Bugün McLean, Virginia’da düzenlenen beşinci MITRE ATT&CKcon konferansında sunulan araştırmaya göre, siber güvenlik araçları MITRE ATT&CK çerçevesini kapsama açısından tutarsız ve eksik.
MITRE ATT&CK çerçevesi, bir siber saldırının sürmekte olduğunu gösteren taktikleri ve teknikleri tanımlar ve genellikle güvenlik satıcıları, analistler ve araştırmacılar tarafından olayları tespit etmek ve araştırmak için bir çerçeve olarak kullanılır. “ATT&CK”, “Çekişmeli Taktikler, Teknikler ve Ortak Bilgi” anlamına gelir.
Araştırmayı sunan Illinois Üniversitesi Urbana-Champaign’de bilgisayar bilimleri alanında doktora öğrencisi olan Apurva Virkud liderliğindeki araştırmacılar, araştırmayı yürütürken uç nokta güvenliği ve güvenlik bilgileri ile etkinlik yönetimi (SIEM) araçlarını incelediler. 2022-2023.
Virkud, incelenen araçların (Carbon Black, Splunk, Elastic ve Sigma açık kaynak aracı) ATT&CK çerçevesinin yaklaşık yarısı için en az bir tespit tekniğine sahip olduğunu ve düşük riskli tespitlerin bu değeri daha da azaltabileceğini buldu.
Virkud, satıcıların ATT&CK kapsamının çığırtkanlığını yapmasına rağmen MITRE’nin ATT&CK’yi bir pazarlama aracı olarak konumlandırmadığını belirtti. ATT&CK kapsamının “gerçekten anlamlı olamayacak kadar yüksek düzeyde bir ölçüm” olduğunu söyledi.
MITRE ATT&CK Kapsamı: Aynı Tehditler, Farklı Teknikler
Virkud ve meslektaşları, ürünlerin kapsanan tekniklerle tutarlı olduğunu buldu (aşağıdaki slayt).
Virkud, “Ürünler aynı tehdidi tespit etmeye çalışırken bile onu tanımlamak için aynı saldırı tekniklerini kullanmıyorlar” dedi. ATT&CK tekniğinin birden fazla davranışı kapsayabilmesi nedeniyle bu farklılıkların makul olabileceğini söyledi.
Araştırmacılar ayrıca araçların hiçbirinde uygulanmayan 53 tekniğe baktılar ve bir tekniğin uygulanmamasının ilk üç nedeninin şunlar olduğunu buldular:
- Etkisiz tespit yöntemi: MITRE’nin kendisi, bazı davranışların tespit edilmesinin zor olduğunu belirtiyor.
- Ana bilgisayar dışı altyapıyı hedefler: İnternet taraması bu araçların kapsamı dışındadır.
- Müşteriye özel: Tespit, müşteri ortamına ilişkin özel bilgi gerektirir.
Virkud, “Bu tekniklerin çoğunun uygulanması imkansız olmasa da zordur” dedi (aşağıdaki slaytlar).
Tutarsız ATT&CK Uygulaması
Virkud, adlandırılmış kanal kimliğine bürünme ve kötü amaçlı DNS etkinliği (aşağıdaki slaytlar) için Elastic ve Splunk’un kurallarını karşılaştırdı ve “güvenlik analistlerinin, kullandıkları araca bağlı olarak aynı sistem günlüğü etkinliğini tamamen farklı motivasyonlara bağlayabileceklerini” belirtti.
Belki de en şaşırtıcı olanı, Virkud ve meslektaşlarının, ürünlerin uygun ATT&CK tekniği konusunda yarı yarıya anlaşamadıklarını bulmalarıydı.
Virkud’un özetinde belirtildiği gibi, “aynı kötü niyetli varlığı tespit etmeye çalışırken bile, ürünler %51 oranında uygun ATT&CK tekniği açıklamaları konusunda tamamen fikir ayrılığına düşerken, yalnızca %2,7 oranında tamamen katılıyorum. Başka bir deyişle, bir tekniği ‘kapsamak’, farklı ürünlerde aynı tehdide karşı koruma anlamına bile gelmeyebilir. Bu bulgular, kapsama dayalı ATT&CK değerlendirmelerinin tehlikelerinin altını çiziyor.”