarım? Mevcut tespit yeteneklerinizi matrise haritalayarak kör noktalarınızı bulur, kırmızı ve mor takım egzersizleriyle bu noktaları test eder ve en yüksek riskli boşlukları önceliklendirerek kapatırsınız.
Kaynaklar
- MITRE ATT&CK resmi bilgi tabanı: https://attack.mitre.org/
- MITRE D3FEND, savunma teknikleri çerçevesi: https://d3fend.mitre.org/
- MITRE ATLAS, yapay zeka sistemlerine yönelik saldırılar: https://atlas.mitre.org/
- NIST SP 800-115, Bilgi Güvenliği Testi ve Değerlendirmesi: https://csrc.nist.gov/pubs/sp/800/115/final
Kurumunuzun savunmasını MITRE ATT&CK çerçevesine göre haritalamak, boşlukları kırmızı takımla test etmek ve önceliklendirmek için DSET ile iletişime geçin.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.