Uygulamalar ortak bir saldırı noktasıdır, ancak saldırganların erişimi, manevra yapma ve uygulamalar içinde ve arasında kargaşa yaratma şekli her zaman MITER’in ATT & CK çerçevesine düzgün bir şekilde sığmaz.
Oligo Security’deki ekip, geliştirme saldırısı matrisi olarak adlandırdığı yeni bir çerçeve yayınlıyor, daha geniş olarak tanımladığı, savunucuların ve kuruluşların, saldırganların uygulamaları nasıl kullandıklarını ve sık sık yaptıkları eylemleri daha iyi anlamalarına ve tanımlamalarına yardımcı olmak için boşlukları dolduran boşlukları dolduruyor.
Oligo Security’nin kurucu ortağı ve CTO’si Gal Elbaz, “Bugün bildiğimiz yaklaşımların çoğu, eksploit sonrası tekniğe ve altyapı ve uç noktaya odaklanıyor” dedi. Bu, saldırganların nasıl yerleştiğinin temel nedenini anlamadan bir saldırının belirtisini ele almaya benzer.
Tehdit istihbarat ve kurumsal güvenlik liderlerinden-ve MITER’ın kendisinden-büyüyen ve destek üzerine inşa edilen çaba, uygulama saldırısı yaşam döngüsüne ilişkin MITER ATT & CK çerçevesindeki her taktiği hitap eder: ön giriş, saldırı, müdahale sonrası ve etki. Elbaz, “Bu taktiklerin her katmanı, uygulama katmanında gerçekleşen tekniklerle kullanılmaktadır” dedi.
Uygulama saldırısı matrisi, kullanılmış bir güvenlik açığı, atanmış kontrol, kimlik bilgisi olmadan giriş veya yazılım veya yazılım geliştirme araçları aracılığıyla bir tedarik zinciri uzlaşması arasında ayrım yapan uygulama düzeyinde meydana gelenleri ele alır.
Ayrıca, istismarın nasıl gerçekleştiğini tam olarak ayırt ederek, keyfi bir dosyanın komut enjeksiyonu, hafif dizin erişim protokolü enjeksiyonu, XML enjeksiyonu veya SQL enjeksiyonu gibi belirli taktikleri içerecek şekilde uzaktan kod yürütme kategorisini genişletir.
Elbaz, en eşdeğer miter tekniğinde, konteyner matrisi, “Konteyner içinde neler olduğu hakkında hiçbir şey konuşmaz, ister bir python paketi veya java veya go ya da düğüm tarafından tehlikeye atılan uygulama katmanı olsun, ya da sadece saldırı eylemini anlama yeteneği” dedi Elbaz.
Gönderme, halka açık bir uygulamanın istismarının-başlangıç erişim için ortak bir teknik-geniş olduğunu ve yaklaşık 65 farklı saldırı kapsayan.
Oligo Security’nin AI güvenlik araştırmacısı Avi Lumelsky, uygulama saldırısı matrisinin, kamuya açık bir uygulama tekniğinin kullanımı altında gruplandırılan bu düzinelerce saldırıyı gerçek dünya senaryolarına ayırdığını söyledi.
Lumelsky, “Miter de bunları kapsıyor, ancak nerede koşarlarsa çalışsınlar, uygulamalara çok, çok özel olan daha spesifik alt tekniklere ve tekniklere ayrılmaya çalıştık” dedi. “Bulut uygulamalarına odaklanıyoruz, ancak bir konteyner olsun ya da olmasın, bulut sağlayıcının ne olduğu umrumda değil. Bize göre bir uygulama bir uygulama.”
Oligo Security’nin GitHub’da açık kaynak olarak yayınlanmayı planladığı bilgi tabanı, uygulama katmanı tehditleri ve hafifletme adımları hakkında bilgi kategorize etmek ve alışverişi için bir çerçeve ve taksonomi içerir. 2022 yılında kurulan İsrail merkezli şirketin liderleri, bu konjonktif çerçevenin, saldırganların siber güvenlik sistemlerini nasıl atlattığını, Web, mobil ve mikro hizmet ortamlarında uygulama güvenlik açıklarını ve güvenlik kör noktalarını nasıl atlattığını anlamak için gerekli olduğunu iddia ediyor.
Elbaz, “Yeni matrisimiz, bu yeni yaklaşım, tam olarak vahşi doğada tespit edilen saldırılar olan uygulama seviyesine odaklanıyor” dedi. Yetkili, Log4shell, Moveit ve Solarwinds gibi en yıkıcı saldırıların bazılarının uygulama bağlamlarında gerçekleştirildiğini de sözlerine ekledi.
Elbaz, “Uygulamanın içinde neler olduğunu izleyemeyiz ve bu saldırganlar için en büyük kör nokta ve diğer güvenlik araçları tarafından gerçekten görünmez ve tespit edilememe yetenekleri oldu” dedi. “Uygulama saldırısı matrisi, gerçek dünya uygulama saldırı teknikleri için ilk özel çerçevedir.”
Uygulama saldırısı matrisi, Oligo Security’nin endüstri çapında destek ile devam eden bir proje olarak öngördüğü bir topluluk çabasıdır. “Bu herkesin sorunu,” dedi Lumelsky. “Bence herkes bunu anlıyor ve herkesi katkıda bulunmaya davet ediyoruz.”