MITRE sadece güvenlik çözümlerini karşılaştıran bir şirket değil. Misyonu daha güvenli bir dünya yaratmak olan kar amacı gütmeyen bir kuruluş. Siber güvenlik dünyasını bilen herkes, MITRE’nin öncelikle Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı ile tanındığını bilir. Bir süre önce, şirket yeni bir adım daha atarak MITRE ATT&CK (Rakip Taktikleri, Teknikler ve Ortak Bilgiler) tehdit matrisini yarattı.
MITRE ATT&CK nedir?
Esasen MITER ATT&CK, çeşitli hedefe yönelik saldırılarda kullanılan teknikleri içeren bir açık bilgi tabanı. Matris biçiminde sunulan veriler, saldırganların kurumsal altyapıya nasıl nüfuz ettikleri ve kurumsal altyapıda nasıl bir dayanak kazandıkları, tespit edilmemek için kullandıkları püf noktaları, vb. hakkında genel bir bakış sunuyor. Bu, kurumsal düzeyde bir tehdit matrisi. Ancak MITRE aynı zamanda siber suçluların mobil cihazlara ve endüstriyel kontrol sistemlerine yönelik siber saldırılar için kullandığı taktikleri kapsayan matrisler üzerinde de çalışıyor.
Bununla birlikte MITER ATT&CK yalnızca bilgi toplamış olmak için bilgi toplamaktan ibaret değil. Çeşitli endüstriler için tehdit modelleri oluşturmayı basitleştirmeyi amaçlıyor; daha da önemlisi, belirli bir çözümün veya çözüm kombinasyonunun hangi bilinen tehditleri tespit edebileceğini belirlemek için kullanılabiliyor. Teori şu: Alt yapısını korumak için bir çözüm arayan bir şirket, her adayın yeteneklerini ATT&CK matrisine karşı eşleştiriyor ve hangi tehditlerin açıkta kaldığını görebiliyor. Biraz tombala oyunu gibi. Pratikte ise MITRE, belirli bir güvenlik ürününün hangi tehditleri tanımladığını anlamak için ATT&CK değerlendirmesi olarak bilinen testleri yürütüyor.
ATT&CK değerlendirmesi nedir ve nasıl çalışır
MITRE araştırmacıları bilinen bir APT aktörü seçer ve birkaç günlük bir süre boyunca test ortamında çözümlerini değerlendirdikleri saldırıları taklit ederler; ancak elbette geçmiş saldırıların birebir kopyalarını kullanmazlar. Bunun yerine, çözümün bir saldırının aşamalarında çeşitli rakip teknikleri nasıl tespit ettiğini bulmak için bireysel saldırı araçlarını değiştirirler. Yanıt mekanizmaları değerlendirme sırasında devre dışı bırakılır aksi takdirde bazı aşamaların test edilmesi imkansızdır.
Testin şu anki turuna APT29 Değerlendirmesi deniyor. Bu değerlendirmede araştırmacılar, CozyDuke, Cozy Bear ve The Dukes olarak da bilinen APT29 grubunun girişimlerini taklit ediyorlar. Burada ATT&CK hakkında ayrıntılı bir makale bulabilirsiniz.
Test edilen ürünler ve sonuçları
Son tur, Kaspersky Endpoint Detection and Response çözümümüzü ve Kaspersky Managed Protection servisimizi test etti. Spesifik ayarlar hakkında daha ayrıntılı bilgileri bu makalede bulabilirsiniz.
Çözümümüz, modern hedefli saldırıların önemli aşamalarında, özellikle de Yürütme, Kalıcılık, Ayrıcalık Yükselmesi ve Yanal Hareket aşamalarında yüksek düzeyde kilit teknik saptaması becerisini ortaya koydu. Ayrıntılı değerlendirme sonuçları ve ATT&CK ile ilgili diğer materyaller için kurumsal web sitemizin MITRE ATT&CK alanına göz atabilirsiniz.