Siber güvenlik ölüm zinciri, siber izinsiz girişlerin belirlenmesi ve önlenmesine yönelik kavramsal bir çerçevedir. Kökeni, "ölüm zinciri" teriminin bir saldırının yaşam döngüsündeki aşamaları tanımlamak için kullanıldığı askeri stratejiye dayanmaktadır. Siber güvenlik bağlamında, dünya çapında çıkarları olan bir Amerikan havacılık, savunma ve ileri teknoloji şirketi olan Lockheed Martin bu kavramı uyarlamıştır. Siber saldırıları farklı aşamalar aracılığıyla sistematik olarak tanımlamak ve bunlara karşı koymak için bir çerçeve oluşturdular.
Bu konseptin daha da geliştirilmesi, geleneksel ölüm zincirini MITRE ATT&CK çerçevesiyle bütünleştiren Birleşik Ölüm Zincirinin geliştirilmesine yol açmıştır. Bu entegrasyon, saldırı tekniklerinin, taktiklerinin ve prosedürlerinin (TTP'ler) daha kapsamlı ve incelikli bir şekilde anlaşılmasını sağlayarak kuruluşların siber tehditleri tespit etme, analiz etme ve azaltma becerilerini geliştirmektedir.
Lockheed Martin Siber Ölüm Zinciri modeli, siber saldırı sürecini yedi farklı aşamaya ayırarak siber güvenlik uzmanlarının siber tehditleri tanımlaması, önlemesi ve bunlara karşı koyması için sistematik bir çerçeve sunar:
Bu ilk aşama, saldırganın hedef hakkında bilgi toplamasını içerir. Bu, sistemlerdeki güvenlik açıklarının tespit edilmesini, değerli verilerin bulunmasını ve güvenlik savunmalarının anlaşılmasını içerebilir. Saldırganlar sosyal mühendislik, genel bilgi araştırmaları ve ağ taraması gibi teknikler kullanabilir.
Bu aşamada saldırgan, belirlenen güvenlik açıklarından faydalanmak için özel olarak tasarlanmış bir siber saldırı aracı oluşturur. Bu genellikle bir uzaktan erişim malware bir istismarla eşleştirilerek teslim edilebilir bir yük haline getirilmesini içerir. Amaç, bu yükün tespit edilmeden hedef ağa sızabilmesini ve ağ içinde çalışabilmesini sağlamaktır.
Teslimat aşaması, saldırganın silah haline getirilmiş yükü hedefe ilettiği aşamadır. Yaygın dağıtım yöntemleri arasında phishing e-postaları, kötü amaçlı web siteleri veya USB aygıtları bulunur. Amaç, hedefin bir dosyayı açarak, güvenliği ihlal edilmiş bir web sitesini ziyaret ederek ya da virüslü bir cihazı bağlayarak yükü tetiklemesini sağlamaktır.
Bu aşama, yük hedef sistemdeki bir güvenlik açığını etkinleştirdiğinde ve istismar ettiğinde ortaya çıkar. İstismar, saldırganın hedefin ağına veya sistemine erişim kazandığı kritik noktadır.
Başarılı bir istismarın ardından saldırgan bir uzaktan erişim aracı veya arka kapı yükler. Bu, saldırganın hedef ağa kalıcı erişim sağlamasına ve genellikle geleneksel savunma mekanizmaları tarafından tespit edilmemesine olanak tanır.
Arka kapı oluşturulduktan sonra saldırgan, ele geçirilen sistemleri uzaktan manipüle etmek ve veri sızdırmak için bir komuta ve kontrol kanalı kurar. Bu aşama, hedef sistemler üzerindeki kontrolü sürdürmek ve diğer eylemleri düzenlemek için çok önemlidir.
Son aşamada, saldırgan birincil hedefine ulaşır. Bu, veri sızdırma ve imhadan gelecekteki kampanyalar için hedefin ortamında uzun vadeli bir varlık oluşturmaya kadar değişebilir.
SOC ekipleri bu aşamaları anlayarak ve izleyerek öldürme zincirinin her adımında hedefe yönelik stratejiler ve savunmalar uygulayabilir. Örneğin, sağlam saldırı tespit sistemleri ve kapsamlı çalışan eğitimi, dağıtım aşamasındaki girişimleri engelleyebilirken, ağ segmentasyonu ve düzenli sistem güncellemeleri istismar ve kurulum risklerini azaltabilir. Bu yapılandırılmış yaklaşım, karmaşık ve gelişen siber tehditlere karşı daha proaktif ve etkili bir savunma sağlar.
Birleşik Ölüm Zinciri, Güvenlik Uzmanı Paul Pols tarafından geliştirilen ve Lockheed Martin Siber Ölüm Zinciri kavramlarını aşağıdaki kavramlarla bütünleştiren gelişmiş bir çerçevedir MITRE ATT&CK (Çekişmeli Taktikler, Teknikler ve Ortak Bilgi) çerçevesi.
Bu entegrasyon, siber düşmanlar tarafından kullanılan taktikler, teknikler ve prosedürler (TTP'ler) hakkında daha kapsamlı ve ayrıntılı bir bakış açısı sağlamayı amaçlamaktadır.
İşte Birleşik Ölüm Zincirinin geleneksel modeli nasıl genişlettiğine dair genel bir bakış:
MITRE ATT&CK çerçevesi, gerçek dünya gözlemlerine dayanan düşman TTP'lerinin küresel olarak erişilebilir bir bilgi tabanıdır. Siber saldırılarda kullanılan çok çeşitli özel taktik ve teknikleri kategorize eder ve detaylandırır. Bunu Lockheed Martin modeliyle bütünleştiren Birleşik Ölüm Zinciri, saldırganın her aşamadaki davranışının daha ayrıntılı bir görünümünü sunar.
Birleşik Ölüm Zinciri, ATT&CK çerçevesindeki belirli teknikleri geleneksel ölüm zincirinin her aşamasına bağlayarak bir saldırının her aşaması hakkında daha derin bilgiler sağlar. Bu, belirli saldırı metodolojilerinin saldırı yaşam döngüsü boyunca nasıl geliştiğinin daha ayrıntılı bir şekilde anlaşılmasını sağlar.
ATT&CK çerçevesindeki ayrıntılı TTP'ler sayesinde siber güvenlik ekipleri daha hassas tespit stratejileri ve yanıtları geliştirebilir. Bu, belirli taviz göstergeleri (IoC'ler) oluşturmayı ve güvenlik kontrollerini farklı tehdit aktörlerinin nüanslı davranışlarına göre uyarlamayı içerir.
ATT&CK çerçevesinin yeni bulgularla sürekli güncellenen dinamik yapısı, Birleşik Ölüm Zincirinin hızla gelişen siber tehditler karşısında güncel kalmasını sağlar. Bu sürekli güncelleme süreci, kurumların en son saldırı teknikleri hakkında bilgi sahibi olmalarını ve savunmalarını buna göre uyarlamalarını sağlar.
Birleşik Ölüm Zinciri'nin kapsamlı yapısı stratejik siber güvenlik planlamasına ve risk değerlendirmesine yardımcı olur. Kuruluşlar bu modeli, güvenlik duruşlarını çok çeşitli saldırı senaryolarına karşı değerlendirmek, potansiyel güvenlik açıklarını belirlemek ve gerçek dünyadaki tehdit istihbaratına dayalı savunma stratejilerine öncelik vermek için kullanabilir.
Birleşik Ölüm Zincirindeki TTP'lerin ayrıntılı dökümü, siber güvenlik ekipleri için bir eğitim aracı olarak hizmet eder. Personelin belirli saldırı metodolojilerini tanıması ve bunlara yanıt vermesi için eğitilmesine yardımcı olur, böylece siber tehditlere karşı genel kurumsal dayanıklılığı artırır. Genel olarak, Birleşik Ölüm Zinciri siber güvenlik alanında önemli bir ilerlemeyi temsil etmekte ve sofistike siber saldırıları anlamak, tespit etmek ve bunlara karşı koymak için daha incelikli ve uygulanabilir bir çerçeve sunmaktadır.
Vectra AI , SOC ekiplerini ölüm zincirinin her aşamasında tehditleri tespit etmek, bozmak ve etkisiz hale getirmek için gelişmiş araçlar ve içgörülerle güçlendirir. Çözümlerimizin siber düşmanların önüne geçmenize ve kuruluşunuzun değerli varlıklarını korumanıza nasıl yardımcı olabileceğini öğrenmek için bize ulaşın .
Siber güvenlik ölüm zinciri, Lockheed Martin tarafından geliştirilen ve bir saldırganın bir siber saldırı gerçekleştirmek için attığı adımların sırasını özetleyen bir modeldir. Keşif, silahlandırma, teslimat, istismar, kurulum, komuta ve kontrol (C2) ve hedefler üzerindeki eylemleri içerir.
Ölüm zinciri modeli, bir saldırının her aşamasında tehditleri tanımlamak ve azaltmak için yapılandırılmış bir yaklaşım sağlayarak siber güvenlik savunmalarını geliştirebilir. Güvenlik ekipleri saldırganın sürecini anlayarak ve bozarak ölüm zincirinin tamamlanmasını önleyebilir ve potansiyel hasarı engelleyebilir.
Keşif aşamasını sekteye uğratmak için kuruluşlar ağ segmentasyonu kullanabilir, kamuya açık bilgileri sınırlayabilir, keşif faaliyetlerini izlemek için tehdit istihbaratı kullanabilir ve saldırganları yanıltmak için aldatma teknolojileri uygulayabilir.
Silahlanma ve dağıtım aşamalarını önlemek için antivirüs ve kötü amaçlı yazılımdan koruma çözümlerinin güncel tutulması, kötü amaçlı yükleri engellemek için e-posta filtreleme ve web proxy hizmetlerinin uygulanması ve çalışanların phishing girişimlerini tanıma ve bildirme konusunda eğitilmesi gerekir.
İstismar ve yüklemenin azaltılması, güvenlik açıklarını gidermek için yazılımın düzenli olarak yamalanmasını ve güncellenmesini, uygulama beyaz listesinin kullanılmasını ve kötü niyetli faaliyetleri belirlemek ve izole etmek için uç nokta algılama ve yanıt (EDR) araçlarının kullanılmasını gerektirir.
C2 iletişimlerinin tespit edilmesi ve kesintiye uğratılması, olağandışı giden trafik için ağ izleme, veri akışlarını kontrol etmek için ağları bölümlere ayırma ve bilinen kötü niyetli IP adreslerini ve etki alanlarını engelleme yoluyla gerçekleştirilebilir.
Ölüm zincirinin son aşaması olan hedeflere yönelik eylemlerin önlenmesi, veri sızma girişimlerinin sürekli olarak izlenmesini, kritik verilerin şifreleme ile güvence altına alınmasını ve yetkisiz erişimi tespit etmek için sıkı erişim kontrolleri ve kullanıcı etkinliği izlemenin uygulanmasını içerir.
Evet, ölüm zinciri modeli, ilk niyetten yetkisiz faaliyetlerin yürütülmesine kadar her aşamada potansiyel içeriden eylemlerin belirlenmesi ve azaltılması yoluyla içeriden gelen tehditlere de uygulanabilir.
İşbirliği ve bilgi paylaşımı, kurumların yeni saldırı vektörlerini daha hızlı ve etkili bir şekilde tespit etmek ve bunlara yanıt vermek için kolektif bilgi ve deneyimden yararlanmasına olanak tanıdığından, siber tehditlerle mücadele için hayati önem taşımaktadır.
Gelecekteki gelişmeler, ölüm zincirinin çeşitli aşamalarında tespit ve müdahaleyi otomatikleştirmek için yapay zeka ve makine öğreniminin entegrasyonunun yanı sıra modelin bulut ve hibrit ortamlardaki siber tehditlerin artan karmaşıklığını ele alacak şekilde uyarlanmasını içerebilir.