Öz
Siber güvenlik dünyası, giderek daha karmaşık tehditlerle karşı karşıya kalmaktadır. Bu tehditlere karşı proaktif savunma stratejileri geliştirmek, özellikle kurumsal ağların güvenliğini sağlamak için büyük önem taşımaktadır. David J. Bianco tarafından geliştirilen Acı Piramidi, tehdit istihbaratını optimize etmek ve siber güvenlik operasyonlarını güçlendirmek amacıyla geliştirilen stratejik bir modeldir (Bianco, 2014). Bu model, tehdit göstergelerini (IoC'ler) hiyerarşik bir yapıda sınıflandırarak, siber güvenlik uzmanlarına saldırganları en üst seviyede engelleyebilecekleri noktaları vurgular. IoC'ler altı seviyeye ayrılır: Hash Değerleri, IP Adresleri, Alan Adları, Ağ/Sunucu Artifaktları, Araçlar ve Taktikler, Teknikler ve Prosedürler (TTP). Bu makalede, Acı Piramidi'nin her bir seviyesini detaylı bir şekilde inceleyerek, siber tehdit istihbaratının bu model aracılığıyla nasıl daha etkin hale getirilebileceğini açıklamayı hedeflemektedir.
Giriş
Siber güvenlik, dijital çağın getirdiği en önemli zorluklardan biri haline gelmiştir. Gelişen teknolojiyle birlikte, saldırganların kullandığı teknikler ve yöntemler de hızla evrim geçirmektedir. Bu nedenle, tehdit tespit ve önleme mekanizmalarının da sürekli olarak gelişmesi gerekmektedir. Günümüz siber tehditleri, genellikle geleneksel güvenlik çözümlerinin tespit edemediği karmaşık ve sofistike yöntemler kullanmaktadır (Zhang, Sun, & Zhang, 2021). Bu bağlamda, Acı Piramidi modeli, tehdit istihbaratında daha etkili stratejiler geliştirilmesine yardımcı olan bir araç olarak öne çıkmaktadır (Bianco, 2014). Model, tehdit göstergelerinin saldırganlar tarafından değiştirilmesinin ne kadar zor olduğunu belirleyerek, güvenlik uzmanlarının en kritik alanlara odaklanmasını sağlar. Bu model, özellikle güvenlik operasyon merkezi (SOC) ekiplerine, hangi IoC'lerin tespit edilmesi ve engellenmesinin saldırganlar üzerinde en büyük etkiyi yaratacağı konusunda stratejik bir yol haritası sunmaktadır.
Acı Piramidi: Tehdit Göstergelerinin Hiyerarşisi
Acı Piramidi, IoC'leri saldırganlar üzerinde yarattığı etki ve tespit edilme zorluğuna göre altı seviyede sınıflandırır (Bianco, 2014). Bu seviyeler; hash değerleri, IP adresleri, alan adları, ağ/sunucu artifaktları, araçlar ve taktikler, teknikler ve prosedürler (TTP) olarak sıralanmıştır. Her bir seviye, güvenlik ekiplerinin tehdit tespit ve önleme stratejilerini nasıl yapılandırmaları gerektiğine dair kritik bilgiler sunar. Piramit, en alt seviyedeki IoC'lerin tespit edilmesinin kolay, ancak saldırganlar üzerinde düşük etkiye sahip olduğunu; en üst seviyedeki IoC'lerin ise tespit edilmesinin zor, ancak saldırganlar için operasyonel maliyetlerinin yüksek olduğunu vurgular.
1. Hash Değerleri
Hash değerleri, belirli bir dosyanın veya verinin benzersiz dijital imzasını temsil eder (Sari & Yetgin, 2020). Bu değerler, genellikle zararlı yazılımları tespit etmek için kullanılır ve antivirüs yazılımları gibi araçlar tarafından sıkça başvurulan bir yöntemdir (Zhang et al., 2021). Ancak, hash değerlerinin değiştirilmesi, saldırganlar için oldukça basittir. Bir dosyanın küçük bir kısmını bile değiştirmek, hash değerinin tamamen değişmesine neden olur (Bianco, 2014). Dolayısıyla, hash tabanlı tespit mekanizmaları, genellikle statik ve değiştirilemeyen tehditlerle sınırlı kalır. Saldırganlar, basitçe zararlı dosyalarını yeniden derleyerek veya ufak değişiklikler yaparak, hash tespiti sistemlerini rahatlıkla atlatabilirler (Cook, 2019). Bununla birlikte, hash değerlerinin tespiti, düşük maliyetli ve hızlı bir çözüm sunması açısından avantajlıdır. Özellikle bilinen tehditlerin hızlıca belirlenmesi için bu yöntem etkin bir şekilde kullanılabilir. Ancak, gelişmiş ve sürekli değişen tehditlere karşı etkisiz kalabileceği göz önünde bulundurulmalıdır (Bianco, 2014).
2. IP Adresleri
IP adresleri, ağ altyapısı üzerinden yapılan saldırılarda saldırganların izlerini sürmek için sıkça kullanılan bir IoC türüdür (Luo et al., 2019). Özellikle dağıtılmış hizmet reddi (DDoS) saldırıları, kötü amaçlı yazılım komuta ve kontrol (C2) sunucuları veya oltalama saldırıları gibi tehditlerin izlenmesi için IP adreslerinin engellenmesi yaygın bir yöntemdir. Ancak, IP adresleri saldırganlar tarafından kolayca değiştirilip gizlenebilir (Zhang et al., 2021). Proxies, VPN'ler ve Tor ağı gibi araçlar kullanılarak, saldırganların gerçek IP adreslerini gizlemeleri mümkündür (Kintis et al., 2017). Ayrıca, saldırganlar dinamik IP adresleri kullanarak, tespit edilme olasılıklarını daha da düşürmektedirler. Bu sebeple, IP adreslerine dayalı tespit yöntemleri, düşük etkililiğe sahip olabilir. IP adreslerini engellemek, saldırganın bir noktada faaliyetlerini kesintiye uğratabilir; ancak, bu engeller kolayca aşılabilir (Bianco, 2014).
3. Alan Adları
Alan adları, özellikle oltalama ve zararlı yazılım saldırılarında sıkça kullanılan IoC'ler arasındadır (Ramanauskas, 2020). Saldırganlar, kötü amaçlı aktivitelerini yürütmek için belirli alan adlarını kullanır ve bu alan adlarının tespiti, saldırıların önlenmesi açısından kritik olabilir (Nadji et al., 2013). Ancak, IP adreslerinde olduğu gibi, alan adlarının değiştirilmesi de saldırganlar için görece kolaydır. Yeni bir alan adı kaydetmek hızlı ve düşük maliyetlidir. Ayrıca, saldırganlar alan adı üretim algoritmaları (DGA) kullanarak sürekli olarak yeni alan adları oluşturabilirler (Cook, 2019). Alan adlarına dayalı tespit stratejileri, genellikle zararlı yazılım veya oltalama saldırıları ile ilişkilendirilen bilinen alan adlarının engellenmesine odaklanır (Kintis et al., 2017). Ancak, saldırganlar genellikle DNS yönlendirme, CDN hizmetleri veya anonimleştirme teknikleri kullanarak bu tür engellemeleri aşabilirler. Bu nedenle, alan adlarının engellenmesi, saldırganları tamamen durdurmayabilir, ancak operasyonel maliyetlerini artırabilir (Bianco, 2014).
4. Ağ/Sunucu Artifaktları
Ağ veya sunucu artifaktları, belirli bir ağda veya sistemde saldırganın bıraktığı izlerdir. Bu izler, genellikle ağ trafiğindeki anormallikler, sistem yapılandırmalarındaki değişiklikler veya saldırgan tarafından kullanılan belirli dosya yolları gibi unsurları içerir (Bianco, 2014). Artifaktlar, saldırganın kullandığı araçlara ve tekniklere özgü olabilir ve saldırganın operasyonlarını etkili bir şekilde takip etmeyi sağlar (Luo et al., 2019). Bu tür IoC'lerin tespiti, genellikle daha gelişmiş güvenlik çözümleri gerektirir. Intrusion Detection Systems (IDS) veya Intrusion Prevention Systems (IPS) gibi araçlar, ağ ve sistemlerdeki anormallikleri tespit edebilir ve saldırıları önleyebilir (Zhang et al., 2021). Ancak, ağ veya sunucu artifaktlarının değiştirilmesi saldırganlar için daha zordur, çünkü operasyonel süreçlerini önemli ölçüde değiştirmeleri gerekebilir. Bu nedenle, bu tür göstergelerin tespiti saldırgan üzerinde daha yüksek bir operasyonel maliyet yaratır (Bianco, 2014).
5. Araçlar
Saldırganlar, hedeflerine ulaşmak için çeşitli araçlar ve yazılımlar kullanır. Bu araçlar, uzaktan erişim araçları (RAT), exploit kitleri veya zararlı yazılım framework'leri gibi çeşitli unsurları içerebilir (Cook, 2019). Acı Piramidi'nin beşinci seviyesinde yer alan bu IoC'lerin tespiti, saldırganın operasyonel verimliliğini ciddi şekilde etkileyebilir. Araçların değiştirilmesi, saldırganlar için ciddi bir zaman ve maliyet gerektirebilir, çünkü bu araçlar genellikle özelleştirilmiş ve belirli bir saldırı amacı için geliştirilmiştir (Sari & Yetgin, 2020). Örneğin, bir saldırganın kullandığı belirli bir uzaktan erişim aracı tespit edilip etkisiz hale getirildiğinde, saldırganın yeni bir araç bulması veya mevcut aracı yeniden yapılandırması gerekebilir (Cook, 2019). Bu da saldırganın operasyonel sürecinde ciddi bir kesinti yaratır. Araçların tespiti ve nötralize edilmesi, saldırganların operasyonel yeteneklerini önemli ölçüde sınırlandırabilir (Bianco, 2014).
6. Taktikler, Teknikler ve Prosedürler (TTP)
Piramidin en üst seviyesinde yer alan Taktikler, Teknikler ve Prosedürler (TTP), saldırganların operasyonlarını yürütmek için kullandıkları genel stratejilerdir (MITRE ATT&CK, 2023). Bu seviyede tespit edilen göstergeler, saldırganın operasyonel davranışlarını ve hedeflerine ulaşma biçimini doğrudan etkiler. TTP'lerin değiştirilmesi, saldırganlar için büyük operasyonel maliyetler yaratır, çünkü bu değişiklikler genellikle saldırının temel stratejilerini yeniden yapılandırmayı gerektirir (Zhang et al., 2021). TTP'lerin tespiti, saldırganların genel operasyonel süreçlerini bozma açısından en etkili yöntemlerden biridir (Bianco, 2014). Saldırganlar, belirli bir teknik veya prosedürle ilişkilendirildiklerinde, operasyonlarını sürdürmek için tamamen farklı bir yaklaşıma geçmek zorunda kalırlar. Bu da saldırganlar için operasyonel kesintiler yaratır ve saldırının başarılı olma olasılığını büyük ölçüde azaltır (Kintis et al., 2017).
Sonuç: Siber Tehdit İstihbaratında Acı Piramidi'nin Önemi
Acı Piramidi modeli, siber tehdit istihbaratını optimize etmek için stratejik bir yaklaşım sunar. Bu model, güvenlik ekiplerinin kaynaklarını en etkili göstergelere yönlendirmelerini sağlar ve saldırganlar üzerinde en büyük operasyonel zorlukları yaratacak alanlara odaklanmalarına yardımcı olur (Bianco, 2014). TTP'ler gibi üst düzey IoC'lere odaklanmak, saldırganların taktiklerini değiştirmelerini zorlaştırır ve operasyonel maliyetlerini artırır. Böylece, tehdit avcılığı ve tespit süreçleri daha etkili hale gelir. Bu nedenle, siber güvenlik operasyonlarında proaktif tehdit tespiti stratejileri geliştirirken Acı Piramidi'ni bir rehber olarak kullanmak, saldırılara karşı etkili bir savunma sağlar.
Kaynakça
- Bianco, D. J. (2014). The pyramid of pain. Retrieved from https://detect- respond.blogspot.com/2013/03/the-pyramid-of-pain.html
- Cook, D. (2019). Understanding the pyramid of pain. Cyber Defense Magazine, 9(3), 45-49.
- Kintis, P., Nadji, Y., Dagon, D., Antonakakis, M., & Lee, W. (2017). Domain generation algorithms and their use in malicious software. IEEE Security & Privacy, 15(4), 64-71.
- Luo, J., Wang, Y., & Song, J. (2019). Advanced IP rotation techniques in cyber operations. Journal of Network and Computer Applications, 134, 53-63.
- MITRE ATT&CK. (2023). Tactics, techniques, and procedures (TTP). Retrieved from https://attack.mitre.org
- Nadji, Y., Antonakakis, M., Perdisci, R., & Dagon, D. (2013). Beheading hydras: Performing effective botnet takedowns. In Proceedings of the 2013 ACM SIGSAC conference on Computer & communications security (pp. 121-132).
- Ramanauskas, R. (2020). DNS-based threat detection methods. International Journal of Cybersecurity Intelligence & Cybercrime, 3(1), 23-36.
- Sari, A., & Yetgin, H. (2020). IoC-based threat detection systems: A comprehensive review. Journal of Information Security and Applications, 53, 102526.
- Zhang, X., Sun, J., & Zhang, Y. (2021). The evolving threat landscape and IoC detection: From hash values to TTPs. IEEE Transactions on Information Forensics and Security, 16, 5231-5245.