Merhaba sevgili okurlar bu yazımda size Elmas Modeli analizinden bahsedeceğim. Keyifle okumanız dileğiyle.
Elmas modeli Sergio Caltagirone, Andrew Pendergast ve Christopher Betz tarafından 2013 yılında geliştirilmiştir. Bazı kaynaklar bu modelin çok daha eski zamanlarda geliştirildiğini açıklar. Ama 2013 yılında herkese açık şekilde yayınlandığını söylemektedir.
Elmas Modeli, güvenlik uzmanlarına bir siber güvenlik olayının kurbanlarını, yeteneklerini ve altyapısını belirlemeye çalışır. Ve düşmanı daha iyi anlamaları için bir araç sağlar. Aynı zamanda, rakibin teknolojisini ve sosyal-politik motivasyonlarını ve niyetlerini anlamaya da yardımcı olur.
İçindekiler Tablosu
Diamond Modeli Nedir ?
Neden Diamond Modeli hakkında bilgi edinmelisiniz?
Elmas Modeli, izinsiz girişin unsurlarını belirlemenize yardımcı olur. İhlal, izinsiz giriş, saldırı gibi olaylar için Elmas Model’ni bilmek önem arz eder. Gelişmiş Kalıcı Tehdidi (APT) gruplarını da analize yardımcı olur.
Elmas Modeli, teknik bilgisi olmayan kullanıcılar için bir olay sırasında neler olduğunu açıklar. Ayrıca kötü niyetli hacker hakkında herhangi önemli bilgi için yardımcı olur.
Elmas Model özellikleri
Elmas modeli aşağıdaki şekilde gözüktüğü gibi 4 temel özellikten oluşmaktadır. Düşman, altyapı, kabiliyet, kurban. Model, ağ savunması için istihbaratı gerçek zamanlı olarak entegre etmeye yarar. Olaylar arasında korelasyonu otomatikleştirmek ve olayları güvenle düşman kampanyalarına göre sınıflandırmak azaltma stratejilerini planlarken ve kullanırken düşman operasyonlarını tahmin etmek için çeşitli fırsatlar sunar.
- Düşman (Adversary) : Düşman siber saldırıların arkasında bulunan kişi veya kişilerdir. Düşman kısmı genellikle elmasın diğer köşelerindeki bilgiler elde edildikten sonra bulunan kısımdır. Bazı durumlarda düşman kısmı net bir şekilde bulunamayabilir. Düşmanı ilişkilendirebilmek için kurbanın olası düşmanları hakkında iyi bir bilgiye sahip olması önemlidir.
- Yetenekler (Capabilities): Elmasın bu köşesi düşmanın, taktik, teknik ve prosedürlerini kapsar. Düşmanın saldırıda kullandığı yöntemler düşmanın kim olduğunu ilişkilendirmede önemli bir etkendir. Bu yetenekler zararlı yazılım geliştirme, zeroday keşfi ve oltamala saldırıları gibi yöntemler olabilir.
- Altyapı (Infrastructure): Altyapı, bir rakip tarafından bir yetenek sağlamak için kullanılan IP veya e-posta adresleri, alan adları ve diğerleri gibi fiziksel veya mantıksal iletişim yapılarını içerir.
- Kurban (Victim) : Kurban, saldırıların başlatıldığı, güvenlik açıklarından yararlanılan veya yeteneklerin kullanıldığı bir hedeftir. Hedef e-posta veya IP adresleri, etki alanları vb. gibi kuruluşlar, kişiler veya varlıklar olabilir.
Meta Özellikleri
Zaman damgası: olayın ne zaman başladığını ve durduğunu içerir. Bu duruma örnek verecek olursak: Sisteme yetkisiz erişim ve ihlal ABD merkezli saat 3 ‘te olduysa, yetkisiz erişimin farklı bir saat diliminde başka bir ülkeden erişimi mümkün olabilir.
Aşama: İzinsiz giriş, saldırı veya ihlalin aşamalarıdır.( Cyber Kill Chain ). Örneğin, bir saldırganın hedefi veya kurbanı keşfetmek için biraz araştırma yapması gerekir. Ardından hedefi istismar etmeye, bir komuta ve kontrol merkezi kurmaya ve son olarak da hassas bilgileri sızdırmaya çalışacaklardı.
Sonuç: İzinsiz girişin sonucu (örneğin, başarı, başarısızlık veya bilinmeyen; veya gizliliğin tehlikeye atılması, bütünlüğün tehlikeye atılması ve/veya kullanılabilirliğin tehlikeye atılması)
Yön: Olayın ağ veya ana bilgisayar aracılığıyla nasıl taşındığı (ör. Kurbandan Altyapıya, Düşmandan Altyapıya, Çift Yönlü)
Metodoloji: Olay kategorisi (örneğin, spearphishing, port taraması,DDoS).
Kaynaklar: izinsiz giriş için gerekli öğeler (örneğin; yazılım (işletim sistemleri, sanallaştırma yazılımı veya metasploit çerçevesi). Donanım(hardware ) (ör. sunucular, iş istasyonları, yönlendiriciler). Erişim(access)(örneğin, kaynak ana bilgisayardan kurbana giden bir ağ yolu ve bunun tersi, bir İnternet Servis Sağlayıcısından (ISP) ağ erişimi).
Sosyal-politik: kurbanın ihtiyaç ve özlemlerine dayalı, hasım ve kurban arasındaki ilişki ( örneğin finansal kazanç, hacker topluluğunda kabul görme, bilgisayar korsanlığı veya casusluk gibi düşmanın ihtiyaçlarını ve niyetini tanımlar. )
Teknoloji: Rakibin yeteneklerine ve altyapı kullanımının nasıl çalıştığını ve iletişim kurduğunu tanımlar.
Örnek:
Bir saldırı elmas modeli kullanılarak yukarıdaki gibi modellenmektedir. Model incelenir ve aşağıdaki bilgiler elde edilir.
- Saldırgan grubun adı: FIN8
- Saldırgan grubun kullandığı teknikler:
- Sardonic backdoor
- Spear phishing
- Memory scraping
- Saldırgan grubun kullandığı altyapılar
- Windows
- Powershell
- Memory
- Saldırganların hedef aldığı kurumlar: Finans sektörü.
Analitik döndürme
Analitik pivotlama, bu modelin ana yönlerinden biridir. Bir analistin Elmas üzerindeki herhangi bir noktadan diğer bağlantı noktalarına nasıl ulaşabileceği ile ilgili. Bir özellikten (merkezden) başlayarak bir elmasın diğer özelliklerinin haritalanmasıdır. Pivotlar, elmas olayları ve fazlar arasında da olabilir. Analist, bireysel senaryolara dayalı olarak modelin herhangi bir özelliğini merkez olarak alabilir. Ve olayı izlemek veya haritalamak için ileriye doğru yaklaşabilir.
Merkezli yaklaşımlar şunlar olabilir:
- Mağdur Merkezli Yaklaşım
- Yetenek Merkezli Yaklaşım
- Altyapı Merkezli Yaklaşım
- Hasım Merkezli Yaklaşım
- Sosyal-Politik Merkezli Yaklaşım
- Teknoloji Merkezli Yaklaşım
Örneğin: Aşağıdaki şema kurban merkezli bir yaklaşımdır:
Etkinlik Saldırı grafikleri : Etkinlik grafikleri düşman(lar)ın eylemlerini çözerken, Model bir adım daha ileri gider. Genellikle güvenlik açığı yönetimi veya risk değerlendirme ekipleri varlıkları ve risk duruşlarını belirler. Bir tehdit modellemesi yapılır. peki sonra ne yapılır : belirli bir varlığın kaç şekilde saldırıya uğrayabileceğini , her şekilde saldırıya uğraması halinde işletme için risklerin neler olduğunu bilmek için sonuçlar çıkarılır. Elmas modeli, bu tür saldırı grafiklerinden yararlanır ve bunu etkinlik dizileriyle birleştirir.
Çözüm
Elmas Modeli kullanarak tehdit faaliyetini kesintiye uğratmak ve ekibinize ve iş yöneticilerinize (C-Level), teknik olmayan bir hedef kitleye, müşteriye veya müşteriye değerli bilgiler getirmek için uygulanmaktadır.
Elmas Modeli, izinsiz giriş analizinin etkinliğini ve doğruluğunu artırmak için bilimsel bir yöntemdir. Ağ savunması için gerçek zamanlı istihbarattan yararlanma ve düşman operasyonlarını tahmin etme fırsatlarına sahip olunur.
Bu kategoride ki şu yazımıza da bakabilirsiniz.