2025 yılında, uluslararası bir fintech firması, hibrit bulut altyapısı üzerinden, internetteki en gelişmiş siber operatörlerden bazılarının saldırılarıyla karşı karşıya kalacak ve bu saldırılar, şirketin Active Directory örneğini, çalışanların LinkedIn profillerini ve paylaşılan kod depolarını hedef alacak ve bu saldırılar daha da tehlikeye girecek.
Bir tahmin mi? Pek değil.
senaryo Siber güvenlik firmalarını en yeni siber tehdit aktörlerinin teknikleri ve taktikleriyle karşı karşıya getiren yıllık bir değerlendirme sınavı olan en son MITRE ATT&CK Değerlendirme testinin temelini oluşturur. Satıcılar için, devlet yüklenicisi MITRE tarafından gerçekleştirilen tatbikatlar, nelerin geliştirilebileceğini görmek için gerçek dünya senaryolarında tespit, koruma ve müdahale yeteneklerini test etmelerine olanak tanıyor. Siber güvenlik uzmanları için değerlendirme sonuçları, karmaşık saldırılara karşı savunmaya hazır olup olmadıklarını belirlemelerine yardımcı olabilir.
MITRE’nin baş siber güvenlik mühendisi Lex Crumpton, değerlendirmelerde bazı sağlayıcıların tespit derecelendirmelerini övmesine rağmen, meselenin güvenlik yazılımı notlarından çok şirketlerin savunmalarını ve satıcıların ürünlerini geliştirmek olduğunu söylüyor.
“ATT&CK Değerlendirmeleri daha çok bir rakip öykünmesi, mor ekip oluşturma, işbirliği çabasıdır; satıcıların kendi bünyemizde oluşturduğumuz bir ortamda araçlarını değerlendiriyoruz” diyor. “Bu tekniklere ve kapsam belgesine dayanarak hangi teknikleri seçeceğimizi veya neyi seçmeyeceğimizi bilmiyorlar.”
MITRE ATT&CK Çerçevesi şu şekilde bilinir: taktik ve tekniklerin sınıflandırması Siber saldırganlar tarafından kullanılıyor ancak MITRE her yıl kurumları hedef alan en yeni tehditlere karşı güvenlik ürünlerinin testlerini de gerçekleştiriyor. Örneğin 2024’teki tatbikat, ulusal hedefleri finanse etmek için genellikle fidye yazılımını kullanan LockBit hizmet olarak fidye yazılımı grubu, Cl0p fidye yazılımı çetesi ve Kuzey Kore devleti destekli tehdit gruplarının saldırılarını taklit etti.
MITRE, test ortamında Windows ve MacOS’u hedef alanlar da dahil olmak üzere çeşitli fidye yazılımı saldırılarının taklit edildiğini söyledi. Aralık 2024 beyanı.
2025 için, Yönetilen Hizmetler Değerlendirmesi olarak bilinen değerlendirmenin bir bölümü, “bulut tabanlı saldırılara, müdahale/sınırlama stratejilerine ve olay sonrası analize” odaklanacak. organizasyonun senaryo taslağı.
2024 Değerlendirmelerine diğer 18 şirketle birlikte katılan Trend Micro’nun siber güvenlikten sorumlu başkan yardımcısı Greg Young, şirketlerin ATT&CK Değerlendirmelerini iki şekilde kullanabileceğini söylüyor.
“İçin [a company’s] satın alma kararları, bu bir tür veri girişidir – tek veri girişi olmamalıdır çünkü MITRE testleri birkaç teknik ve taktiğe göre olağanüstü derecede dardır” diyor. “İkinci bölüm için testler [can inform] şirketlerin kendi güvenlik operasyon merkezleri ve kendi kırmızı ekip oluşturma davranışları; buna bakıp şöyle diyorlar: ‘Peki, bugün düşmanlar ne kullanıyor?'”
Daha Gerçekçi Rakipler Geliştirmek
ATT&CK değerlendirmeleri, dünya çapındaki analistlerin hem MITRE’nin şirket içi siber tehdit istihbarat ekibinden hem de genel olarak CTI topluluğundan toplanan siber güvenlik gözlemlerini ve tehdit raporlarını kullanıyor. Grup, saldırılar hakkında bilgi topluyor ve değerlendirmeler için düşmanları seçiyor. Kırmızı geliştirme ekibi, seçilen rakipler tarafından kullanılan mevcut teknikleri taklit etmek için bir dizi araç oluştururken, tespit ekibi (mavi ekip) bu yaklaşımların değerlendirme açısından meşru olup olmadığını doğrular.
MITRE iki ayrı test turu yürütüyor. Bunlardan ilki, kuruluşun bir kara kutu test ortamı oluşturduğu ve değerlendirilen satıcıya genel tehdit kategorisi dışında saldırı hakkında hiçbir bilgi vermediği yönetilen hizmet turudur. Bir işletme turunda satıcıya, rakipler hakkında, Çin veya Kuzey Kore gibi bir ulus devlet olup olmadıkları veya başka taktikler kullanıp kullanmadıkları gibi teknik kapsam ve potansiyel bilgiler verilir.
Crumpton, birçok test kuruluşu gibi MITRE’nin de senaryolarının çeşitli yönlerinde bazı gerilemelerle karşı karşıya kaldığını söylüyor.
“Bu sene aldığımız en büyük yorumlardan biri yanlış pozitif gürültü getirmemizdi [such as] zararsız kullanıcı faaliyeti — bazı satıcılar ‘Hey, bu kötü niyetli faaliyet olarak kabul edilebilir’ diye savundu,” diyor ve şöyle devam ediyor: “Sanırım zararsız kullanım örneklerinden biri güvenlik duvarını devre dışı bırakmaktı. Satıcılardan biri şöyle dedi: ‘Hey, şirketlerimizin sistem yöneticileri güvenlik duvarını asla devre dışı bırakmaz.'”
Değerlendirmeler İyileştirmeyi Zorluyor
Crumpton, satıcıların performanslarına göre derecelendirildiğini ancak odak noktasının hem satıcılara hem de işletmelere savunmalarını nasıl geliştirebilecekleri konusunda bilgi vermek olduğunu söylüyor.
“Sonuçta araçları geliştirmek için oradayız” diye açıklıyor. “Eğer bu düşmanı taklit ediyorsak ve aracınızın tespit edemediği bir teknik bulursak, bu tekniği tespit edebilmeniz için aracınızı geliştirmenize yardımcı olabilir miyiz? Bence bu, müşterilerin veya topluluğun da bakması gereken bir şey. “
Trend Micro’dan Young, savunucuların ATT&CK değerlendirmelerinden de yararlanarak test edilen tehditleri tespit etmek ve bunlara karşı koruma sağlamak için taktik kitapları oluşturabileceğini söylüyor. ATT&CK Değerlendirmesi sırasında, MITRE etkinliği günlüğe kaydeder ve ekran görüntüleri alırkuruluşlara saldırının ayrıntılı bir resmini veriyor ve ATT&CK Çerçevesine göre adımların haritasını çıkarıyor.
“Düşmanların şu anda bu tür bir teknik kullandığını, örneğin bu tür bir yanal hareket kullandıklarını veya bu tür bir kaynağın peşine düşeceklerini bilmek, bu durum için son derece yararlı. [a company] savunmalarını tasarlamak” diyor. “Neredeyse [ATT&CK] Değerlendirmelerden ziyade çerçeve, ancak bu sizin amacınıza bağlıdır.”