Mitre ATT&CK Nedir?

Siber güvenlik dünyasında, savunmacılar (Blue Team) ve saldırganlar (Red Team) arasında bitmek bilmeyen bir kedi-fare oyunu vardır. Savunmacılar duvarlar örer, saldırganlar bu duvarları aşmak için yeni yollar bulur. Yıllar boyunca savunmacılar genellikle “reaktif” yani tepkisel olmak zorundaydı: Bir saldırı olur, bir virüs bulunur ve biz de o virüsü temizlemeye veya o IP adresini engellemeye çalışırdık.

Peki ya size “düşmanın” sadece kullandığı bir aracı (virüsü) değil, tüm davranışlarını, taktiklerini ve hedeflerini haritalandıran bir sistem olduğunu söylesem?

İşte bu sistemin adı Mitre ATT&CK‘tir.

Mitre ATT&CK (açılımı: Adversarial Tactics, Techniques, and Common Knowledge), kâr amacı gütmeyen MITRE kuruluşu tarafından oluşturulan devasa bir bilgi tabanıdır (knowledge base).

Bu bir yazılım değildir. Bu bir araç değildir.

ATT&CK, gerçek dünyada gözlemlenmiş siber saldırı davranışlarının tamamının listelendiği, kategorize edildiği ve detaylandırıldığı küresel bir “ansiklopedidir”.

Nasıl ki kimyadaki periyodik tablo, tüm elementleri ve özelliklerini gösteriyorsa, ATT&CK de bir saldırganın bir ağı ele geçirmek için kullanabileceği tüm yöntemleri gösterir.

ATT&CK Matrisinin Anatomisi: Taktikler, Teknikler ve Prosedürler (TTP)

ATT&CK’i açtığınızda karşınıza dev bir tablo (matris) çıkar. Bu matrisin nasıl çalıştığını anlamak, tüm sistemi anlamaktır. Bu yapıya kısaca TTP denir.

1. Taktikler (Tactics) – Sütunlar (AMAÇ / NEDEN?) Taktikler, bir saldırının “aşamaları” veya saldırganın “amaçlarıdır”. Matrisin en üstündeki sütun başlıklarıdır. Bir saldırganın hedefine ulaşmak için izlediği mantıksal adımlardır.
   • Örnek Taktikler:
     • Initial Access (İlk Erişim):Sisteme ilk adımı nasıl atarım?
     • Execution (Çalıştırma): İçeri girdikten sonra kötü amaçlı kodumu nasıl çalıştırırım?
     • Persistence (Kalıcılık): Sistem yeniden başlasa bile burada kalıcı olmayı nasıl sağlarım?
     • Lateral Movement (Yanal Hareket): Bu bilgisayardan ağdaki diğer bilgisayarlara nasıl zıplarım?
     • Exfiltration (Veri Sızdırma): Hedeflediğim verileri nasıl dışarı çalarım?
2. Teknikler (Techniques) – Hücreler (YÖNTEM / NASIL?) Teknikler, bir “Taktiği” (amacı) gerçekleştirmek için kullanılan spesifik yöntemlerdir. Her taktik sütununun altında o amaca ulaşmak için kullanılabilecek teknikler listelenir.
   • Örnek: Initial Access (İlk Erişim) Taktiğini ele alalım. Bunu başarmak için kullanılabilecek Teknikler:
     • T1566: Phishing (Oltalama): Sahte bir e-posta göndererek.
     • T1190: Exploit Public-Facing Application: Dışarıya açık web sitesindeki bir güvenlik açığını kullanarak.
     • T1199: Trusted Relationship: Güvenilen bir iş ortağının sistemini ele geçirip oradan sızarak.
3. Alt-Teknikler (Sub-Techniques) – Detaylı Yöntem Bazı teknikler çok geniştir. Alt-teknikler, bu geniş tekniğin “nasıl” yapıldığını daha da detaylandırır.
   • Örnek:T1566: Phishing (Oltalama) tekniğinin alt-teknikleri:
     • T1566.001: Spearphishing Attachment (Hedefli Oltalama Eki): Kişiye özel hazırlanmış zararlı bir e-posta eki (Word, PDF vb.) göndererek.
     • T1566.002: Spearphishing Link (Hedefli Oltalama Bağlantısı): Kişiyi sahte bir web sitesine yönlendiren bir link göndererek.
4. Prosedürler (Procedures) – Uygulama (KİM, NASIL YAPTI?) Prosedürler, bu tekniklerin gerçek dünyada belirli bir saldırgan grubu (APT grubu) tarafından nasıl kullanıldığının spesifik örnekleridir.
   • Örnek: “APT29 (Cozy Bear) grubu, Initial Access (Taktik) için Spearphishing Link (Alt-Teknik) kullandı ve gönderdikleri link, sahte bir OneDrive oturum açma sayfasına (Prosedür) yönlendiriyordu.”

Özetle: Bir saldırganın amacı Kalıcılıktır (Taktik). Bunu başarmak için yöntemi Kayıt Defteri Anahtarlarını Değiştirmektir (Teknik). Bunu yaparken tam olarak hangi komutu kullandığı ise Prosedürdür.

Peki, Bu Dev Matris Pratikte Ne İşe Yarıyor?

ATT&CK, siber güvenlikteki herkes için “ortak bir dil” oluşturdu. Artık “hacklendik” demiyoruz; “APT_X grubu, T1566 (Phishing) ile girdiği sistemde T1059 (PowerShell) kullanarak T1003’ü (Credential Dumping) gerçekleştirdi” diyoruz.

Bu ortak dil sayesinde şunları yapabiliyoruz:

1. Tehdit İstihbaratı (CTI): (Bir önceki blog yazımızla bağlantılı) Bir istihbarat raporu okuduğunuzda (örn: “Çinli X grubu bankalara saldırıyor”), bu grubun kullandığı yöntemleri hemen ATT&CK matrisi üzerinde işaretlersiniz. Artık düşmanınızın “oyun kitabını” (playbook) biliyorsunuz.
2. Boşluk Analizi (Gap Analysis) ve Savunma (Blue Team): Savunma ekipleri (SOC’ler) matrise bakar ve şu soruyu sorar: “Bu tekniklerden hangilerini tespit edebiliyoruz? Hangilerine karşı körüz?”
   • Örnek: “PowerShell (T1059) kullanımını izleyebiliyoruz, ama ‘Masquerading’ (T1036 – saldırganın kendini meşru bir program gibi göstermesi) tekniğini tespit edemiyoruz.” Böylece zayıf noktanızı (boşluk) bulur ve orayı güçlendirirsiniz.
3. Saldırı Simülasyonu (Red Team / Sızma Testi): Red Team’ler (saldırgan rolü oynayan iyi niyetli hackerlar), ATT&CK matrisini bir “menü” gibi kullanır.
   • Örnek: “Bu ay, şirketin ‘Yanal Hareket’ (Lateral Movement) taktiklerine karşı ne kadar dayanıklı olduğunu test edelim. Hadi T1570 (Windows Admin Shares) tekniğini deneyelim.”
4. Güvenlik Aracı Değerlendirmesi (EDR, SIEM vb.): Yeni bir güvenlik ürünü (örn: bir EDR yazılımı) alırken satıcıya şu soruyu sorarsınız: “Ürününüz, ATT&CK matrisinin hangi tekniklerini kapsıyor?” Bu, ürünleri elma ile elmayı karşılaştırmanızı sağlar.

Sonuç olarak; Mitre ATT&CK, siber güvenliği “bilinmeyenle savaşmaktan” çıkarıp, “bilinen davranışlara karşı savunma yapmaya” dönüştüren bir devrimdir.

Artık sadece “virüs imzalarını” beklemiyoruz. Düşmanın davranışlarını anlıyor, bu davranışları proaktif olarak avlıyor (Tehdit Avcılığı) ve savunmamızdaki boşlukları bu evrensel haritaya bakarak kapatıyoruz. Eğer siber güvenlik bir savaşsa, ATT&CK bize düşmanın savaş taktiklerini gösteren en detaylı yol haritasıdır.