Önemli bilgiler

  • Ölüm zinciri ilkelerini etkin bir şekilde uygulayan kuruluşlar, olay tespit sürelerini %70'e kadar azaltmaktadır. (Kaynak: SANS Enstitüsü)
  • Siber güvenlik ihlallerinin %80'i, ölüm zincirinin ilk aşamalarını hedef alan phishing ve bilgisayar korsanlığı tekniklerinin bir kombinasyonunu içermektedir. (Kaynak: Verizon Veri İhlali Araştırmaları Raporu)

Siber güvenlik ölüm zinciri, siber izinsiz girişlerin belirlenmesi ve önlenmesine yönelik kavramsal bir çerçevedir. Kökeni, "ölüm zinciri" teriminin bir saldırının yaşam döngüsündeki aşamaları tanımlamak için kullanıldığı askeri stratejiye dayanmaktadır. Siber güvenlik bağlamında, dünya çapında çıkarları olan bir Amerikan havacılık, savunma ve ileri teknoloji şirketi olan Lockheed Martin bu kavramı uyarlamıştır. Siber saldırıları farklı aşamalar aracılığıyla sistematik olarak tanımlamak ve bunlara karşı koymak için bir çerçeve oluşturdular.

Bu konseptin daha da geliştirilmesi, geleneksel ölüm zincirini MITRE ATT&CK çerçevesiyle bütünleştiren Birleşik Ölüm Zincirinin geliştirilmesine yol açmıştır. Bu entegrasyon, saldırı tekniklerinin, taktiklerinin ve prosedürlerinin (TTP'ler) daha kapsamlı ve incelikli bir şekilde anlaşılmasını sağlayarak kuruluşların siber tehditleri tespit etme, analiz etme ve azaltma becerilerini geliştirmektedir.

Lockheed Martin Ölüm Zinciri

Lockheed Martin Siber Ölüm Zinciri modeli, siber saldırı sürecini yedi farklı aşamaya ayırarak siber güvenlik uzmanlarının siber tehditleri tanımlaması, önlemesi ve bunlara karşı koyması için sistematik bir çerçeve sunar:

Keşif

Bu ilk aşama, saldırganın hedef hakkında bilgi toplamasını içerir. Bu, sistemlerdeki güvenlik açıklarının tespit edilmesini, değerli verilerin bulunmasını ve güvenlik savunmalarının anlaşılmasını içerebilir. Saldırganlar sosyal mühendislik, genel bilgi araştırmaları ve ağ taraması gibi teknikler kullanabilir.

Silahlanma

Bu aşamada saldırgan, belirlenen güvenlik açıklarından faydalanmak için özel olarak tasarlanmış bir siber saldırı aracı oluşturur. Bu genellikle bir uzaktan erişim malware bir istismarla eşleştirilerek teslim edilebilir bir yük haline getirilmesini içerir. Amaç, bu yükün tespit edilmeden hedef ağa sızabilmesini ve ağ içinde çalışabilmesini sağlamaktır.

Teslimat

Teslimat aşaması, saldırganın silah haline getirilmiş yükü hedefe ilettiği aşamadır. Yaygın dağıtım yöntemleri arasında phishing e-postaları, kötü amaçlı web siteleri veya USB aygıtları bulunur. Amaç, hedefin bir dosyayı açarak, güvenliği ihlal edilmiş bir web sitesini ziyaret ederek ya da virüslü bir cihazı bağlayarak yükü tetiklemesini sağlamaktır.

İstismar

Bu aşama, yük hedef sistemdeki bir güvenlik açığını etkinleştirdiğinde ve istismar ettiğinde ortaya çıkar. İstismar, saldırganın hedefin ağına veya sistemine erişim kazandığı kritik noktadır.

Kurulum

Başarılı bir istismarın ardından saldırgan bir uzaktan erişim aracı veya arka kapı yükler. Bu, saldırganın hedef ağa kalıcı erişim sağlamasına ve genellikle geleneksel savunma mekanizmaları tarafından tespit edilmemesine olanak tanır.

Command and Control (C2)

Arka kapı oluşturulduktan sonra saldırgan, ele geçirilen sistemleri uzaktan manipüle etmek ve veri sızdırmak için bir komuta ve kontrol kanalı kurar. Bu aşama, hedef sistemler üzerindeki kontrolü sürdürmek ve diğer eylemleri düzenlemek için çok önemlidir.

Hedeflere İlişkin Eylemler

Son aşamada, saldırgan birincil hedefine ulaşır. Bu, veri sızdırma ve imhadan gelecekteki kampanyalar için hedefin ortamında uzun vadeli bir varlık oluşturmaya kadar değişebilir.

Lockheed Martin Ölüm Zinciri
Lockheed Martin tarafından resmedilen Siber Ölüm Zinciri

SOC ekipleri bu aşamaları anlayarak ve izleyerek öldürme zincirinin her adımında hedefe yönelik stratejiler ve savunmalar uygulayabilir. Örneğin, sağlam saldırı tespit sistemleri ve kapsamlı çalışan eğitimi, dağıtım aşamasındaki girişimleri engelleyebilirken, ağ segmentasyonu ve düzenli sistem güncellemeleri istismar ve kurulum risklerini azaltabilir. Bu yapılandırılmış yaklaşım, karmaşık ve gelişen siber tehditlere karşı daha proaktif ve etkili bir savunma sağlar.

Birleşik Ölüm Zinciri

Birleşik Ölüm Zinciri, Güvenlik Uzmanı Paul Pols tarafından geliştirilen ve Lockheed Martin Siber Ölüm Zinciri kavramlarını aşağıdaki kavramlarla bütünleştiren gelişmiş bir çerçevedir MITRE ATT&CK (Çekişmeli Taktikler, Teknikler ve Ortak Bilgi) çerçevesi.

Bu entegrasyon, siber düşmanlar tarafından kullanılan taktikler, teknikler ve prosedürler (TTP'ler) hakkında daha kapsamlı ve ayrıntılı bir bakış açısı sağlamayı amaçlamaktadır.

Birleşik Ölüm Zinciri
Birleşik Ölüm Zinciri

İşte Birleşik Ölüm Zincirinin geleneksel modeli nasıl genişlettiğine dair genel bir bakış:

ATT&CK Çerçevesinin Birleştirilmesi

MITRE ATT&CK çerçevesi, gerçek dünya gözlemlerine dayanan düşman TTP'lerinin küresel olarak erişilebilir bir bilgi tabanıdır. Siber saldırılarda kullanılan çok çeşitli özel taktik ve teknikleri kategorize eder ve detaylandırır. Bunu Lockheed Martin modeliyle bütünleştiren Birleşik Ölüm Zinciri, saldırganın her aşamadaki davranışının daha ayrıntılı bir görünümünü sunar.

Geliştirilmiş Detay ve Bağlam

Birleşik Ölüm Zinciri, ATT&CK çerçevesindeki belirli teknikleri geleneksel ölüm zincirinin her aşamasına bağlayarak bir saldırının her aşaması hakkında daha derin bilgiler sağlar. Bu, belirli saldırı metodolojilerinin saldırı yaşam döngüsü boyunca nasıl geliştiğinin daha ayrıntılı bir şekilde anlaşılmasını sağlar.

Geliştirilmiş Tespit ve Müdahale

ATT&CK çerçevesindeki ayrıntılı TTP'ler sayesinde siber güvenlik ekipleri daha hassas tespit stratejileri ve yanıtları geliştirebilir. Bu, belirli taviz göstergeleri (IoC'ler) oluşturmayı ve güvenlik kontrollerini farklı tehdit aktörlerinin nüanslı davranışlarına göre uyarlamayı içerir.

Gelişen Tehditlere Adaptasyon

ATT&CK çerçevesinin yeni bulgularla sürekli güncellenen dinamik yapısı, Birleşik Ölüm Zincirinin hızla gelişen siber tehditler karşısında güncel kalmasını sağlar. Bu sürekli güncelleme süreci, kurumların en son saldırı teknikleri hakkında bilgi sahibi olmalarını ve savunmalarını buna göre uyarlamalarını sağlar.

Stratejik Planlama ve Risk Değerlendirmesi

Birleşik Ölüm Zinciri'nin kapsamlı yapısı stratejik siber güvenlik planlamasına ve risk değerlendirmesine yardımcı olur. Kuruluşlar bu modeli, güvenlik duruşlarını çok çeşitli saldırı senaryolarına karşı değerlendirmek, potansiyel güvenlik açıklarını belirlemek ve gerçek dünyadaki tehdit istihbaratına dayalı savunma stratejilerine öncelik vermek için kullanabilir.

Geliştirilmiş Eğitim ve Farkındalık

Birleşik Ölüm Zincirindeki TTP'lerin ayrıntılı dökümü, siber güvenlik ekipleri için bir eğitim aracı olarak hizmet eder. Personelin belirli saldırı metodolojilerini tanıması ve bunlara yanıt vermesi için eğitilmesine yardımcı olur, böylece siber tehditlere karşı genel kurumsal dayanıklılığı artırır. Genel olarak, Birleşik Ölüm Zinciri siber güvenlik alanında önemli bir ilerlemeyi temsil etmekte ve sofistike siber saldırıları anlamak, tespit etmek ve bunlara karşı koymak için daha incelikli ve uygulanabilir bir çerçeve sunmaktadır.

Vectra AI , SOC ekiplerini ölüm zincirinin her aşamasında tehditleri tespit etmek, bozmak ve etkisiz hale getirmek için gelişmiş araçlar ve içgörülerle güçlendirir. Çözümlerimizin siber düşmanların önüne geçmenize ve kuruluşunuzun değerli varlıklarını korumanıza nasıl yardımcı olabileceğini öğrenmek için bize ulaşın .

Daha fazla siber güvenlik temelleri

Sıkça Sorulan Sorular

Siber güvenlik ölüm zinciri nedir?

Ölüm zinciri siber güvenlik savunmalarını iyileştirmek için nasıl kullanılabilir?

Keşif aşamasını bozmak için bazı etkili stratejiler nelerdir?

SOC ekipleri silahlanma ve teslimat aşamalarını nasıl önleyebilir?

İstismarı ve kurulumu azaltmak için ne gibi önlemler alınabilir?

Komuta ve kontrol iletişimleri nasıl tespit edilebilir ve kesintiye uğratılabilir?

Ölüm zincirinin son aşamasını önlemek için ne gibi önlemler alınabilir?

Ölüm zinciri modeli içeriden gelen tehditlere uygulanabilir mi?

Siber tehditlerle mücadelede işbirliği ve bilgi paylaşımı ne kadar önemli?

Ölüm zinciri modelinin evriminde gelecekte ne gibi gelişmeler bekleniyor?