“Cyber Kill Chain”
Cyber Kill Chain Nedir?
Siber saldırıları planlayabilmek veya gerçekleşen saldırıyı anlayabilmek için günümüzde kullanılan yollardan birisidir.
“Locheed Martin” firması tarafından geliştirilen “Cyber Kill Chain” keşif aşamasından eylem aşamasına kadar tanımlayan ve bu saldırıyı gerçekleştirmek veya önlemek amacıyla oluşturulan 7 aşamalı bir modeldir. Bunlar:
1- Reconnaissance (Keşif)
2- Weaponization (Silahlanma)
3- Delivery (İletme)
4- Exploitation (Sömürme)
5- Installation (Yükleme)
6- Command and Control (Komuta Kontrol)
7- Actions on objectives (Eylem)
1- Reconnaissance (Keşif)
Siber saldırı başlamadan önce gözlem yapma ve (aktif, pasif) bilgi toplama aşamasıdır. Saldırıyı gerçekleştirecek taraf; hedef cihaz veya sistemler üzerinde belli araçlar ile taramalar gerçekleştirerek cihazda bulunan açıkları & zafiyetleri tespit etmeye çalışır. Aynı zamanda bu kısımda hedef için ulaşabileceği bütün bilgileri de almaya çalışır (Hedef cihaz ipleri, Çalışan E-postaları, Hedef Ağ Haritası). Hem “Pasif Bilgi Toplama” & “Aktif Bilgi Toplama” araçları ile, hem de “Sosyal Mühendislik” ile bu bilgilere ulaşılabilir.
Pasif Bilgi Toplama: Karşı tarafın haberi olmayacak şekilde, Pasif olarak, bilgilere ulaşmak için kullanılan bir yöntemdir.
Aktif Bilgi Toplama: Hedef ile temasa geçilip, haberi olabilecek şekilde, Aktif olarak, bilgilere ulaşmak için kullanılan bir yöntemdir. Örnek araçlar:
1– Whois Servisleri
2– Google Dorking
3– NSLOOKUP
4– NMAP
5- DNSENUM
Sosyal Mühendislik: Karşı tarafın genel olarak kullandığı sosyal medya hesapları gibi uygulamalarda kendi hakkında paylaştığı bilgileri toplama ve bu bilgileri kullanmak, karşı tarafı “Phising (Oltalama)” saldırısyla bilgilerini zorla almak vb. yolları kullanmaktır.
2- Weaponization (Silahlanma)
Karşı taraf hakkında bilgiler toplanıp, açıklar öğrenildikten sonra bu bilgileri nasıl ve hangi araçlar ile (exploit, script, malware, tool) değerlendirileceği belirlenen ve sızma işleminin bu şekilde gerçekleştirdiği kısımdır.
3- Delivery (İletme)
Hazırlanan saldırının hedefe ulaştırılması. Hedef çalışanların, e postalarına, “Phising” veya Genel “Sosyal Mühendislik” yapılabilir. Bunun önlenmesi için çalışanların bilgilendirilmesi ve bu konuda bilgi sahibi olmaları sağlanmalıdır.
4- Exploitation (Sömürme)
Bu kısımda, hazırlanan malware veya exploitin belirlenen yolla, hedefteki zafiyete girilmesi ve bilgilerin sömürülmeye başladığı kısımdır. Bunu önlemek için sistemlerin ne sıklıkla güncellendiği , sistemdeki zafiyetlerin tespit edilmesi gerekmektedir.
5- Installation (Yükleme)
Hedefin sömürme işleminden sonra kalıcı bir tehdit haline gelmek, güvenlik sisteminin ötesinde sistem başarılı bir şekilde kontrol edilebilmesi için hedefe asıl zararlı yazılımın indirilmesi kısımıdır. Önlenebilmesi için “Whitelisting ve Blacklisting” oluşturma bu aşamayı önleyebilir.
6- Command and Control (Komuta Kontrol)
Sisteme yerleşmiş olan malware’ın çalışması, uzaktan kontrol edilebildiği ve sistemin ele geçirildiği aşamadır. Bu aşama için saldırıyı engelleyebilecek “FIREWALL” ve “IPS”in devrede olup olmadığı ve iyi durumda olup olmadığını kontrol etmek önemlidir.
7- Actions on objectives (Eylem)
Bütün aşamaları gerçekleştirdikten sonra “Hacker” hedefe erişim sağlamıştır ve bu aşamada, veri çalma, veri değiştirme, veri silme, sisteme zarar verme gibi eylemleri gerçekleştirebilir. Önlem olarak iç ağdan dışarı yapılan veri akışı sınırlandırılması, sadece bilinen sunuculara veri akışını sağlama & “Whitelisting” oluşturulduğunda saldırılar engellenebilir. Bu süreçte tehdit altındaki verilerin yedeklerinin önceden alınması, bir sistem devre dışı kaldığında hizmet verebilecek yedek sistemin olması bu saldırının etkilerini azaltabilir.
Yazının sonuna geldik okuduğunuz ve vakit ayırdığınız için teşekkürler.
