Siber güvenlik profesyonellerinin birbirleriyle iletişim kurması ve gerçek dünyadaki düşman davranışlarını daha iyi anlaması için ortak dil olan MITRE ATT&CK, bu sonbaharda 10. yılını kutluyor. Bu Help Net Security röportajında proje lideri Adam Pennington çerçeveyi, savunucuların onu en iyi nasıl kullanabileceğini ve sırada ne olduğunu tartışıyor.
2013 yılında MITRE ATT&CK çerçevesinin oluşturulmasının ardındaki ana itici güçler nelerdi?
Çerçeve, MITRE’nin Ft.’sinde gerçekleştirilen dahili bir uygulamadan doğdu. Meade, MD. sitesi 2013 yılında. O zamanlar yaygın olmayan bir dizi kırmızı ve mavi ekip siber operasyonunu analiz etmek için masaüstü bilgisayarlara sensörler yerleştirdik. Beyaz takım gözlemcileri, kırmızı takımın eylemlerinin gerçek dünyadaki düşman davranışlarını temsil etmediğini fark etti. Kırmızı takımdan taktiklerini ayarlamasını istediklerinde kendilerini açıklayacak ortak bir dilden yoksundular.
Beyaz takım, mavi ve kırmızı takımların operasyonları tasarlaması için gerçek verilerden oluşan bal kavanozlarından gerçek siber saldırı senaryolarını çıkararak rotayı değiştirdi. Sonuçta egzersiz, ortak bir dil kullanan farklı izinsiz giriş tekniklerini özetleyen temel bir Excel tablosuyla sonuçlandı. Dahili olarak bize inanılmaz derecede faydalı oldu, bu yüzden dünyanın geri kalanına da faydalı olması ihtimaline karşı, bunu MITRE ATT&CK olarak kamuoyuna duyurduk.
Çerçeve son on yılda, özellikle de popülaritesinde bir artış gördüğümüz son beş yılda nasıl gelişti?
Bir rakibi ve bir taktiği tanımlayan bir Excel elektronik tablosu olarak başlayan şey, dünya çapındaki kullanıcıların referans aldığı ve katkıda bulunduğu bir çerçeveye dönüştü. Kamuoyuna ulaştığında yaklaşık 100 davranış vardı ve 2016’da açık kaynaklı tehdit istihbaratı raporlamasına dayalı olarak grupları ve yazılımları izlemeye başladık. 2018’de ATT&CKcon’u başlatmak için yeterince ilgi topladık (kullanıcı konferansının dördüncü yinelemesi 24-25 Ekim’de MITRE’nin McLean, Virginia genel merkezinde gerçekleştirilecek).
Son beş yılda ATT&CK ile temel çerçeveyi endüstriyel kontrol sistemleri, mobil, Linux, çeşitli bulut platformları (Office 365, Azure vb.), ağ cihazları (bilgisayar anahtarları ve yönlendiriciler) ve daha fazlası için genişlettik. Hem düşman taktiklerinin ne olduğunu, hem de kullanıcıların bunlara karşı savunmak için kullanabilecekleri teknikleri dahil ederek bilgiyi sindirilebilir ve kullanıcı dostu hale getirmeye devam ediyoruz. Bu amaçla yakın zamanda insanların savunmalarında “kolay bir düğme” olarak kullanabilecekleri sözde kod analitiğini doğrudan ATT&CK’ye ekledik.
Çerçeve gerçek dünyadaki gözlemler ve katkılarla nasıl güncel kalıyor? Ne sıklıkla güncelleniyor?
Bu soruyu yanıtlarken, bir topluluk üyesinden e-posta yoluyla en az bir katkı aldık; bu da sık sık güncelleme aldığımızın kanıtı! ATT&CK büyük ölçüde topluluk odaklıdır. Çerçevemiz, kullanıcılar bizi en son tehditlerden haberdar etmedikçe etkili olamaz.
Ayrıca sosyal medyayı, çeşitli devlet kurumlarının kamuya açık raporlarını ve olay müdahale şirketlerinin güncellemelerini izliyoruz. Perde arkasında, her bir alan için bilgileri muhafaza eden ve organize eden büyük ekiplerimiz var.
Her altı ayda bir ATT&CK’nin yeni bir sürümünü yayınlıyoruz. Daha kısa ve daha uzun zaman dilimlerini denedikten sonra, hem ATT&CK’yi ürünlerine ve savunmalarına dahil eden kuruluşları hem de bilgiyi hızlı bir şekilde isteyenleri tatmin eden en uygun noktanın altı ay olduğunu gördük.
Siber tehditlerin gelişen doğası göz önüne alındığında, MITRE ATT&CK çerçevesi siber güvenlik uzmanlarına ne gibi uzun vadeli değer sunuyor?
ATT&CK, rakipleriyle birlikte gelişmeye devam ediyor ancak tarihsel olarak bu, zaman içinde yavaş yavaş değişen bir alandır. Kötü aktörler bir ağa girdikten sonra nispeten rutin yöntemler sergiliyorlar. Her ne kadar yazılımın tam parçası, IP adresi ve hatta karşı uçtaki insan farklılık gösterse de, çoğu zaman dalgalanmayan temel saldırı dizileri vardır. On yıl önce ATT&CK’de belgelenen davranışlar bugün hâlâ görülüyor.
Öte yandan bulut tabanlı ürünler gibi izinsiz girişe hazır yeni alanlar da var. Çerçeveyi yeni teknolojilerle adım adım genişletiyoruz.
İlk uygulama sürecini karmaşık bulan kuruluşlar için bu öğrenme sürecini kolaylaştırmak için ne gibi tavsiyeleriniz var?
Isırık büyüklüğünde parçalarla başlayın. Küçük kuruluşlardaki siber güvenlik ekiplerinin, başlarını aştığını hemen fark etmek için ATT&CK’yi savunmalarına kapsamlı bir şekilde entegre etmeye çalıştıklarını defalarca gördük. Çerçeve herkese uygun tek boyutlu değildir.
Bu zorluğun üstesinden gelmek için küçükten başlamaya odaklanan birden fazla strateji öneriyoruz. Çerçeve tekniklere bölünmüştür, dolayısıyla bir kuruluş kendi sistemine uygun tek bir taktikle başlayabilir. Örneğin, kimlik yönetimiyle ilgileniyorsanız, saldırganların şifreleri nasıl çaldığını inceleyebilir ve davranışları arasındaki örtüşmeleri tespit edebilirsiniz. Bu önceliklendirme noktalarına ulaştığınızda geriye doğru çalışmak ve bunlara karşı koruma eklemek daha kolay olur.
Siber güvenlik endüstrisindeki profesyonellerin bilmesi gereken çerçevenin daha az belirgin uygulamalarından bazıları nelerdir?
ATT&CK’nin liselerden üniversitelere kadar akademik ortamlarda nasıl kullanıldığını görmek bizi çok şaşırttı. Virginia’daki bir lise, ekibimizi daha önce müfredatlarına entegre ettikleri çalışma hakkında konuşmaya davet etti.
Birçok özel sektör kuruluşu da bu çerçeveyi çalışan eğitimine dahil etmiştir. Geçenlerde şirketi düzenli olarak ATT&CK veritabanından alınan “haftanın tekniğini” tartışan biriyle konuştum.
MITRE ATT&CK çerçevesi için gelecekte hangi iyileştirmeleri veya genişletmeleri öngörüyorsunuz?
Düşmanlar yeni istismar yöntemlerini keşfederken, biz de onların her hareketini kataloglayarak orada olacağız. Ekibimiz, Linux ve Windows dışındaki işletim sistemleri gibi popülaritesi artan alanlar hakkında tehdit istihbaratı raporlamasını geliştirmeye devam ediyor.
Amaç, siber savunuculardan oluşan bir topluluk oluşturmaktır ve her zaman da öyle olmuştur. ATT&CK’nin daha büyük kuruluşlar için bir nimet olduğunu biliyoruz, ancak bunu daha küçük ve daha az kaynağa sahip kuruluşlar için daha erişilebilir hale getirmenin yolları üzerinde çalışıyoruz.
Daha fazla kaynak