Siber saldırı döngüsü nedir?

Lockheed Martin 2011'de, saldırı döngüsü adı verilen askeri bir kavramı siber güvenlik sektörüne uyarladı ve adını siber saldırı döngüsü koydu. Saldırı döngüsü gibi, siber saldırı döngüsü de bir saldırının aşamalarını tanımlar ve savunmadaki kişilere her aşamada saldırganların standart taktik ve tekniklerine ilişkin içgörüler sağlar. Her iki modelde de beklenti, saldırganların her aşamayı aynı sırada izlemesidir.

Siber saldırı döngüsü kullanıma sunulduğundan beri siber tehdit aktörleri taktiklerini geliştirdi ve artık siber saldırı döngüsünün her aşamasını izlemekten vazgeçti. Bununla mücadele kapsamında, güvenlik endüstrisindeki yaklaşım güncelleştirildi ve yeni modeller geliştirildi. The MITRE ATT&CK® matrisi, gerçek saldırılara dayanan taktik ve tekniklerin ayrıntılı bir listesidir. Siber saldırı zinciriyle benzer aşamaları kullanır ancak doğrusal bir sıra izlemez.

2017'de Fox-IT ve Leiden University ile işbirliği yapan Paul Pols, birleşik saldırı zinciri adlı başka bir çerçeve geliştirdi. Bu çerçevede hem MITRE ATT&CK matrisindeki hem de siber saldırı döngüsündeki öğeler 18 aşamalı bir modelde birleştirildi.

Keşif

Siber saldırı döngüsünde, siber saldırganların motivasyonları, araçları, yöntemleri ve teknikleri dahil olmak üzere genel yaklaşımlarını ve algılamayı nasıl atlattıklarını anlamak amacıyla bir dizi siber saldırısı aşaması tanımlanır. Siber saldırı döngüsünün işleyişini anlamak, savunmadaki kişilerin siber saldırıları en erken aşamalarında durdurmalarına yardımcı olur.

Silah haline getirme aşamasında kötü niyetli kişiler, hedeflenen işletmenin zayıflıklarından en iyi şekilde yararlanmak amacıyla kötü amaçlı yazılım oluşturmak veya bu yazılımı değiştirmek için keşif aşamasında ortaya çıkan bilgileri kullanır.

Kötü amaçlı yazılım geliştirdikten sonra siber saldırganlar, siber saldırıyı başlatır. En yaygın yöntemlerden biri, oturum açma bilgilerini paylaşmaları için çalışanları kandırmak amacıyla kimlik avı gibi sosyal mühendislik tekniklerini kullanmaktır. Kötü niyetli kişiler, çok güvenli olmayan herkese açık bir kablosuz bağlantıdan yararlanarak veya keşif aşamasında ortaya çıkan yazılım ya da donanım güvenlik açığını kötüye kullanarak giriş yapabilir.

Siber saldırı yapan kişiler kuruluşa sızdıktan sonra, sistemden sisteme yatay olarak hareket etmek üzere erişimlerini kullanır. Amaçları, kuruluşa zarar vermek için kullanabilecekleri hassas verileri, ek güvenlik açıklarını, yönetim hesaplarını veya e-posta sunucularını bulmaktır.

Kötü niyetli kişiler, daha fazla sistemin ve hesabın denetimini almak üzere, yükleme aşamasında kötü amaçlı yazılımları yükler.

Siber saldırganlar önemli miktarda sistemin denetimini elde ettikten sonra, uzaktan çalışmalarına olanak veren bir denetim merkezi oluşturur. Bu aşamada, izlerini kaybettirmek ve algılanmalarını önlemek için kod karartmadan yararlanırlar. Güvenlik uzmanlarını asıl hedeflerinden saptırmak için hizmet reddi saldırılarını da kullanırlar.

Bu aşamada siber saldırganlar tedarik zinciri saldırıları, veri sızdırma, veri şifrelemesi veya verileri bozmayı içerebilen birincil hedeflerine ulaşmak amacıyla bazı adımlar atar.

Lockhead Martin'in özgün siber saldırı döngüsünde yalnızca 7 adım olsa da çoğu siber güvenlik uzmanı, kötü niyetli kişilerin kurbanlarından para almak için fidye yazılımı kullanmak veya hassas verileri karanlık web'de satmak gibi, saldırıdan gelir elde etmek amacıyla attıkları bazı adımları da hesaba katmak için bu adımların sayısını 8'e çıkardı.

Siber saldırganların saldırılarını nasıl planlayıp yürüttüklerini anlamak, siber güvenlik uzmanlarının kuruluş genelindeki güvenlik açıklarını bulmalarına ve azaltmalarına yardımcı olur. Ayrıca, siber saldırının erken aşamalarındaki ihlal göstergelerini belirlemelerine de olanak verir. Pek çok kuruluş, proaktif bir şekilde güvenlik önlemleri almak ve olay yanıtını yönetmek için siber saldırı döngüsü modelinden yararlanır.

Tehdit analizi

Kuruluşu siber tehditlere karşı korumaya yönelik en önemli araçlardan biri  tehdit analizidir. İyi tehdit analizi çözümlerinde, güvenlik uzmanlarının siber saldırıları erkenden algılamalarına yardımcı olmak için kuruluş ortamındaki veriler sentezlenir ve eyleme dönüştürülebilir içgörüler sunulur.

Kötü niyetli kişiler genellikle kuruluşlara parolaları tahmin ederek veya çalarak sızar. Kuruluşa sızdıktan sonra hassas verilere ve sistemlere erişim elde etmek için ayrıcalıkları yükseltmeyi denerler. Kimlik ve erişim yönetimi çözümleri, yetkisiz kullanıcının erişim elde edip etmediğine ilişkin bir gösterge olabilecek anormal etkinlikleri algılamaya yardımcı olur. Ayrıca, kötü niyetli kişilerin çaldıkları kimlik bilgileriyle oturum açmasını zorlaştıran iki öğeli kimlik doğrulama gibi denetimler ve güvenlik önlemleri sunar.

Pek çok kuruluş, güvenlik bilgileri ve olay yönetimi çözümlerinin yardımıyla en son siber tehditlerin bir adım önünde olmaya devam eder. Güvenlik bilgileri ve olay yönetimi çözümlerinde güvenlik ekiplerinin önemli siber tehditleri önceliklendirip ele almaları için kuruluş genelindeki ve üçüncü taraf kaynaklardaki veriler toplanır. Çoğu güvenlik bilgileri ve olay yönetimi çözümünde, bilinen bazı tehditlere otomatik yanıt verilerek güvenlik ekiplerinin araştırması gereken olay sayısı azaltılır.

Bir kuruluşta yüzlerce veya binlerce uç nokta vardır. Şirketlerin iş yapmak için kullandığı sunucu, bilgisayar, mobil cihaz ve Nesnelerin İnterneti (IoT) cihazlarının tamamını güncel tutmak neredeyse imkansızdır. Kötü niyetli kişiler de bunu bildiğinden pek çok siber saldırı güvenliği ihlal edilmiş bir uç noktadan başlatılır. Uç noktada algılama ve yanıtlama çözümleri sayesinde güvenlik ekipleri bu cihazları tehditlere karşı izler ve keşfettikleri anda güvenlik sorunlarına hızla yanıt verebilir.

Kapsamlı algılama ve yanıt çözümleri uç nokta, kimlik, bulut uygulaması ve e-postaları koruyan tek bir çözümle uç noktada algılama ve yanıtlamayı bir adım ileriye taşır.

Her şirket, tehditleri etkili bir biçimde algılayıp bunlara yanıt vermek için gereken şirket içi kaynaklara sahip değildir. Bu kuruluşlar mevcut güvenlik ekiplerini güçlendirmek için, yönetilen algılama ve yanıt verme işlevi sunan hizmet sağlayıcılarına yönelir. Bu hizmet sağlayıcıları, kuruluşun ortamı izleme ve tehditlere yanıt verme sorumluluğunu üstlenir.

Siber saldırı döngüsünü anlamak, hem şirketlerin hem de kamu kuruluşlarının karmaşık ve çok aşamalı siber tehditlerine proaktif bir biçimde hazırlanıp yanıt vermelerine yardımcı olsa da, yalnızca bu çözüme bağlı kalmak kuruluşların diğer siber saldırı türlerine karşı savunmasız durumda kalmasına neden olabilir. Siber saldırı döngüsüne ilişkin birkaç yaygın eleştiri aşağıda verilmiştir:

• Kötü amaçlı yazılıma odaklanma. Özgün siber saldırı döngüsü çerçevesi kötü amaçlı yazılımları algılayıp bunlara yanıt vermek üzere tasarlandığından yetkisiz kullanıcıların, ihlal edilmiş kimlik bilgileriyle erişim elde etmesi gibi diğer saldırı türlerine karşı aynı ölçüde etkili değildir.

• Çevre güvenliği için ideal. Uç noktaları korumaya ağırlık veren siber saldırı döngüsü modeli, korunması gereken tek ağ çevresi olduğunda etkili bir biçimde çalışmıştır. Günümüzde şirketin varlıklarına erişen çok sayıda uzaktan çalışan, bulut ve sürekli artmaya devam eden cihaz sayısıyla birlikte her uç nokta güvenlik açığını ele almak neredeyse imkansız hale geldi.

• İç tehditlere karşı kullanılabilecek donanıma sahip olmama. Bazı sistemlere halihazırda erişimi olan içerideki kişileri siber saldırı döngüsü ile algılamak daha zordur. Bunun yerine, kuruluşların kullanıcı etkinliğindeki değişiklikleri izlemesi ve algılaması gerekir.

• Fazla doğrusal. Pek çok siber saldırı, siber saldırı döngüsünde özetlenen 8 aşamayı izlese de, bu aşamaları izlemeyen veya birden çok adımı tek eylemde birleştiren çok sayıda siber saldırı da vardır. Aşamaların her birine fazla ağırlık veren kuruluşlar bu siber tehditleri gözden kaçırabilir.

Lockhead Martin 2011'de siber saldırı döngüsünü tanıttığında, teknolojide ve siber tehdit alanında pek çok değişiklik oldu. Bulut bilişim, mobil cihazlar ve IoT cihazları insanların ve işletmelerin çalışma biçiminde dönüşüm sağladı. Siber saldırganlar, saldırılarını hızlandırıp geliştirmek amacıyla otomasyondan ve yapay zekadan yararlanmak da dahil olmak üzere, bu yeni teknolojilere kendi yenilikleriyle karşılık verdi. Siber saldırı döngüsü, siber saldırganların yaklaşımını ve hedeflerini dikkate alan proaktif bir güvenlik stratejisi geliştirmek için harika bir başlangıç noktası sunar. Microsoft Güvenlik, siber saldırı döngüsündeki tüm aşamalara karşı koruma sağlayan çok katmanlı bir savunma sistemi geliştirmeleri için kuruluşlara yardımcı olmak amacıyla, kapsamlı algılama ve yanıt ile güvenlik bilgileri ve olay yönetimini bir araya getiren birleşik SecOps platformunu sunar. Kuruluşlar da Microsoft Güvenlik Copilot'u gibi, siber güvenlik çözümlerine yönelik yapay zekaya yatırım yaparak, gelişen, yapay zeka destekli siber tehditlere karşı hazırlıklı hale geliyor.