Satıcı Dönüşünü Görmek: MITRE ATT&CK Değerlendirme Sonuçlarını Yorumlamak

   Ekim 4, 2023  Posted in CyberDefenseMagazine


2023 MITRE ATT&CK Kurumsal Değerlendirme sonuçları kısa süre önce yayınlandı ve bu da tek bir anlama geliyor; tüm katılımcı satıcılar kendilerini mümkün olan en iyi şekilde göstermek için çabalıyor. Ne yazık ki bu, düşük performans gösteren birçok satıcının, gerçek sonuçlar aksini gösterdiğinde, sonuçlarını iyi iş çıkarmış gibi gösterecek şekilde döndürmelerine yol açıyor. Satıcı topluluğu iplik eğirme konusunda o kadar iyi hale geldi ki, bu konuda uzman olmayanlar için bu çok zor. MITRE ATT&CK Değerlendirmesi çarpıklıkları görme süreci.

Aşağıda başlıca MITRE ATT&CK Değerlendirme kategorilerini, bunların nasıl ölçüldüğünü ve satıcı performansını değerlendirirken nelere dikkat edilmesi gerektiğini tartışacağız. Daha sonra katılımcıların web sitelerine gidebilecek ve tam olarak ne söylediklerini (ve söylemediklerini) anlayabileceksiniz.

GÖNYE ATT&CK Temelleri

MITRE Engenuity, saldırganların hedeflerine ulaşmak için kullandığı 14 geniş taktiğin genel süreci olan MITRE ATT&CK Çerçevesini geliştirdi. Gerçek hayattaki saldırılar 14 taktiğin herhangi birini içerebilir. Her taktik, taktiğin amacına ulaşmak için düşman tarafından gerçekleştirilen fiili faaliyeti tanımlayan birden fazla teknik içerir.

Aşağıda her taktik için kullanılan ana tekniklerle birlikte MITRE’nin üstteki 14 taktiği temsili yer almaktadır. Bazı tekniklerin, tekniği gerçekleştirmek için kullanılabilecek adımları temsil eden alt tekniklere sahip olduğunu unutmayın.

MITRE'nin 14 taktiği temsili

MITRE ATT&CK Kurumsal Değerlendirmesi

MITRE her yıl, bilinen bir tehdit aktörünün kullandığı taktik ve teknikleri simüle ederek bir saldırıyı taklit ediyor. Simüle edilen saldırı dizisi, her biri genellikle MITRE ATT&CK Çerçevesinde bir Taktiği temsil eden birden fazla Adımdan oluşur. Bu yıl, saldırı dizisi 19 Adımdan oluşuyordu ve bazı Taktikler birden çok kez kullanıldı. Örneğin, bu yıl 19 Adımın 6’sı “Yanal Hareket” taktiğinin bir şekliydi.

Bunu açıklamaya yardımcı olmak için, hem Windows hem de Linux’u hedefleyen çok katmanlı bir kampanyanın 1. Gün testinde kullanılan 10 Adımı burada bulabilirsiniz. Bu Adımların her biri bir Taktiği temsil eder.

  1. İlk Uzlaşma
  2. İlk Erişim
  3. Keşif ve Ayrıcalık Yükseltmesi
  4. Kalıcılık
  5. Etki Alanı Denetleyicisine Yanal Taşıma
  6. Kimlik Bilgisi Erişimi
  7. Keşif
  8. Kimlik Bilgisi Erişimi
  9. Linux’a Yatay Geçiş
  10. Sulama deliği

Adımlar ve Alt Adımlar

MITRE ATT&CK Değerlendirmesi, her biri genellikle MITRE ATT&CK Çerçevesindeki bir Taktiği taklit eden birkaç Adıma bölünmüştür.

Her Adım için MITRE, genellikle MITRE ATT&CK Çerçevesindeki bir Tekniği taklit eden birden fazla Alt adım kullanır.

Örneğin 2023 Değerlendirmesinde MITRE, 143 Alt Adıma bölünmüş 19 Adım kullandı. MITRE ATT&CK Değerlendirmesi testleri 4 gün boyunca yapılır. Aşağıda testleri daha ayrıntılı olarak ele alacağız.

  • 1. Gün – Birinci senaryo için tehditleri tespit etme ve sınıflandırma yeteneğini değerlendirin.
  • 2. Gün – İkinci senaryo için tehditleri tespit etme ve sınıflandırma yeteneğini değerlendirin.
  • 3. Gün – 1. ve 2. Günlerde kaçırılan her şeyi değerlendirin ve Yapılandırma Değişiklikleriyle test edin.
  • 4. Gün – Korumaları Değerlendirin.

Algılama ve Görünürlük

MITRE sonuçlarını tartışırken ciddi kafa karışıklığına neden olan bu iki terimi inceleyelim. Bu terimleri anlamadan MITRE sonuçlarını doğru analiz etmek mümkün değildir.

Tespit etme

İlginçtir ki, MITRE ATT&CK Değerlendirme sonuçlarını tartışırken insanlar genellikle tespit edilen Adımların sayısını ölçerken Tespit terimini kullanırlar. Adım içindeki bir veya daha fazla Alt Adımın algılanması durumunda Adım Algılanmış olarak kabul edilir. Örneğin, bir Adım 9 Alt Adımdan oluşuyorsa ve 9 Alt Adımdan 1’i Algılanırken 9 Alt Adımdan 8’i kaçırılırsa, o Adımın başarıyla Algılandığı kabul edilir. Satıcı, Adım içindeki bir Alt Adımı Tespit ettiği sürece, bunu Adımın başarılı bir Tespit Edilmesi olarak kabul eder.

Uç bir örnek, %100 Tespit elde ettiğini iddia eden bir satıcının 19 Adımın her birinde çeşitli Alt Adımlardan yalnızca 1’ini Tespit etmesi olabilir. Bu yıl kullanılan 143 Alt adımla bu, satıcının 124 Alt adımı kaçırdığı (tehditlerin %87’sini kaçırdığı) ancak yine de %100 Tespit ile övündüğü anlamına geliyor. Genel olarak Tespit ölçümü, MITRE ATT&CK Değerlendirmesinin düşük çubuğunu temsil eder.

Görünürlük

Görünürlük genellikle tüm Adımlarda tespit edilen Alt Adımların toplam sayısını ifade eder. Toplam Alt Adım sayısından tespit edilen Alt Adım sayısı olduğundan hesaplama biraz daha basit olma eğilimindedir. Bazen satıcılar Algılama ve Görünürlük terimlerini karıştırır, bu nedenle gerçekte hangi tanımdan bahsettiklerini belirlemek için biraz araştırma yapmanız gerekir. Zayıf Görünürlük sergileyen bir satıcı neredeyse her zaman aşılması gereken çok daha düşük bir engel olan Tespit’e odaklanacaktır.

Her Adım için en az bir algılamaya sahip olan ancak Alt Adımlarda daha düşük algılama düzeylerine sahip olan birçok satıcı, Görünürlük performansı (algılanan Alt adımların yüzdesi) oldukça düşük olduğunda %100 Algılama iddiasında bulunacaktır. Örneğin, bu yılki Değerlendirmede %67 Görünürlüğe sahip bir satıcı, blogunda %100 Tespit elde ettiğini yazdı. Tüm Alt adım tehditlerinin üçte birini kaçırdıklarından bahsetmediler.

Artık %100 Görünürlüğün, %100 Tespitten çok daha etkileyici bir sonuç olduğunu görebiliyoruz. %100 Görünürlük, %100 Tespit anlamına gelir, ancak %100 Tespit, Görünürlük performansına ilişkin hiçbir gösterge vermez.

Analitik Kapsam

Alt adımları gecikme veya yapılandırma değişikliği olmadan tespit etme yeteneği, uç nokta koruma platformları için çok önemlidir. Her tespitin kalitesi aynı zamanda platformun yararlı bağlam sağlama yeteneğinin de önemli bir ölçüsüdür. güvenlik analistleri bir uyarıyı araştırırken aynı zamanda gerçek tehditlere karşı yanlış pozitif uyarıların da göstergesidir. Bir uyarıyla ne kadar yararlı bilgi sağlanabilirse o kadar iyidir.

MITRE her bir Alt adım tespitine aşağıdaki tespit kategorilerinden birini atar.

  • Teknik – eylemin nasıl yapıldığına dair bilgi verir veya “ne yapıldı, neden yapıldı ve nasıl yapıldı” sorusunun yanıtlanmasına yardımcı olur
  • Taktik – faaliyetin potansiyel amacı hakkında bilgi verir veya “ne yapıldı ve neden yapıldı” sorusunun yanıtlanmasına yardımcı olur
  • Genel – “neden” veya “nasıl”, “ne yapıldığı” ile ilgili herhangi bir bağlam olmadan, kötü niyetli/anormal bir olayın meydana geldiğini belirten bilgi verir
  • Telemetri – kötü niyetli etkinliğin gerçekleştiğini belirtmeden veya bağlam belirtmeden, meydana gelen olaylarla ilgili bilgi verir
  • Yok – gerçekleştirilen eylemlere ilişkin hiçbir veri sunulmadı. Kaçırılan tespit

Genel, Taktik veya Teknik olarak sınıflandırılan tespitler, EDR aracının eyleme dönüştürülebilir tehdit tespitleri sağlama yeteneğinin bir ölçüsü olan “Analitik Kapsam” tanımı altında gruplandırılır. Analitik Kapsam ile ne kadar çok Alt adım tespit edilirse o kadar iyidir.

Analitik Kapsam

Büyük Uyarı – Yapılandırma Değişiklikleri ve Gecikmeli Tespitler

Burada, bir tedarikçinin performansını adil bir şekilde değerlendirmek için anlaşılması gereken, MITRE ATT&CK Değerlendirmesinin kafa karıştırıcı iki ek unsuru daha yer almaktadır.

Yapılandırma Değişiklikleri

Senaryolar tamamen test edildikten sonra MITRE, satıcıların sistemlerinde değişiklik yapmasına ve tüm saldırı dizisini yeniden test etmesine olanak tanır. Yani satıcı, tespitleri kaçırdığını anladıktan sonra, sistem ayarlarını kapsamlı bir şekilde değiştirebilir ve gözden kaçtığı bilinen tehditleri tespit etmeye çalışabilir. Bu yaklaşım gerçek dünya senaryolarında hiçbir anlam ifade etmese de, test ekibinin yapılandırma hataları yapmış olabileceğini kabul eder ve ekibin hataları düzeltmesine olanak tanır. Her güvenlik uzmanı, kendilerini tehlikeli bir tehdidin tekrar gözden geçirildiği zamana geri götürebilecek zaman makinesini satın almak ister.

Bir satıcının sonuçlarının konfigürasyon değişiklikleriyle mi yoksa konfigürasyon değişiklikleri olmadan mı oluştuğunu bilmek zorunludur. Bu yıl, bir tedarikçinin Analitik Kapsamı sonucu konfigürasyon değişikliklerinden sonra %78’den %98’e çıkarken, bir diğeri %96’dan %100’e çıktı. Benzer şekilde, bir satıcının Görünürlük sonucu, yapılandırma değişikliklerinden sonra %85’ten %100’e çıktı. Tüm bu satıcılar yüksek puanlarını övüyorlar ancak konfigürasyon değişikliklerinden hiç bahsetmiyorlar.

Gecikmeli Tespitler

Test sırasında algılamalar gerçek zamanlı (veya gerçek zamanlıya yakın) olarak gerçekleşebilir veya kötü amaçlı etkinliğin gerçekleşmesinden dakikalar veya saatler sonra gecikebilir. Tespitin zamanında gözlemlenmemesi durumunda, gecikmeli tespit değiştirici not edilir. Bu genellikle uç nokta aracısının kendisi sunulan verilere dayanarak bir tehdidi tespit edemediğinde ortaya çıkar. Arka uç sistemi ek verileri topladıktan sonra kötü amaçlı bir etkinliğin meydana geldiğini belirleyebilir.

Platformun gerçek zamanlı kararlar almasıyla ortaya çıkan gerçek zamanlı uyarıların aksine, gecikmeli uyarılar dakikalar ila saatler sürebilir. Gerçek dünyada gerçek zamanlı uyarılar kritik öneme sahiptir. Örneğin, bir satıcı bir Fidye Yazılımını gerçek zamanlı değil de gecikmeli bir şekilde tespit ederse, etkilenen makine, satıcı bir algılama sunmadan önce şifrelenebilir. Gecikmeli uyarılar uyarı olmadığı anlamına gelir. Uyarı olmaması koruma olmadığı anlamına gelir. Bu nedenle, kötü amaçlı faaliyetlere karşı otomatik, gerçek zamanlı uyarılara sahip olmak her zaman daha iyidir.

Korumalar

MITRE ayrıca satıcılara, tespit değerlendirmesi sırasında kullanılan saldırı dizilerinin bir alt kümesinden ödün verilen Koruma senaryolarına katılma fırsatı da sunar. Koruma değerlendirmesi, son test gününde yapılan kısa bir testtir. Bu yıl Koruma testi, her biri toplam 129 adımdan oluşan birden fazla saldırı adımından oluşan 13 saldırı dizisine bölündü. Dizilerden biri yalnızca 2 adımdan oluşurken diğerleri bir düzineden fazla adımdan oluşuyordu. Sonuçlar, her bir dizide adımlardan herhangi birinin önlenip engellenmediğini ve önlemenin dizide ne kadar erken gerçekleştiğini içerir.

Koruma testi için, her bir dizide erken bir adımın önlenmesi, saldırı dizisinin önlendiği düşünüldüğünden sonraki adımların çalıştırılmaması anlamına gelir. Bu yaklaşım 129 adımdan kaçının engellenebileceğini test etmez bireysel olarak, ancak 13 diziden kaç tanesi dizinin herhangi bir yerinde bloke edildi. Bu, bir satıcının dizideki ilk 14 adımı kaçırabileceği, ardından 15. adımı engelleyebileceği anlamına gelir.bu ve sekansın önlenmiş sayılması için son adım. Veya satıcı ilk adımı engelleyebilir ve belki de dizideki sonraki adımları kaçırabilir, ancak bu test edilmemiştir. %100 Koruma, her saldırı dizisindeki adımlardan birinin engellendiği anlamına gelir.

Koruma sonuçları, Değerlendirmenin Tespit bölümünde olduğu gibi herhangi bir bağlamsal bilgiyi dikkate almaz. Bir tehdit engellenirse satıcı, tehdidin kendisi hakkında bilgi ekleyebilir veya eklemeyebilir ancak bu, test sonuçlarına dahil edilmez. Koruma sonuçları önemlidir ancak bu segmentte harcanan çok kısa süre ve test sınırlamaları göz önüne alındığında, Görünürlük ve Analitik Kapsam kadar önemli değildir.

Son düşünceler

Birçoğu yalnızca satıcının sonuçlarını iyi bir şekilde ortaya koymak amacıyla kafa karıştırıcı bir formatta hazırlanmış olan yaratıcı satıcı grafiklerini incelerken, yukarıdaki hususları aklınızda bulundurun.

Şu ana kadar önemli olan MITRE ATT&CK Değerlendirme önlemleri şunlardır:

  • Görünürlük (Alt adımlar algılandı) önce Yapılandırma Değişiklikleri ve olmadan Gecikmeler
  • Analitik Kapsam (Teknik, Taktik veya Genel tespitler) önce Yapılandırma Değişiklikleri ve olmadan Gecikmeler

MITRE ATT&CK Değerlendirmesi, bir güvenlik satıcısı seçerken kararınızı bildirmek için kullanılabilecek değerli bir kaynaktır. En iyi performansı gösteren MITRE ATT&CK Değerlendirmesi, çözümü gerçek dünyadaki tehditleri tespit etmede muhtemelen iyi performans gösterecek bir satıcıyı gösterir. Her tedarikçinin yeteneklerini doğru bir şekilde değerlendirebilmeniz için MITRE ATT&CK Değerlendirme sonuçlarının nasıl yorumlanacağını anlamak önemlidir; önemli ölçümleri vurgulayıp önemsiz olanları hariç tutun.

Bu bağlantıyı takip et MITRE Engenuity ATT&CK® Evaluations: Enterprise – 2023 Turla Sürümü’nün tam analizini görüntülemek için.



Source link