Siber Saldırı Zaman Çizelgesi ve MITRE ATT&CK ile Stratejik Haritalama
Modern siber tehdit peyzajında bir saldırının sadece ne olduğunu bilmek yetmez. Saldırının hangi aşamalardan geçtiğini ve saldırganın hangi zaman diliminde hangi taktikleri uyguladığını anlamak savunma derinliği açısından kritiktir. Siber saldırı zaman çizelgesi analizi bir ihlalin anatomisini ortaya koyan en güçlü adli bilişim ve proaktif savunma metodolojisidir.
Nesil Teknoloji olarak TSE A Sınıfı Sızma Testi yetkimizle kamu kurumları ve sanayi devleri için gerçekleştirdiğimiz operasyonlarda MITRE ATT&CK matrisini temel bir pusula olarak kullanmaktayız. Bu içerikte bir saldırının başlangıcından veri sızıntısına kadar olan süreci teknik katmanlarıyla inceleyeceğiz.
Siber saldırı zaman çizelgesi analizi olay müdahale süreçlerinde saldırganın ayak izlerini kronolojik sırayla takip ederek gelecekteki tehditleri engellemeyi hedefler. MITRE ATT&CK ise bu süreci standardize eden küresel bilgi tabanıdır.
1. MITRE ATT&CK Çerçevesi ve Teknik Derinlik
Siber saldırıların karmaşıklığı arttıkça geleneksel savunma yöntemleri yetersiz kalmaktadır. MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) saldırganların gerçek dünya operasyonlarında kullandıkları taktik ve teknikleri listeleyen yaşayan bir kütüphanedir. Bu matris siber saldırı zaman çizelgesi oluştururken her bir adımın teknik karşılığını bulmamızı sağlar.
Taktikler ve Teknikler Arasındaki Akademik Ayrım
MITRE ATT&CK hiyerarşisinde taktikler saldırganın nihai hedefini ifade eder. Örneğin “Erişim Elde Etme” bir taktiktir. Teknikler ise bu hedefe ulaşmak için kullanılan somut yöntemlerdir. “Kimlik Avı (Phishing)” erişim elde etmek için kullanılan bir tekniktir. Alt teknikler ise bu yöntemin spesifik varyasyonlarını tanımlar. Nesil Teknoloji Red Team operasyonlarında bu hiyerarşiyi kullanarak kurumların savunma kapasitesini en ince ayrıntısına kadar test etmekteyiz.
| Kavram | Açıklama | Örnek Uygulama |
|---|---|---|
| Taktik (Tactics) | Saldırganın operasyonel hedefi | Kalıcılık Sağlama (Persistence) |
| Teknik (Techniques) | Hedefe ulaşma yöntemi | Zamanlanmış Görevler (Scheduled Tasks) |
| Prosedür (Procedures) | Tekniğin uygulanma biçimi | PowerShell ile schtasks.exe kullanımı |
Red Team Operasyonlarında Araç Seçimi ve Kıyaslama
Siber saldırı zaman çizelgesi oluşturulurken kullanılan araçların log üretim kapasiteleri analiz edilmelidir. Nmap port tarama ve servis keşfi aşamasında aktif olarak kullanılırken Metasploit Framework istismar (exploitation) aşamasında devreye girer. Ancak güncel savunma mekanizmaları bu araçların standart imzalarını kolaylıkla tespit edebilmektedir. Bu noktada yapay zeka destekli otonom ajanlar ve özel olarak geliştirilmiş “obfuscation” teknikleri önem kazanmaktadır.
Örneğin Nmap üzerinden yapılan bir “Stealth SYN Scan” (-sS) ağ seviyesinde TCP üçlü el sıkışmasını tamamlamadığı için pek çok IDS sistemi tarafından dikkatle izlenir. Red Team operatörlerimiz bu aşamada saldırı zaman çizelgesini geniş bir zamana yayarak (Low and Slow) tespit riskini minimize ederler. Bu yaklaşım gerçek bir APT (Advanced Persistent Threat) grubunun davranış biçimiyle birebir örtüşmektedir.
Yapay Zeka Destekli Saldırı Ajanları
Günümüzde saldırganlar zaman çizelgesini hızlandırmak için yapay zeka ajanlarını kullanmaktadır. Bu ajanlar ağ topolojisini otonom olarak haritalayıp en zayıf noktayı insan müdahalesi olmadan saptayabilmektedir. Savunma tarafında ise bu durum ancak siber saldırı zaman çizelgesi analizini otomatize eden SOAR çözümleriyle dengelenebilir.
2. Siber Saldırı Zaman Çizelgesi: Adım Adım Analiz
Bir siber saldırı anlık bir olay değil bir süreçtir. Siber saldırı zaman çizelgesi bu sürecin kronolojik bir dökümünü yaparak “Sıfırıncı An”dan (Initial Compromise) veri sızıntısına (Exfiltration) kadar olan yolu aydınlatır. Kurumsal ağlarda bu çizelgeyi oluşturmak için SIEM (Security Information and Event Management) ve EDR (Endpoint Detection and Response) sistemlerinden gelen veriler korele edilmelidir.
Keşif ve Hazırlık Aşaması (Reconnaissance)
Saldırganın hedef kurum hakkında bilgi topladığı aşamadır. Pasif keşif yöntemleri arasında WHOIS kayıtları, DNS bilgileri ve Shodan gibi servisler yer alır. Aktif keşif ise doğrudan hedef sistemlere gönderilen paketleri içerir. Bu aşamada TCP IP protokol yığınının derinlemesine bilinmesi gerekir. Örneğin bir saldırganın ICMP paketleri yerine ACK taraması yaparak güvenlik duvarı kurallarını haritalaması profesyonel bir yaklaşım göstergesidir.
Erişim ve Yerleşme (Initial Access)
Siber saldırı zaman çizelgesi içindeki en kritik kırılma noktasıdır. Genellikle RDP (Remote Desktop Protocol) zafiyetleri veya VPN açıklarından yararlanılır. Kamu kurumlarında özellikle dışa açık servislerin düzenli olarak güncellenmemesi saldırganlara kapı aralar. Nesil Teknoloji uzmanları bu aşamada sızma testleri ile sistemin en zayıf halkasını tespit ederek kuruma raporlar.
Yanal Hareket (Lateral Movement)
Saldırgan sisteme dahil olduktan sonra hedeflediği veriye ulaşmak için ağ içinde hareket eder. Bu süreçte SMB (Server Message Block) protokolü üzerinden NTLM hashlerinin ele geçirilmesi (Pass-the-Hash) sıkça karşılaşılan bir durumdur. Zaman çizelgesinde yanal hareketin tespiti anormal trafik hacmi ve olağandışı saatlerdeki oturum açma işlemleri ile saptanabilir.
Vaka Analizi: Türkiye’deki büyük ölçekli bir üretim tesisinde yaşanan fidye yazılımı saldırısında saldırganın içeri sızdıktan sonra 43 gün boyunca yanal hareket yaptığı tespit edilmiştir. Bu süreçte saldırganlar Modbus protokolü üzerinden PLC sistemlerine erişmeye çalışmış ancak ağ segmantasyonu sayesinde kritik üretim bandına ulaşamamışlardır. Bu durum doğru yapılandırılmış bir savunma mimarisinin siber saldırı zaman çizelgesi üzerindeki baskılayıcı etkisini kanıtlamaktadır.
Kalıcılık ve Yetki Yükseltme
Saldırgan sistemde kalıcı olabilmek için yeni kullanıcılar oluşturabilir veya kayıt defteri (registry) anahtarlarını değiştirebilir. MITRE ATT&CK matrisinde bu durum “Persistence” ve “Privilege Escalation” olarak adlandırılır. Zaman çizelgesi analizinde bu adımlar genellikle sistem dosyalarındaki değişiklik logları (Sysmon) üzerinden takip edilir.
3. ICS ve Kritik Altyapı Güvenliği Tehdit Modelleme
Fabrikalar ve enerji dağıtım tesisleri gibi kritik altyapılarda kullanılan siber saldırı zaman çizelgesi analizleri klasik BT ağlarından çok daha karmaşıktır. Bu sistemlerde kullanılan Modbus, DNP3 ve PROFINET gibi protokoller güvenlikten ziyade süreklilik odaklı tasarlanmıştır. Bu durum siber güvenlik uzmanları için farklı bir uzmanlık alanı gerektirir.
Endüstriyel Protokollerin Güvenlik Açıkları ve Çalışma Mantığı
Modbus protokolü doğası gereği herhangi bir kimlik doğrulama mekanizmasına sahip değildir. Bir saldırgan ağa eriştikten sonra “Write Multiple Registers” komutuyla PLC (Programmable Logic Controller) değerlerini değiştirebilir. Siber saldırı zaman çizelgesi içinde bu tür bir manipülasyon fiziksel hasara yol açabilecek en son aşamadır. MITRE ATT&CK for ICS matrisi bu tür spesifik saldırıları sınıflandırmak için en uygun rehberdir.
DNP3 (Distributed Network Protocol) ise genellikle elektrik şebekelerinde kullanılır. Bu protokolün siber saldırı zaman çizelgesi içindeki yeri verilerin manipüle edilerek operatörlerin yanlış bilgilendirilmesi (Spoofing) üzerinedir. Bir saldırgan istasyonlar arası iletişimi keserek fiziksel şalterlerin durumunu gizleyebilir.
Teknik Karşılaştırma: Nmap vs. ICS Tarayıcılar
| Özellik | Nmap (Standart) | ICS Odaklı Araçlar (Claroty vb.) |
|---|---|---|
| Protokol Desteği | TCP/UDP Odaklı | Modbus, DNP3, BACnet, S7 |
| Hassasiyet | Agresif tarama riski | Pasif dinleme ve güvenli sorgulama |
| Analiz Derinliği | Port ve Servis | Donanım sürümü ve PLC durumu |
Üretim tesislerinde siber saldırı zaman çizelgesi genellikle IT ağından OT (Operational Technology) ağına geçişle ivme kazanır. Purdue Modeli uyarınca katmanlar arası geçişlerin sıkı kontrol edilmesi hayati önem taşır. Nesil Teknoloji olarak TSE A Sınıfı sızma testi yetkinliğimizle bu katmanlar arasındaki geçiş noktalarını denetliyor ve olası bir sızıntının zaman çizelgesini daha en başında sonlandıracak stratejiler geliştiriyoruz.
4. Regülasyonlar, ISO 27001 ve Stratejik Savunma
Siber saldırı zaman çizelgesi analizi sadece teknik bir gereklilik değil aynı zamanda yasal bir zorunluluktur. Türkiye’de KVKK (Kişisel Verilerin Korunması Kanunu) ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayımlanan Bilgi ve İletişim Güvenliği Rehberi siber olayların kayıt altına alınmasını ve raporlanmasını zorunlu kılar.
ISO 27001 ve NIST Standartları
ISO 27001 Bilgi Güvenliği Yönetim Sistemi siber saldırı zaman çizelgesi oluşturma sürecini “Olay Yönetimi” maddesi altında ele alır. NIST (National Institute of Standards and Technology) Siber Güvenlik Çerçevesi ise Tanımla, Koru, Tespit Et, Yanıt Ver ve Kurtar adımlarıyla süreci yapılandırır. MITRE ATT&CK ile bu çerçeveleri birleştirmek kuruma bütüncül bir bakış açısı sağlar.
KVKK kapsamında veri ihlali bildirim süresi 72 saattir. Bu kısa sürede sağlıklı bir analiz yapabilmek için saldırının siber saldırı zaman çizelgesi net bir şekilde ortaya konmalıdır. Hangi verilerin hangi yöntemle dışarı çıkarıldığı belgelenmeden yapılan bildirimler yasal süreçlerde kurumun aleyhine sonuçlar doğurabilir. Nesil Teknoloji uzman ekibi bu süreçte kurumların yanında yer alarak teknik ve yasal uyumluluk desteği sunmaktadır.
Geleceğin Savunma Mimarisi: Otonom Güvenlik
Yapay zeka ajanları artık sadece saldırı tarafında değil savunma tarafında da aktif rol oynamaktadır. SOAR (Security Orchestration, Automation, and Response) sistemleri siber saldırı zaman çizelgesi üzerindeki anormallikleri milisaniyeler içinde tespit ederek otomatik bloklama yapabilmektedir. Ancak bu sistemlerin başarısı MITRE ATT&CK matrisiyle ne kadar entegre olduklarına bağlıdır.
Sonuç olarak bir kurumun siber olgunluk seviyesi saldırıya uğramama ihtimaliyle değil saldırıyı ne kadar hızlı teşhis edip zaman çizelgesini ne kadar kısa sürede sonlandırabildiği ile ölçülür. Nesil Teknoloji olarak kamu ve özel sektördeki tecrübemizle bu dayanıklılığı artırmak için profesyonel çözümler üretiyoruz.
Sık Sorulan Sorular
Siber saldırı zaman çizelgesi neden önemlidir?
Saldırının kök nedenini anlamak, hangi verilerin tehlikeye girdiğini belirlemek ve gelecekteki benzer saldırıları önlemek için gereklidir. Ayrıca yasal raporlama süreçlerinde kanıt niteliği taşır.
MITRE ATT&CK matrisi her kurum için uygun mudur?
Evet, matris küçük işletmelerden devasa fabrikalara kadar her yapıya uyarlanabilir. Kuruma özel tehdit modellemesi yapılmasına olanak tanır.
TSE A Sınıfı Sızma Testi yetkisi ne anlama gelir?
Bu yetki Nesil Teknoloji nin en üst düzey teknik yetkinliğe, donanıma ve uzman kadroya sahip olduğunu, en karmaşık sistemlerde bile güvenilir sızma testleri yapabildiğini tescil eder.
