MITRE ATT&CK

ATT&CK, real dünya müşahidələri əsasında pisniyyətli insanların istifadə etdiyi texnikaları özündə ehtiva edən bir məlumat bazasıdır. Bu məlumat bazası, attacker-lərin bir əməliyyat zamanı sistemlərə necə sızdığınıza fokuslanır, hansı platformalara (məs. kompüter, telefon) hücum etdiklərini öyrənir. ATT&CK, bu hücumların müxtəlif mərhələlərini və hakerlərin istifadə etdiyi texnikaları əks etdirir.

ATT&CK niyə yaradıldı?

MITRE, qabaqcıl persistent təhdidlərin Windows korporativ şəbəkələrinə qarşı istifadə etdiyi ortaq taktikaları, texnikaları və prosedurları (TTP) sənədləşdirmək üçün 2013-cü ildə ATT&CK layihəsinə start verdi. ATT&CK, attacker-lərin davranışlarını sənədləşdirmək üçün yaradılmışdı. Bu sənədlər, FMX adlı bir MITRE tədqiqat layihəsi çərçivəsində istifadə olunacaqdı. FMX-in məqsədi, şəbəkə hücumlarından sonra hakerləri tapmaq üçün istifadə olunan məlumatları və analizləri araşdırmaq idi. Bu işlərin çoxu "Finding Threats with ATT&CK-based Analytics" və "Cyber Analytics Repository" adlı sənədlərdə qeyd olunub.

MITRE ATT&CK FRAMEWORK nədir?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) Framework, kibertəhlükəsizlik sahəsində attacker-lərin istifadə etdiyi taktika, texnika və ortaq məlumatları özündə saxlayan bir məlumat bazasıdır. MITRE Corporation tərəfindən hazırlanıb. Framework, müdafiə və hücum tərəflərinə, kibertəhlükəsizlik mütəxəssislərinə və tədqiqatçılarına kömək etmək üçün hazırlanıb.

MITRE ATT&CK Framework-un əsas məqsədi odur ki, müdafiə tərəflərindəki çalışanlar, hakerlərin istifadə edə biləcəyi taktika və texnikaları anlasın və kiberhücumlarla mübarizə apararkən daha məhsuldar ola bilsin. Bunun sayəsində, kibertəhlükəsizlik mütəxəssisləri və təşkilatlar, kiberhücumlara qarşı daha yaxşı müdafiə strategiyaları hazırlaya, potensial hücumları aşkarlama və önləmə baxımından daha proaktiv bir yanaşma nümayiş etdirə bilər.

Kimlər istifadə edir?

  • Kibertəhlükəsizlik mütəxəssisləri: Mütəxəssislər, ATT&CK Framework-ü istifadə edərək müdafiə strategiyalarını yaxşılaşdırmaq və təhlükəsizlik boşluqlarını bağlamaq məqsədilə hakerlərin istifadə edə biləcəyi taktika və texnikaları anlamaq üçün istifadə edir.

  • Kibertəhlükəsizlik analitikləri: Analitiklər, kiber insidentləri təhlil edərkən Framework-ü istifadə edərək hakerlərin iz buraxa biləcəyi müəyyən texnikaların izlərini axtara bilər.

  • Red və Blue komanda üzvləri: Red komandası, təşkilat daxilindəki təhlükəsizlik boşluqlarını test etmək məqsədilə hücum ssenarilərini yaratmaq üçün, Blue komanda isə hücumları müəyyən etmək və müdaxilə etmək üçün bunu istifadə edir.

  • Kiber təhdid kəşfiyyatı analitikləri: Bu analitiklər, haker qruplarının müəyyən taktika və texnikalarını anlamaq və izləmək üçün Framework-ü istifadə edə bilərlər.

Matrices

Framework-ün əsas hissəsidir və hakerlərin istifadə etdiyi taktikaları və bu taktikalar altında yer alan texnikaları cədvəllər halında göstərir.

Tactics

Hakerlərin məqsədlərinə çatması üçün istifadə etdiyi geniş strategiyalardır. Nümunə taktikalar arasında "Gizli qalma", "Kəşfiyyat" və "Sübutları təmizləmə" kimi başlıqlar vardır.

Techniques

Taktikaların altında yer alan daha xüsusi hücum üsullarıdır. Hər bir taktika altında bir neçə texnika mövcud ola bilər. Bunlara "Hesabı gizləmə", "Kod imzalarını dəyişdirmə" və "E-poçt qoşmalarını istifadə etmə" kimi başlıqlar daxildir.

Data sources

ATT&CK Framework, taktika və texnikaların aşkarlanması və izlənilməsi üçün istifadə edilə biləcək müxtəlif data mənbələrini müəyyən edir.

Groups

Framework, konkret hücum qruplarını (APT) və onların taktika və üsullarını nümunələrlə müəyyən edir.

Software

Burada hakerlərin istifadə etdiyi yazılımlar və necə istifadə olunduğu qeyd olunur.

Nümunə ssenari

Bir şirkətin kibertəhlükəsizlik komandasında çalışan bir Cyber Threat Intelligence (CTI) analitikisiniz. Son vaxtlar şirkətin şəbəkəsində zərərli yazılım hücumlarının artdığını müşahidə edirsiniz. Ancaq, istifadə etdiyi üsulları və hücumların baş verdiyi mərhələləri tam başa düşməkdə çətinlik çəkirsiniz. Bu da, müdafiə strategiyasını hazırlamağa maneə törədir.

  1. Problemin müəyyənləşdirilməsi: İlk addım, şirkətin şəbəkəsində artan zərərli yazılım hücumlarını və hakerin hədəflədiyi nöqtələri təfsilatlı şəkildə təhlil edirsiniz. Hücumların xüsusiyyətlərini və zərərli yazılımın davranışlarını müəyyən etmək üçün sistemin log fayllarını və digər mənbələrdən əldə edilən məlumatları incələyirsiniz.

  2. MITRE ATT&CK Framework Araşdırması: Hakerlərin potensial fəaliyyətlərini anlamaq üçün Framework-dəki taktika və texnikaları istifadə edərək araşdırma apararsınız. Bunun üçün də Framework-də yer alan Execution taktikasına fokuslanırsınız və altındakı fərqli texnikaları incələyirsiniz.

  3. Execution texnikalarının incələnməsi: Execution taktikasına əsaslanaraq, Framework-də “Command-Line Interface”, “Scheduled Task” və “Scripting” kimi texnikaları incələyirsiniz.

  4. Hücum analizi: Aşkarlanmış zərərli yazılım hücumlarını Framework-dəki Execution texnikaları ilə müqayisə edirsiniz. Bu təhlilin nəticəsində, hakerlərin hücumları həyata keçirmək üçün "Scheduled Task" texnikalarını istifadə etdiyini müəyyən edirsiniz.

  5. Həll və müdafiə: Hakerlərin tez-tez istifadə etdiyi "Scheduled Task" üsulunu anladığınız üçün, şirkətin şəbəkə təhlükəsizliyini gücləndirmək və bu cür hücumları müəyyən etmək üçün daha yaxşı bir müdafiə strategiyası yaradırsınız. "Scheduled Task"lərin izlənilməsini və zərərli (ya da lazımsız) tapşırıqların aşkarlanmasını təmin edən bir təhlükəsizlik tədbiri tətbiq edə və ya istifadə edilən alətlərin imzalarını müəyyənləşdirmək üçün güncəl bir kiber təhdid kəşfiyyatı databazasını inteqrasiya edə bilərsiniz.

Nəticə etibarilə, MITRE ATT&CK Framework vasitəsilə hakerlərin hücum mərhələlərini və istifadə edə biləcəkləri texnikaları daha yaxşı anlayaraq şirkətin müdafiə strategiyasını təkmilləşdirmək və təhdidlərə qarşı daha proaktiv bir yanaşma tətbiq etmək üçün lazımi məlumatlara sahib olursunuz.

PreviousPath TraversalNextIDS, IPS və Firewall

Last updated