Günümüzde kuruluşlar her zamankinden daha fazla siber tehditle karşı karşıya ve her zamankinden daha geniş saldırı yüzeylerine sahipler. Bu zorluklar göz önüne alındığında, şirketlerin bir adım önde olmaları ve tehditleri nasıl önleyecekleri, tespit edecekleri ve azaltacakları konusunda doğru kararlar almaları gerekmektedir.
Bu nedenle güvenlik uzmanları, işletmelerin siber güvenlik yeteneklerini güçlendirmelerine yardımcı olmak için Acı Piramidi gibi kavramsal modeller geliştirdiler. Bir Tehdit Avcısı (Threat Hunter), Olay Müdahalecisi (Incident Responder) veya SOC Analisti (SOC Analist) olarak Acı Piramidi (The Pyramid of Pain) kavramını anlamak önemlidir. Piramidin tabanından zirveye doğru ilerledikçe, kötü niyetli aktörler için değişiklik yapmanın zorluğu artar. En altta, en kolay değiştirilebilen bilgiler (örneğin hash değerleri) bulunurken, piramidin zirvesinde, en zor değiştirilebilen ve değerli bilgiler (Taktik, Teknik ve Prosedürler, TTP’ler) bulunmaktadır. Saldırganlar genellikle, ilk giriş yönteminden ağa yayılma ve veri sızdırma yöntemlerine kadar her şeyde kendilerini tanımlayan bir çalışma yöntemine sahiptir. TTP’ler, belirli bir tehdit aktörü veya grubu için oldukça özgündür ve bu yüzden bir saldırganın kimliğini belirlemede çok değerlidir. Saldırganların kullandığı araçları, teknikleri ve prosedürleri değiştirmek, bir hash değerini veya IP adresini değiştirmekten çok daha zordur. TTP’ler tanımak ve buna göre savunma stratejileri geliştirmek, organizasyonlar için daha uzun vadeli bir koruma sağlar. “Pyramid of Pain” içerisinde TTP’lerin en üstte yer alması, biz güvenlik ekiplerinin bir saldırgana en çok acıyı nasıl verebileceğimizi işini ne kadar zorlaştıracağımızı gösterir.
ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge,) MITRE tarafından oluşturulmuş bir bilgi tabanıdır ve siber tehditlerin ve onlara karşı alınabilecek önlemlerin anlaşılması için kullanılır. ATT&CK, saldırganların sistemler üzerindeki eylemlerini tanımlayan taktikler, teknikler ve prosedürleri (TTP) kapsar. ATT&CK matrisi, taktikler (tactics) ve teknikler (techniques) olmak üzere iki ana bileşenden oluşur.
Hem taktiklerin hem de tekniklerin anlaşılması ve birlikte değerlendirilmesi çok önemlidir, ancak hangisinin daha kritik olduğu, belirli bir durumun veya görevin gereksinimlerine bağlı olarak değişkenlik gösterebilir Taktikler, bir saldırganın amacına ulaşmak için izlediği genel hedefleri veya adımları ifade eder. Örneğin, “Initial Access” (Başlangıç Erişimi) veya “Execution” (Uygulama) birer taktiktir. Teknikler, belirli bir taktiği gerçekleştirmek için kullanılan spesifik yöntemleri yani saldırganın genel amaclarına ulaşmak için kullandığı spesifik yöntemleri belirtir. Her taktik, onu gerçekleştirmek için kullanılabilecek birçok tekniği içerebilir. Stratejik ve yüksek seviyeli bir bakış açısı için taktiklere dayalı tespit daha kritiktir. Tespitleri ve Müdahaleleri sadece TTP’ler içerisindeki tekniklere dayalı yapmak saldırganın genel amacını ve hedefine ulaşmak için kullanacağı spesifik yöntemlerin dışına çıktığı durumlarda yetersiz kalacağı gibi sadece tekniklere odaklanırsanız, en kritik tehditleri önceliklendirmekte zorluk yaşayabilirsiniz.