Cyber Kill Chain siber saldırıları analiz etmek için geliştirilmiş bir modeldir. Locheed Martin tarafından geliştirilmiş bu model, keşif aşamasından saldırı aşamasına kadar tanımlayan ve bu saldırıyı gerçekleştirmek veya önlemek amacıyla oluşturulan 7 aşamalı bir modeldir.
- Reconnaissance ( keşif )
- Weaponization ( silahlanma )
- Delivery ( iletme )
- Exploitation ( sömürme )
- Installation ( yükleme )
- Command and Control ( komuata kontrol )
- Actions on objectives ( eylem )
1- Reconnaissance :
Saldırı gerçekleşmeden veya bir istismar yaratılmadan önce keşif ve bilgi toplama aşamasıdır. Bu aşamada saldıran taraf hedef sistemler üzerinden çeşitli taramalar yaparak işine yarayabilecek her türlü bilgiyi alır. Bilgi toplama işlemi kendi içinde ikiye ayrılan bir aşamadır.
1.1 Pasif Bilgi Toplama: Pasif bilgi toplama saldırganın sistem hakkında kamuya açık olarak paylaşılmış bilgileri topladığı adımdır. Bu adımda saldırgan sistem loglarına yakalanmadan bilgi toplar. Örneğin “Shodan”,”theHarvester” gibi araçları kullanmak pasif bilgi toplama işlemidir.
1.2 Aktif Bilgi Toplama : Hedef sistem ile doğrudan temasa geçilerek yapılan bilgi toplama işlemidir. Örneğin “port tarama” işlemi bir “Aktif Bilgi Toplama” adımıdır.
2-Weaponization:
“Reconnaissance” adımında tespit edilen zafiyetlerin sömürülmesi için kullanılacak yöntemlerin belirlenmesi ve uygun araçları hazırlama olarak tanımlanan aşamadır. Bu aşamada zafiyete uygun exploitler veya oltalama için uygun olabilecek mail adresleri kullanılarak sızma işlemleri yapılır.
3-Delivery:
Saldırgan tarafından hazırlanan zararlının hedefe iletildiği aşamadır. Çok farklı yöntemler kullanılarak örneğin ; açık kaynak kodlu yazılımlar, phishing, veya tünellemeler gibi yöntemler kullanılabilir. Bu adımı önlemek için yapılması gereken şey kurumda çalışan personellerin bu saldırılara karşı farkındalık yaratabilmek için sürekli bilgilendirilmesi ve eğitilmesi gerekmektedir. Siber Farkındalık kurum içinde iyi bir şekilde yaratılabilirse saldırı henüz gelmeden engellenmiş olacaktır.
4-Exploitation:
Saldırganın oluşturduğu zararlı yazılım ve belirlediği iletim yöntemini kullanarak hedef sisteme bulaştırdığı zararlı yazılımın hedefin zafiyetini sömürdüğü aşamadır. Bu adımın önlenmesi için sistemlerdeki güvenlik açıklarının taranıp kapatılması. Düzenli olarak “Sızma Testi” hizmetinin alınarak kurum içinde uygulanması ve bu açıkların “beyaz şapkalı hackerlar” tarafından tespit edilip kapattırılması gerekiyor.
5-Installation:
Hedefteki zafiyetin saldırgan tarafından istismar edilmesinin ardından saldırganın kendini sistemde kalıcı hale getirmek için yaptığı çalışmalar bu aşamada yapılılır. Zararlı yazılımın sistemde mümkün olduğu kadar tutmak isteyecektir. Saldırgan hedefi içeride yakalanmadan maksimum süre boyunca kalmaktır.
6- Command and Control:
Saldırganın hedef sisteme bulaştırdığı zararlı yazılımın sistemi ele geçirdiği aşamadır.
7-Actions on objectives:
Saldırgan bu aşamaya kadar bütün işlemleri gerçekleştirmiş ve sisteme hakim olmuştur artık veri çalma, veri değiştirme , veri silme , veri şifreleme, sisteme zarar verme gibi eylemleri gerçekleştirebilir. Bu adımı önlemek için sistemlerimizdeki dosyalarımızı düzenli olarak yedek almalıyız.
Bu adımların hiç yaşanmaması için kurum içinde personelimizin “Siber Farkındalık” düzeyini arttırmalıyız. Sistemimizde düzenli yedek almalıyız. Düzenli olarak “Sızma testleri” yaptırmalıyız. Sistemi iyi kurmalı ve iyi yönetmeliyiz. “Siber Güvenliği” sürecini ASLA GECİKTİRMEMELİYİZ. Sözlerimi son bir alıntı ile bitirmek istiyorum.
Savaşta bütün gecikmeler tehlikelidir.
John Dryden
Buraya kadar okuduğunuz için teşekkür ederim.
Daha fazla siber güvenlik içeriği için takipte kalın…
Bir yanıt bırakın