EKS/OT Güvenlik için MITRE ATT&CK Çerçevesi
EKS/OT Güvenlik için MITRE ATT&CK Çerçevesi nedir?
Endüstriyel Kontrol Sistemleri(EKS) için MITRE ATT&CK çerçevesi tehdit modellemesi, kötü niyetli siber güvenlik olaylarını operasyonel teknoloji (OT) ortamlarına göre sınıflandırır. Bu çerçeve tasarımı, her olayı belirli bir taktik olarak sınıflandırır ve her taktiği bir veya daha fazla üst düzey teknik kategorisine eşler.
Özünde, topluluk kaynaklı oluşturulan bu çerçeve, bir siber saldırganın izleyebileceği hareket tarzını tanımlamak ve tehdit aktör davranışları için bir bilgi bankası oluşturmak üzere tasarlanmıştır. Güvenlik ekipleri daha sonra bu bilgileri kuruluşlarının güvenlik stratejilerini ve politikalarını geliştirmek için kullanabilir.
MITRE ATT&CK Çerçeve Ontolojisi
EKS için MITRE ATT&CK Çerçevesinin unsurları, fiziksel bir operasyonel ortamın ayırt edici özelliklerini yansıtır. Odak noktası, PLC’ler, aktüatörler, sensörler ve benzeri cihazları içeren operasyonel teknolojidir. Bu varlıklar, tümü sıkı güvenlik ve kullanılabilirlik gereksinimlerine sahip vanalar ve motorlar ile elektrik hatları ve su arıtma tesislerini içerir.
Çerçeve, bir saldırının OT varlıkları üzerinde sahip olabileceği etkiye yönelik açık sınıflandırma sağlar. Tüm saldırı zincirini oluşturan 11 teknik kategoriden oluşur. Bu kategoriler:
| İlk Erişim | Bu kategori, altyapıya bir başlangıç noktası sağlayan eylemleri ifade eder. |
| Yürütme | Bu kategori, siber saldırganın kötü amaçlı kod çalıştırma girişimlerini ifade eder. |
| Kalıcılık | Bu kategori, saldırganların bir EKS ortamında bir dayanak sağlamak için kullandıkları eylemleri ifade eder. |
| Kaçınma | Bu kategori, saldırganın eylemlerini gizlemek için aldığı önlemleri ifade eder. İlgili olaylar, sahte raporlama mesajlarını, günlüklerde değişiklik yapmayı vb. İçerir. |
| Keşif | Bu kategori, varlık tanımlamayla ilgili olayları ifade eder. Bu eylemler gerçek bir saldırının başlangıcı olarak kabul edilir. |
| Yanal Hareket | Bu kategori, operasyonel ağ içinde harekete izin veren eylemleri ifade eder. |
| Toplama | Bu kategori, bilgi toplamayla ilgili olayları ifade eder. Bu eylemler gerçek bir saldırının başlangıcı olarak kabul edilir. |
| Komuta ve Kontrol | Bu kategori, EKS ortamınıza erişimi olan risk altındaki sistemlerin, denetleyicilerin ve platformların iletişiminin ve kontrolünün kurulmasını ifade eder. |
| Engelleme İşlevini Aşma | Bu kategori, güvenlik, koruma, kalite güvence ve operatör müdahalesi işlevlerinin bir arızaya, tehlikeye veya güvensiz duruma yanıt vermesini önlemeyi amaçlayan eylemleri ifade eder. |
| Proses Kontrolünü Bozma | Bu kategori, kontrol süreciyle bağlantılı olayları ifade eder. Burada saldırgan, fiziksel kontrol süreçlerini manipüle etmeye, devre dışı bırakmaya veya zarar vermeye çalışıyor. |
| Etki | Bu kategori, EKS sistemlerinizi, verilerinizi ve çevrelerindeki ortamı manipüle etme, kesintiye uğratma veya yok etme girişimi gibi bir EKS sistemiyle doğrudan etkileşimle bağlantılı olayları ifade eder. |
Taktikler üç ana kategoriye ayrılabilir:
- Keşif ve Saldırı Hazırlığı – İlk erişim, Yürütme, Kalıcılık, Kaçınma, Keşif, Yanal Hareket, Toplama, Komuta ve Kontrol
- Saldırı Yürütme – Engelleme İşlevini Aşma, Proses Kontrolünü Bozma
- Saldırı Etkisi – Etki
BT ve EKS/OT için MITRE ATT&CK Çerçevesi Arasındaki Farklar
MITRE, BT kurumsal ortamı için bir çerçeve oluşturmuştur. Bu çerçeve, özellikle BT alanında olanlar için bir bilgi tabanı sağlamak üzere tasarlanmıştır.
BT Çerçevesi, çok sayıda saldırı taktiklerini etkili bir şekilde tanımlasa da, maalesef aşağıdaki nedenlerden dolayı OT ortamına etkili bir şekilde entegre edilemez:
- Siber saldırganların motivasyonu, hedefleri ve niyetleri farklıdır. Bir OT ortamında temel amaç, OT alanına özgü özel donanım tarafından kontrol edilen fiziksel işlemlere erişmek ve bunları bozmaktır. Endüstriyel süreci etkilemek için, alandaki merdiven mantığı ve güvenlik fonksiyonları gibi ortak unsurlar, saldırganın bakış açısından, yeni bir takım taktikler, yöntemler ve araçlar seti gerektirir. Bir robotik kolu durdurmak veya operatöre rapor veren bir süreç değişkenini değiştirmek gibi olayları tanımlamak için yeni bir yaklaşım ve sektör bilgisi de gereklidir.
- Bir saldırının aşamaları ve yaşam döngüleri farklıdır. EKS ortamı, iş ve operasyonel süreklilik ve güvenlik faktörlerine odaklanır. Burada saldırganın asıl amacı operasyonel süreci engellemektir. Bu da, operasyonel ve güvenlik faktörlerinin manipülasyonunu içeren ek aşamaları içerir.
- Son olarak, genel olarak teknoloji farklıdır. Tecrübe ile üretilen saldırı engelleme stratejileri, güvenlik ve kullanılabilirlik kısıtlamalarına sahiptir. Ortam, süreci etkileyebilecek ve ya durdurabilecek politika değişikliklerine çok dirençlidir. Çerçeveye dayalı her strateji bu faktörleri göz önünde bulundurması gerekir.
En iyi ve en kapsamlı yaklaşım, Purdue modelinin üst seviyelerinde (historian, iş istasyonları, vb.) İşletmeler için MITRE Çerçevesini ve modelin alt seviyeleri için (PLC, aktüatörler, sensörler, vb.) EKS için MITRE Çerçevesini kullanmaktır. ). Bu şekilde, her ortamı hedef alan tehditlere özgü tecrübelerden yararlanabilirsiniz.
EKS için MITRE Çerçevesinin Değeri
EKS için MITRE ATT&CK Çerçevesinin temel değeri, sınıflandırmalarının gerçek dünya deneyimlerini yansıtmasıdır. Yaklaşım toplu olarak siber saldırganların bilgi birikimini iletmeye çalışır ve APT’lerin(Kalıcı Tehditler) karmaşık yöntemleri ve araçları hakkında bilgi verir. Saldırılara kavramsal bir yaklaşımın yanı sıra gerçek olaylar için bir bilgi bankası niteliği taşır.
Örnek olarak, TRITON gibi bir saldırı, saldırının temel adımlarına ilişkin içgörü sağlayan soyut kategorilere ayrılabilir. Örneğin, TRITON’un bir ağa sızmak için kullandığı kaçınma taktiklerinden biri, belirli bir simge ve “trilog.exe” dosya adını içerir. Taktikler, mühendisleri SIS günlüklerini analiz etmek için Triconex yazılımıyla ilgili yasal bir yürütülebilir dosya gördüklerini düşünmeleri için kandırmak için kullanılır; Masquerading tekniği (ID T849) ile çerçevede kolayca haritalanabilen bir yöntem. Bu, saldırganların neye odaklandığını ve hedeflerine ulaşma yaklaşımını gösterir. Bu durumda çerçeve, gerçek dünya deneyimine dayalı olarak kuruluşun güvenliğini artırmak için bir kılavuz olarak kullanılabilir.
MITRE ATT&CK Çerçevesi Analizi: Neyin Normal ve ya Kötü Amaçlı Olduğunu Belirleme
MITRE çerçevesi, dikkate alınması gereken bazı karmaşıklıklara sahiptir. ATT&CK teknikleri yararlı bir bilgi bankası ve bir saldırganın içeriye erişimi sonrası izleyebileceği olası yönlerin anlaşılmasını sağlarken, bu tekniklerden bazılarını tespit etmek pratikte zor olabilir.
Örneğin, EKS çerçevesinin Ekran Yakalama (T852) veya Nokta ve Etiket Tanımlama (T861) uygulamasının birçok yolu vardır. Örneğin, ekran yakalama, güvenlik kontrollerinizin dışında bir cep telefonu veya bir kamera aracılığıyla gerçekleşebilir. Bunun gibi saldırılar, bir saldırganın eylemlerine dikkat çekecek olaylar tespit edilemediğinde çerçevenin kullanılabilirliğinin nasıl engellenebileceğini yansıtır.
Bir başka nokta da yaklaşımın kötü niyetli ve meşru olaylar olarak açıkça ayırt edilmesi zor unsurlara sahip olmasıdır. Örneğin, Yanal Hareket taktiğinin hem kötü niyetli aktörlere hem de meşru eylemlere atfedilebilecek bir Uzaktan Dosya Kopyalama tekniği (T867) vardır. Bu, normal davranışı kötü niyetli faaliyetlerden ayırt etmeyi zorlaştırır.
Ek olarak, çerçeve görünmeyen olayları hesaba katamaz. Bu, canlı EKS ortamında meydana gelen az sayıda olaya ve bunlardan bazılarına ilişkin ayrıntılı kamuya açık raporların bulunmamasına bağlanabilir. Saldırganlar harekete geçer ve savunanlar tepki verir. Bu bilgi asimetrisi nedeniyle, çerçevenin belirli bir zamanda en son saldırganlar tarafından aktif olarak kullanılan teknikleri (sıfırıncı gün vb.) içermemesi mümkündür.
Son olarak, çerçevenin pratik uygulamasında bazı karmaşıklıklar vardır. Nozomi Networks dahil olmak üzere birçok güvenlik şirketi EKS çerçevesini desteklemeye başladı. Bazı satıcılar bunu tam olarak desteklediklerini iddia etseler de, gerçek şu ki, eksiksiz bir uygulama, zaman içinde sürekli çaba gerektiren uzun bir yolculuğu temsil ediyor.
Tek bir tekniğe birçok farklı yaklaşım da vardır; Aslında, saldırganlar, bir olayı algılamak için gerekli tüm öğelere görünürlük sağlayan “Jack-of-all trade” çözümünün olmadığı durumlarda, belirli bir görevi gerçekleştirmek için çok farklı yaklaşımlar kullanabilir. Uçtan uca saldırı zinciri görünürlüğü elde etmek için her teknik kategorisinden taktik görmek de zordur. Bu, bir ağ geçidinden, bir IDS / IPS’den ve bir cihazdaki bir aracıdan birden fazla yerde enstrümantasyon gerektirir – birkaç üreticinin sunduğu bir ortam yaratmak gerekebilir.
Örneğin, antivirüs çözümleri iş istasyonlarına görünürlük sağlarken, endüstriyel kontrolörler ve aktüatörler hakkında bilgi sağlayamazlar. Bu OT öğeleri, IDS çözümleri gibi ağ izleme yaklaşımlarını gerektirir. Saldırganlar tarafından meşru kimlik bilgilerinin kullanılması, yerleşik erişim ve kontrol politikalarının izlenmesini gerektirir. Bu unsurlar, çerçevenin etkili bir şekilde kullanılmasının, operatörlerin çerçeveden yararlanmasına olanak tanıyan çok sayıda savunma düzeyi ve en iyi uygulamaları gerektirdiğini göstermektedir.
EKS Uygulamaları için MITRE ATT&CK Çerçevesi
Nozomi Networks ve Cerrus olarak EKS için MITRE ATT&CK Çerçevesinin, olayları tanımlamada ve tehdit aktörlerinin davranışına ilişkin ayrıntılı bilgi sağlamada etkili olduğuna inanıyoruz. Ve siber olaylara daha iyi görünürlük sağlamak için sürekli olarak yeni teknikler uygulamak için çalışıyoruz.
Örneğin, Threat Intelligence hizmetimizden alınan aşağıdaki görüntü, Yürütme taktiği altında uygun teknikle (T830) kategorize edilen Ortadaki Adam (MITM) saldırısını göstermektedir.
Tehdit aktörlerinin ve siber saldırıların sürekli olarak gelişmekte olduğu göz önüne alındığında, güncel kalmak önemlidir. Sizi Nozomi Networks Labs‘a abone olmaya ve tehdit önerileri, güvenlik raporları, web seminerleri, podcast’ler ve Nozomi Networks Labs Güvenlik Araştırma ekibi tarafından geliştirilen diğer ücretsiz araçlar dahil olmak üzere siber güvenlik topluluğu kaynaklarımızı kullanmaya davet ediyoruz.
Daha fazlası için: hello@cerrus.io