Cyber Kill Chain Nedir ?

Cyber Kill Chain

Cyber Kill Chain

Siber saldırıları tanımlamak ve önlemek için Lockheed Martin tarafından geliştirilen bir çerçevedir.

Cyber Kill Chain , 7 adımdan oluşur ve bir tehdit aktörünün hedeflerine ulaşmak için neyi tamamlaması gerektiğini belirtir. 7 adım tamamlanırsa tehdit aktörü başarılı sayılır. Saldırı herhangi bir aşamada durdurulursa zincir kırılmış olur.

Cyber Kill Chain , tehdit aktörlerinin bir sonraki adımda neler yapabileceğini tahmin etmek ve engellemek için savunma tarafında kullanılır. Amaç saldırganın bu 7 adımı tamamlamasını önlemektir. Her bir adımda farklı senaryolar gerçekleşir ve her tehdit aktörünün TTP'si (Teknik,Taktik,Prosedür) farklı olur. Savunma ekibi Cyber Kill Chain çerçevesi ile tehdit aktörlerinin TTP'lerini anlamaya çalışırlar.

Şimdi bu 7 adımın ne olduğunu ve nasıl önlenebileceğine bakalım.

1. Reconnaissance (Keşif)

Tehdit aktörünün araştırma yaptığı , istihbarat topladığı ve hedefleri seçtiği adımdır. Herhangi bir kamuya açık bilgi, saldrının ne, nerede ve nasıl yapılacağını belirlemede yardımcı olur. Özellikle web siteleri, halka açık ağ cihazları,çalışanların sosyal medya hesapları gibi birçok bilgiyi toplar.

Savunma : Keşif etkinliği gösteren davranışları tespit etmek , web log uyarıları ve geçmiş arama verilerine bakmak ve ilgili alanların savunmasına odaklanmak gerekir .

2. Weaponization (Silahlanma)

Keşiften elde edilen bilgileri , kuruluştaki belirli hedefli sistemlere veya bireylere karşı bir silah geliştirmek için kullanma aşamasıdır. Bir silah bulmak zor değildir ama bu silahları savunma tarafınında bilmesi ihtimalini hesaba katarak bir silah geliştirebilirler . Amaç savunmanın farketmesini zorlaştırmaktır . (ayrıca bkz: "evasion techniques")

Savunma: IDS kuralları ve imzaları bilinmeli , malware analizi yapılmalı ve meta verileri depolanarak gelecekteki analizlerde kullanılmalı.

3. Delivery (Teslimat)

Silah bir dağıtım vektörü kullanılarak hedefe iletilir. Bu bir web sitesi, USB, eposta eki olabilir. Bu adımda önemli olan teslimat yapılıacak kişinin inanmasını sağlamak ve diğer ağ cihazları ile tespitini zorlaştırmaktır.

Savunma: Eposta , web günlüklerine bakılmalı , teslimat yolu üzerinden hedefe dayalı düşman niyetini anlamaya çalışmalı.

4. Exploitation (Sömürü)

Güvenlik açıklarını kullanarak hedefin kontrolünü ele geçirmektir. Bu açıklar , uygulamalar, işletim sistemi, donanım veya insan olabilir. 

Savunma:  Düzenli olarak penetration testi yapılmalı, endpoint cihazları için güvenlik sıkılaştırması (hardening) yapılmalı ve en önemlisi çalışanlara bu konuda farkındalık eğitimleri vermek önemlidir.

5. Installation (Kurulum)

Tehdit aktörünün hedefe sürekli erişim sağlamak, kalıcı tehdit haline gelmek için sisteme asıl zararlı yazılımın kurulmasıdır.

Savunma: Bu aşamada HIPS, Antivirüs ve EDR yazılımlarını incelemek yararlı olacaktır . Endpoint üzerinde oluşan anormal davranışlkar ve ağ trafiği incelenmelidir.

6. Command and Control (CnC - C&C) (Komuta Kontrol)

Sisteme yerleşen zararlı yazılımın uzaktan kontrol edilebildiği ve sistemin ele geçirildiği aşamadır. Çoğu malware , veri sızdırmak için C&C sunucularını kullanır  ve buradan emir alır. 

Savunma: Olası C&C altyapıları araştırılmalı , DNS trafiği izlenmeli (özellikle DynamicDNS), Anomal DNS sorguları engellenmeli.

7. Actions on Objectives (Hedefe yönelik eylemler)

Zincirin son adımıdır. Tehdit aktörü hedefine ulaşmıştır. Bu hedefler verileri çalmak, değiştirmek, silmek, şifrelemek olabilir. Artık ne isterse yapabilir.

Savunma: Bu aşamaya gelen düşmanı ağdan çıkarmak zor olacaktır . Yapılacak en önemli şey bu aşamaya maruz kalmadan verilerin daha önce yedeğini almış olmaktır . Bu adımdan sonra ise en iyisi hasar değerlendirmesi yapmaktır.

Bu adımda, ele geçirilen sistem üzerinden tekrardan 1.adıma dönülebilir ve yeni hedefler ile cyber kill chain'i farklı bir hedef için başlatabilir.