Kırmızı Takım (Red Team) Saldırı Simülasyonu Hizmeti
Sızma testi kapıya bakar: kilit takılı mı, pencere açık mı, hangi açıklar var. Kırmızı takım bunu sormaz. Kırmızı takım hırsız gibi davranır. Gerçekten içeri girer, koridorlarda fark edilmeden ilerler, kasaya ya da CEO postasına ulaşır ve bunu yaparken alarm çalıp çalmadığını ölçer. İkisi aynı şey değildir, aynı soruyu da sormazlar. Sızma testi "nereden girilebilir" der; kırmızı takım "girildiğinde sizi kim, ne zaman yakalar" der.
Bu sayfada DSET kırmızı takım hizmetinin tam olarak ne yaptığını, neyi ölçtüğünü ve klasik sızma testinden neden temelden ayrıldığını anlatıyoruz. Pazarlama dilini bir kenara bırakıp gerçek bir operasyonun nasıl yürüdüğünü göstereceğiz.
Bir kırmızı takım operasyonu gerçekte nasıl ilerler
Anlatması soyut kalmasın. Tipik bir senaryoyu, sahadan bildiğimiz haliyle aktaralım.
Operasyon, yazılı yetki ve net bir hedefle başlar: diyelim ki "finans biriminin paylaşılan dosya sunucusundaki bordro klasörüne ulaş ve oraya bizim bıraktığımız işaret dosyasını koy". Tek bir somut hedef. Geri kalan her şey bu hedefe hizmet eder.
İlk erişim çoğu zaman teknolojiden değil insandan açılır. Hazırladığımız hedefli bir oltalama e-postası, muhasebeden bir çalışanın "acil fatura" başlıklı eki açmasıyla ilk dayanak noktasını (foothold) verir. O makinede artık bir ayağımız vardır. Buradan sonrası sessizliktir. Gürültü yapan tarayıcılar çalıştırmayız; çünkü amaç tüm açıkları listelemek değil, fark edilmeden ilerlemektir.
Yanal hareket (lateral movement) başlar. Ele geçirilen makinenin belleğinden kimlik bilgileri toplanır, yetkili bir hesabın izi yakalanır, bir yönetim sunucusuna sıçranır. Adım adım, her hareketin gürültü bütçesini hesaplayarak. Birkaç gün içinde alan yöneticisi (domain admin) yetkisine ulaşılır. O yetkiyle finans dosya sunucusuna gidilir, hedef klasör bulunur, işaret dosyası bırakılır. Hedef tamamlanmıştır.
İşin "vay be" dedirten kısmı şudur: tüm bu süre boyunca mavi takım, yani SOC ekibi, çoğu vakada hiçbir alarm görmemiştir. Operasyon bittiğinde sorulan soru "hangi açık vardı" değildir. Sorulan soru şudur: bizi fark ettiniz mi, ettiyseniz hangi adımda, kaç saat sonra ve ne yaptınız.
Kırmızı takım sistemleri değil, mavi takımı test eder
Burası en çok yanlış anlaşılan noktadır, o yüzden açık yazalım. Kırmızı takımın asıl ölçtüğü şey sunucularınızın ya da uygulamanızın açıkları değildir. Asıl test edilen, sizin savunma ekibinizdir: SOC analistleri, tespit kurallarınız, müdahale prosedürleriniz, EDR alarmlarınızı kimin ne kadar sürede gördüğü.
Bir kırmızı takım operasyonunda "başarı", saldırganın içeri girmesi değildir. Çünkü yeterince zaman ve yaratıcılıkla neredeyse her yere girilir. Gerçek başarı ölçütü tek bir cümlededir: "Yakalandık mı?" Mavi takım saldırıyı erken adımda görüp kestiyse, savunma kazanmıştır. Saldırgan hedefe ulaşana kadar hiçbir şey fark edilmediyse, sorun sistemlerde değil görünürlüktedir.
Bu yüzden kırmızı takım çıktısı, açık listesi değildir. Çıktı bir zaman çizelgesidir: hangi adım hangi saatte yapıldı, hangi adım bir iz bıraktı, o iz neden alarma dönüşmedi ya da döndüyse neden kimse bakmadı.
"Assumed breach": saldırgan zaten içeride
Klasik kırmızı takım operasyonu ilk erişimi kendisi açar. Ama olgun kurumlarda daha keskin bir senaryo uygularız: "assumed breach", yani ihlal varsayımı.
Bu modelde "saldırgan dışarıdan içeri girebilir mi" sorusunu tartışmayız bile. Çünkü istatistik açık: yeterince hedefli bir oltalama er ya da geç tutar. Onun yerine saldırganın zaten içeride olduğunu varsayarız. Size kontrollü bir başlangıç noktası verilir, sanki bir çalışanın makinesi çoktan ele geçirilmiş gibi. Asıl ölçtüğümüz şey şudur: bu noktadan sonra savunma ne kadar hızlı tepki veriyor.
İki rakam belirleyicidir. MTTD (ortalama tespit süresi), saldırının başlamasından savunmanın onu fark etmesine kadar geçen süredir. MTTR (ortalama müdahale süresi) ise fark edildikten sonra saldırının durdurulmasına kadar geçen süredir. Assumed breach senaryosu, bu iki sayıyı laboratuvar koşulunda değil gerçek bir saldırı baskısı altında ölçer. Bir kurumun olgunluğu, açık sayısından çok bu iki sürede gizlidir.
Pentest, Red Team ve Purple Team: net karşılaştırma
Üç kavram sürekli birbirine karışır. Aralarındaki fark akademik değil, operasyoneldir.
| Boyut | Sızma Testi (Pentest) | Kırmızı Takım (Red Team) | Mor Takım (Purple Team) |
|---|---|---|---|
| Amaç | Mümkün olduğunca çok açık bulmak ve listelemek | Tek bir kritik hedefe (crown jewels) ulaşabilmek | Saldırı ve savunmayı birlikte geliştirmek |
| Kapsam | Geniş, sistem ve uygulama odaklı | Dar ve hedefli, sonuç odaklı | Belirli TTP'ler üzerinde ortak çalışma |
| Görünürlük | Gürültülü, savunma çoğu zaman bilgilendirilir | Sessiz, savunma haberdar değil (gizli) | Açık, iki taraf aynı masada |
| Asıl test edilen | Sistemlerin açıkları | Mavi takımın tespit ve müdahalesi | Tespit kurallarının iyileştirilmesi |
| Başarı ölçütü | Bulunan açık sayısı ve önem derecesi | Hedefe ulaşıldı mı, yakalandık mı (MTTD/MTTR) | Tespit kapsamındaki artış |
| Süre | Genelde günler | Genelde haftalar | Oturum bazlı, tekrar eden |
Kısacası sızma testi geniş ve gürültülüdür, tüm açıkları sayar. Kırmızı takım dar hedefli ve sessizdir, tespit edilmemeyi sınar. Mor takım ise bu ikisinin kavga etmek yerine yan yana oturduğu, öğrenme odaklı moddur: kırmızı bir TTP'yi çalıştırır, mavi onu görmeye çalışır, görmezse tespit kuralı oracıkta yazılır. En çok değer üreten format, çoğu kurum için budur.
İşin omurgası: MITRE ATT&CK, TTP, C2 ve kurallar
Kırmızı takım rastgele "hack" değildir. Disiplinli bir çerçeveye oturur.
MITRE ATT&CK ve TTP'ler
Gerçek saldırganların kullandığı teknikler, MITRE ATT&CK çerçevesinde taktik (tactic), teknik (technique) ve prosedür (procedure) olarak kataloglanmıştır. Buna TTP denir. DSET kırmızı takımı, operasyonu bu çerçeveye eşler: hangi tekniği, hangi taktik amacıyla kullandığımızı raporda ATT&CK kimlikleriyle gösteririz. Bu sayede mavi takım "bizi şu teknikle vurdular, biz bu tekniği görebiliyor muyuz" diye doğrudan kontrol edebilir.
C2 ve OPSEC
Ele geçirilen makinelerle iletişim, komuta kontrol (C2) altyapısı üzerinden yürür. Operasyonun fark edilmemesi, OPSEC denilen operasyonel gizliliğe bağlıdır: trafiği meşru görünen kanallara saklamak, gürültü çıkarmamak, savunmanın izlediği göstergeleri tetiklememek. Kırmızı takım sanatının büyük kısmı saldırı değil, görünmez kalma disiplinidir.
Kurallar (ROE)
Hiçbir operasyon kuralsız yürümez. Angajman kuralları (Rules of Engagement, ROE) işin sınırlarını yazılı çizer: hangi sistemlere dokunulabilir, hangilerine asla dokunulamaz, üretim verisi nasıl korunur, acil durdurma (stop word) nasıl çalışır. Bu kurallar hizmetin güvenli ve yasal kalmasını sağlar.
DSET kırmızı takım operasyonu nasıl yürür
Süreci uçtan uca şeffaf işletiriz.
1. Kapsam ve ROE belirleme
Önce hedefi ve sınırları yazılı netleştiririz. Crown jewels nedir, başarı kriteri ne, hangi sistemler kapsam dışı, operasyon penceresi ne. Yazılı yetki olmadan tek bir paket bile gönderilmez.
2. OSINT ve keşif (recon)
Kurumunuz hakkında dışarıdan görünen her şeyi toplarız: alan adları, sızmış kimlik bilgileri, çalışan profilleri, açık portlar, teknoloji yığını. Saldırgan ne görüyorsa biz de onu görürüz.
3. İlk erişim
Hedefli oltalama, fiziksel giriş ya da teknik bir açık üzerinden ilk dayanak noktasını alırız. Senaryoya göre bunların biri ya da birkaçı kullanılır.
4. Yanal hareket ve yetki yükseltme
İçeride sessizce ilerler, kimlik bilgileri toplar, yetki yükseltir, hedefe doğru sıçrarız. Her adım ATT&CK'e eşlenir, her adımın gürültü bütçesi hesaplanır.
5. Hedefe ulaşma
Crown jewels'a ulaşır, etki kanıtını (impact proof) bırakırız. Veri sızdırma simülasyonu kontrollü ve işaretlidir; gerçek müşteri verisi dışarı çıkarılmaz.
6. Tespit edilmeden raporlama ve mavi takım iyileştirmesi
Operasyon biter, raporu sunarız. Rapor bir açık listesi değil, bir hikaye ve zaman çizelgesidir: ne yaptık, hangi adımda iz bıraktık, mavi takım nerede tespit etti, nerede kaçırdı. Ardından mor takım oturumlarıyla eksik tespit kurallarını birlikte yazar, savunmayı kalıcı olarak güçlendiririz.
Etik ve yasal sınır
Kırmızı takım yetkili bir tatbikattır, korsanlık değildir. Tüm operasyon yazılı sözleşme ve imzalı yetki kapsamında yürür. Yetkisiz erişim Türk Ceza Kanunu kapsamında suçtur; bizim işimiz tam tersine, sizin yazılı talimatınızla, sizin sınırlarınız içinde, sizin savunmanızı güçlendirmek için çalışmaktır. Üretim verisinin korunması, gizlilik ve acil durdurma mekanizmaları her sözleşmenin ayrılmaz parçasıdır.
Kırmızı takımı bir bütünün parçası olarak görmek gerekir. Geniş açık taraması için sızma testi sürecimizi, tehdit ve tatbikat kurgusu için tehdit simülasyonu ve siber tatbikat yazımızı, savunma tarafını güçlendirmek için ise EDR/XDR uç nokta güvenliği çözümümüzü inceleyebilirsiniz.
Sık Sorulan Sorular (SSS)
Kırmızı takım ile sızma testi arasındaki fark nedir? Sızma testi geniş kapsamlıdır ve mümkün olan tüm açıkları bulup listeler; gürültü yapması sorun değildir. Kırmızı takım dar hedeflidir, tek bir kritik varlığa sessizce ulaşmaya çalışır ve asıl olarak savunmanın bu saldırıyı tespit edip edemediğini ölçer.
Operasyon sırasında gerçek verimiz tehlikeye girer mi? Hayır. Veri sızdırma kontrollü ve işaretlidir; gerçek müşteri ya da kişisel veri dışarı çıkarılmaz. Angajman kuralları, korunan sistemleri ve acil durdurma mekanizmasını yazılı olarak güvenceye alır.
Assumed breach senaryosu nedir, neden tercih edilir? Saldırganın zaten içeride olduğu varsayılır ve size kontrollü bir başlangıç noktası verilir. Böylece "girilebilir mi" tartışması yerine doğrudan savunmanın tespit (MTTD) ve müdahale (MTTR) hızı ölçülür. Olgun kurumlar için en öğretici senaryodur.
Mavi takımımız operasyondan haberdar olacak mı? Gizli kırmızı takım operasyonunda savunma ekibi haberdar değildir; testin gerçekçi olması buna bağlıdır. Yalnızca kurumda küçük bir yetkili çekirdek ekip bilir. Mor takım modelinde ise iki taraf bilerek ve birlikte çalışır.
Kırmızı takım hizmeti yasal mı? Evet. Yazılı sözleşme, imzalı yetki ve net angajman kuralları kapsamında yürütülen yetkili bir tatbikattır. Yetkisiz erişim suçtur; bu hizmet tam tersine sizin talimatınızla, sizin sınırlarınız içinde, savunmanızı güçlendirmek için yapılır.
Kaynaklar
- MITRE ATT&CK: Adversary Tactics, Techniques and Common Knowledge
- MITRE Engage: Adversary Engagement Framework
- NIST SP 800-115: Technical Guide to Information Security Testing and Assessment
- CREST: Penetration Testing and Red Teaming Standards
- The Red Team Guide: Methodology and TTP Reference
- SANS: Red Team Operations Resources
DSET, 2003'ten beri Ankara Hacettepe Teknokent Beytepe'de siber güvenlik ve saldırı simülasyonu hizmeti veriyor. Kurumunuzun savunmasını gerçek bir saldırı baskısı altında sınamak için: +90 536 662 38 09.