Acı Piramidi(Pyramid of Pain)
Merhaba arkadaşlar,
Bu yazımda siber güvelikte savunma tarafında kullanılan modellerden biri olan acı piramidi(pyramid of pain) modelinden bahsedeceğim. Bu model, siber saldırıların olası etkilerini hiyerarşik olarak sınıflandırarak, savunma kaynaklarının bu etkilere göre önceliklendirilmesine yardımcı olur.
Acı Piramidi, siber güvenlik düzeyinin beş seviyesini temsil eden bir modeldir. Acı Piramidi, en alt seviyede en temel güvenlik ihtiyaçlarını ve en üst seviyede daha sofistike güvenlik önlemlerini kapsar.
Piramidin alt seviyeleri, temel güvenlik adımlarını içerir. Bu seviyeler, ağa erişim kontrolü, güvenlik duvarları, antivirüs yazılımları, yama yönetimi ve güvenlik politikaları gibi önemli adımları içerir.
Orta seviyeler, ağ güvenliği için daha ileri düzey önlemleri içerir. Bu seviyeler, ağa saldırı tespit ve önleme, trafiği şifreleme, kimlik doğrulama ve yetkilendirme, güvenlik bilgisi ve olay yönetimi gibi çözümleri kapsar.
Piramidin üst seviyeleri, daha sofistike siber güvenlik önlemlerini içerir. Bu seviyeler, yapay zeka ve makine öğrenimi ile güçlendirilmiş güvenlik, davranışsal analiz ve siber tehdit istihbaratı, uçtan uca şifreleme, güvenli yazılım geliştirme ve veri yönetimi ve güvenliği gibi daha gelişmiş çözümleri içerir.
Acı Piramidi, siber güvenlikte farkındalığı artırmak ve en uygun güvenlik önlemlerini almak için bir çerçeve sunar.
Acı Piramidi’nin Basamakları
1-Hash Değerleri
Güvenlik uzmanları, genellikle belirli bir kötü amaçlı yazılım örneğine, kötü amaçlı veya şüpheli bir dosyaya ilişkin içgörü elde etmek ve kötü amaçlı yapıyı benzersiz bir şekilde tanımlamanın ve bunlara başvurmanın bir yolu olarak karma değerleri kullanır.
Hash değerlerini aramak için virustotal veya OPSWAT kullanılabilir.
2-IP Adresleri
Bir ağa bağlı herhangi bir cihazı tanımlamak için bir IP adresi kullanılır. Savunma açısından, bir rakibin kullandığı IP adreslerinin bilgisi değerli olabilir. Yaygın bir savunma taktiği, parametrenizdeki veya harici güvenlik duvarınızdaki IP adreslerinden gelen istekleri engellemek, bırakmak veya reddetmektir. Deneyimli bir düşmanın yalnızca yeni bir genel IP adresi kullanarak kurtarması önemsiz olduğundan, bu taktik genellikle kurşun geçirmez değildir.
3-Alan Adları
Etki alanı adlarını değiştirmek, büyük olasılıkla alanı satın almaları, kaydetmeleri ve DNS kayıtlarını değiştirmeleri gerekeceğinden, saldırgan için biraz daha zahmetli olabilir . Ne yazık ki savunucular için, birçok DNS sağlayıcısı gevşek standartlara sahiptir ve saldırganın etki alanını değiştirmesini daha da kolaylaştırmak için API’ler sağlar.
4-Host/Networks Artifacts
Bu seviyede, saldırıyı tespit edebilirseniz, saldırgan biraz daha rahatsız ve hüsrana uğramış hissedecektir. Saldırganın bu tespit seviyesinde geri dönmesi ve saldırı araçlarını ve metodolojilerini değiştirmesi gerekir. Bu, saldırgan için çok zaman alıcıdır ve muhtemelen düşman araçlarına daha fazla kaynak harcaması gerekecektir.
Ana bilgisayar yapıları, kayıt defteri değerleri, şüpheli işlem yürütme, saldırı modelleri veya IOC’ler (Gizlilik Göstergeleri), kötü amaçlı uygulamalar tarafından bırakılan dosyalar veya mevcut tehdide özel herhangi bir şey gibi saldırganların sistemde bıraktığı izler veya gözlemlenebilir öğelerdir.
5-Araçlar
Bu aşama koyu sarı renklidir çünkü burada tehdit aktörünün kullandığı araçlar ve zararlılar tespit edilebilmekte. Bu aşamada tehdit aktörünün kullandığı zararlı yazılımlar veya benzeri araçların analizi yapılabilir ve bunlara karşı doğru önlemler alınabilir. Saldırganın kullandığı araç setlerinin artık işe yaramaması saldırganın motivasyonunu çok fazla düşürmektedir çünkü yeni araçlar üretebilmek için çok fazla araştırma yapması gerekecek.
Antivirüsle ve YARA kuralları bu aşamada saldırganları tespit etmek için kullanılabilecek yöntemlerdir.
6-TTP
Bu aşama kırmızı renktedir çünkü bu aşamada saldırganın davranışları ile doğrudan kim olduğuna dair çıkarım yapılabilir. Bu bilgi ise saldırganın sonraki hamlelerini önceden bilmek ve ona göre karşı hamleler yapmayı sağlayarak kolayca saldırganı saf dışı bırakabilir. Böyle bir durum saldırgan açısından çok kötüdür çünkü bu durumda iki seçeneği vardır. Ya tamamen vazgeçecek ya da her şeye sıfırdan başlayacak.
Hacker gruplarının TTP’leri hakkında bilgi toplamak için MITRE ATT&CK kullanabilirsiniz.
Siber güvenlikte Acı Piramidi Modeli, güvenlik uzmanlarının ve organizasyonların siber tehditlere karşı daha etkili bir şekilde savunma yapmalarına yardımcı olacak önemli bir çerçeve sağlıyor. Bu modeli anlamak ve uygulamak, verilerinizi, cihazlarınızı ve işletmenizi korumak için gereken adımları atmaya yardımcı olacaktır. Yazımın sonuna gelmiş bulunuyoruz umarım sizin için faydalı bir yazı olmuştur.
