Bu yazı, kırmızı takım çalışmalarına adım atmak isteyenler için kırmızı takım operatörü bağlamında temel kavramları öğretmeyi amaçlıyor. Saldırıların planlanması ve yürütülmesi, saldırı yaşam döngüsünün her aşaması, operasyon planlarının hazırlanması ve raporlama sürecinin yönetimi konularında teorik temellerden bahsedeceğim.
“Red Teaming”, siber güvenlik alanında oldukça yaygın bir terimdir. Temel olarak, bir organizasyonun savunma mekanizmalarını test etmek ve güvenlik açıklarını bulmak için kontrollü bir saldırı taklit etme sürecini ifade eder. Ancak, bu terimin anlamı ve amacı zamanla bazı faktörlerden dolayı değişmiş veya netleşmemiş olabilir. Özellikle, bu terimin kötüye kullanılması veya satıcı pazarında yanlış anlaşılması gibi nedenlerle standartlaştırılmamış olabilir.
Kırmızı takımlar, bir organizasyonun ve savunma ekiplerinin yaptığı varsayımlara meydan okuyarak düşmanca bir bakış açısı sunar. “Patch (Yama, güncelleme) geçtiğimiz için güvendeyiz” gibi varsayımlar, “Bu sisteme yalnızca X sayıda kişi erişebilir”, “Teknoloji Y bunu durdurur” ve “Internal (Dahili, İç) ağdayız, dışarıdan saldırı olamaz” gibi ifadeler genellikle bir inceleme veya teste dayanmayan tehlikeli varsayımlardır. Kırmızı takım, bu varsayımlara meydan okuyarak kurumun operasyonel savunmasında geliştirilebilecek alanları belirleyebilir.
Sızma testi ile arasında önemli farklılıklar bulunmaktadır. Tipik bir sızma testi, genellikle bir proje yaşam döngüsünün veya uyumluluk gereksinimlerinin bir parçası olarak yapılan, belirli bir teknoloji yığınına odaklanır. Amacı, mümkün olduğunca çok sayıda güvenlik açığı belirlemek, bunları nasıl sömürülebileceğini göstermek ve bazı bağlamsal risk derecelendirmeleri sağlamaktır. Sonuçlar genellikle bir rapor şeklinde sunulur ve her güvenlik açığını listeler, düzeltme eki yüklemek veya yazılımı yeniden yapılandırmak gibi iyileştirme önerilerini içerir. Öte yandan, Red Teaming daha kapsamlı bir yaklaşım benimser. Bu yaklaşım, sadece teknoloji yığınlarına odaklanmaz; aynı zamanda kişileri, süreçleri ve organizasyonel savunma stratejilerini de değerlendirir. Red Team’in amacı, saldırgan bir perspektiften organizasyonun savunmasını sınamak ve güvenlik açıklarını tespit etmek değil, aynı zamanda bu açıkların nasıl istismar edilebileceğini ve organizasyonun tepkisini değerlendirmektir. Bu yaklaşım, sadece güvenlik açıklarını belirlemekle kalmaz, aynı zamanda organizasyonun savunma yeteneklerini ve hazırlıklarını test eder, böylece daha etkili bir güvenlik stratejisi geliştirmeye yardımcı olur.
Bununla birlikte, kırmızı takımın belirli bir organizasyon tarafından tanımlanmış net bir hedefi vardır. Bu hedef, belirli bir sistem, e-posta hesabı, veri tabanı veya dosya paylaşımına erişim elde etmek gibi somut bir amacı içerebilir. Çünkü sonuçta, kuruluşlar bir şeyi savunmaktadır ve bu şeyin gizliliği, bütünlüğü ve/veya kullanılabilirliği (CIA) önemlidir ve mali veya itibari açıdan bir risk oluşturabilir. Kırmızı takım aynı zamanda gerçek dünya tehdidini taklit eder. Örneğin, bir finans şirketi, bilinen FIN grupları gibi tehditlerden etkilenebilir. Sızma testi durumunda, test uzmanı yalnızca kişisel tercih ettiği TTP’leri kullanırken, kırmızı takım, taklit ettiği tehdidin TTP’lerini inceler ve (uygun olduğunda) onları yeniden kullanır. Bu, kuruluşun karşılaşabileceği gerçek tehditlerle başa çıkabilmek için tespitler ve süreçler oluşturmasına yardımcı olur. Kırmızı takımlar ayrıca bir organizasyonun genel güvenlik duruşuna bütünsel olarak bakar ve belirli bir alanla sınırlı kalmaz; bunlar teknoloji kadar insanlar ve süreçleri de içerir. Son olarak Kırmızı takımlar, gizliliğe ve “en az ayrıcalık ilkesine” büyük önem verir. Tespit ve yanıt yeteneklerini zorlamak için, hedefe yakalanmadan ulaşmaları gerekir; bu, yüksek ayrıcalıklı hesapları (örneğin, DC Admin gibi) gereksiz yere hedef almamayı içerir.
Güvenli Operasyon
Kırmızı takım bakış açısına göre bu, eylemlerimizin ne kadar kolay gözlemlenebileceğinin ve ardından mavi takım tarafından ne kadar kolay kesintiye uğratılabileceğinin kolaylığını tanımlamak için kullanılır.
“Kolaylık” bunu tanımlamak için doğru kelime olmayabilir ancak bu, mavi takım ekip üyelerinin becerileriyle ilgili bir durumdur. Yaptığınız her eylem iz bırakacaktır ancak bu izlerin, mavi takım ekibi tarafından ne kadar iyi anlaşıldığı ve yanıt verme olasılığına dair fikir sahibi olmanız önemlidir.
Ayrıca “Güvenli Operasyon” kavramının tek yönlü çalıştığı düşünülmemelidir. Kırmızı takım üyeleri, SIEM, Bilet Sistemleri, Olay Yanıt Prosedür Dokümanları, Mail, Çevrimiçi Destek vb. gibi mavi takım üyeleri tarafından kullanılan sistemlere de erişim elde edebilir.
Hem kırmızı takım hem de mavi takım, eylemlerinin izlendiğini ve atlatılabileceğini unutmamalıdır. Genellikle her zaman karşı tarafından sizden daha iyi olduğunu varsaymak güzeldir.
Esas Olan Zarar Vermemektir
Bir kırmızı takım operatörü olarak kırmızı takım operasyonları bağlamında zarar oluşturabilecek faaliyetler gerçekleştirme imkanınız vardır. Basitçe örnek vermek gerekirse; operasyon esnasında AV veya çeşitli uç nokta güvenlik yazılımlarının devre dışı bırakılması, hedef makinedeki kullanıcının ayrıcalık grubunun değiştirilmesi gibi birçok örnek verilebilir. Bu örnekler bir kere uygulandığı zaman kötücül taraflarca istismar edilmeyeceğinin garantisi yoktur ve dolayısıyla müşterinizin veya kurumunuzun çeşitli risklerle karşılaşmasına sebep olabilirsiniz. Ancak bu tür taktiklerin tehdit aktörleri tarafından çok fazla kullanılmasıdır ve aslında baktığımızda kırmızı takım operatörünün onları taklit etmesi gerekmektedir ama sırf tehdit aktörleri fidye yazılımı kullandığı için kuruma fidye yazılımı saldırısı yapılmamalı.
Saldırı Yaşam Döngüsü
“Saldırı Yaşam Döngüsü (Attack Lifecycle)” kavramına ait ilk yayın, “Cyber Kill Chain” ismi verilen Lockheed Martin tarafından ele alındı. Bir saldırganın hedefi tehlikeye atmak için geçmesi gereken her aşamayı açıklamayı hedeflemiştir.
- Keşif – Reconnaissance: Bir hedefin potansiyel saldırı vektörlerini bulmayı amaçlar. Saldırgan hedef hakkında sosyal mühendislik, çalışanlarına ait ağ haritası çıkarma gibi çeşitli eylemleri gerçekleştirir. İki türü vardır. Bunlar;
Pasif Bilgi Toplama: Herhangi bir kurban bilgisayarını ele geçirmeden önce yapılan keşif türüdür. Saldırgan burada whois sorguları, Shodan tarayıcısı, sosyal medya platformları ve çeşitli güvenlik araçlarını kullanabilir.
Aktif Bilgi Toplama: Saldırganın ele geçirmiş olduğu kurbana ait cihaz üzerinden yapılan keşif türüdür. Burada ise Seatbelt, nmap gibi araçlar kullanılabilir. - Silahlanma – Weaponization: Keşif aşamasında hedef sisteme ilk erişim noktasını belirleyen saldırgan, hangi atak vektörünü kullanacağına karar verir. Zararlı bir veri yükü (payload) geliştirir.
- Teslimat – Delivery: Silahlanma aşamasında oluşturduğu veri yükünü, kurban bilgisayarına bulaştırmaya çalıştığı aşamadır. Kimlik avı saldırıları, USB veya sosyal medya üzerinden zararlı veri yükü kurbana iletilir.
- Sömürme – Exploitation: Saldırgana ait veri yükü, kurban bilgisayarında aktif hale getirerek ilk saldırıyı gerçekleştirir.
- Yükleme – Installation: Hedefe kalıcı zararlı yazılımın yüklendiği aşamadır.
- Komuta ve Kontrol – Command and Control: Güvenliği ihlal edilmiş hedef/leri kontrol etmeyi kapsamaktadır. Saldırgan burada genellikle çok meşhur olan Cobalt Strike Framework’ünü kullanabilir.
- Hedeflere Yönelik Eylemler – Actions on objectives: Saldırgan artık tamamen hedef sistemi amacına yönelik ele geçirmiştir. Amaçları doğrultusunda veri çıkarma, silme, fidye yazılımı bulaştırma gibi eylemleri gerçekleştirir.
Cyber Kill Chain hakkında daha detaylı bilgi almak isterseniz, sayfamızda yazılan yazıya göz atabilir veya farklı kaynakları okuyabilirsiniz.
Bu kavramın amacı mavi takım üyelerinin almış oldukları siber güvenlik önlemlerini gözden geçirmek için bir perspektif sağlamaktı ancak tek başına bu kavramın eksiklikleri var. Bunlardan ilki, saldırganın makinesinde gerçekleştirmiş olduğu Keşif, Silahlanma ve Teslimat aşamalarıdır. Bu aşamada savunma ekiplerinin yapabileceği çok fazla bir şey yoktur. İkincisi, 7. aşamada hiçbir ayrıntının olmaması; yani bir saldırgan hedefin/hedeflerin güvenliğini ihlal ettiğinde, nasıl ilerleyeceği belirsizdir. Ancak fikir ve görüş vermek gerekirse; kullanıcıların kimlik bilgilerini toplamak, ayrıcalık yükseltme eylemlerini gerçekleştirmek, dahili keşif yapmak, yanal hareket, veri silme gibi hamleleri yapabilirler.
Sözleşme Planlama
Planlamanın, kırmızı takım operasyonları için düzgün bir şekilde yapılması, sadece başarılı operasyonlar gerçekleştirmek değil, aynı zamanda operasyona dahil olan tüm bileşenlerin korunmasını sağlamak açısından da büyük önem taşır. Burada planlamanın büyük bir kısmı kırmızı takım liderinin sorumluğudur. Her ne kadar bu yazıda kırmızı takım operatörünü anlatsam da, bu sürecinde bilinmesi faydalı olacaktır.
Kapsam Belirleme
Ağdaki ana bilgisayar ve sunucu sayısı veya IP aralıkları gibi sıradan “Sızma Testi Kapsam Belirleme” içerikleriyle kendinizi kesinlikle sınırlamayın. Kırmızı takım her ana bilgisayarı incelemez ancak belirli bir hedefe ulaşmayı amaçlamaktadır. Müşterinizin veya firmanızın ortamının büyüklüğü her ne kadar bu konuyla ilgili olsa da kapsamı belirlemek operasyon senaryosunu oluşturmaya yönelik olmalıdır.
Tehdit Modelleme
Kırmızı takım operatörü organizasyona yönelik gerçek bir tehdidi taklit eder. Bu, nispeten teknik olarak düşük kabiliyetli korsanlardan, daha yetenekli organize olmuş gruplara, hatta global Gelişmiş Kalıcı Tehdit (Advanced PersistenT Threat – APT) gruplarına ve devletlere kadar herhangi bir şey olabilir. Köklü ve siber altyapısı belirli bir düzeyde olgunlaşmış kuruluşların geçmiş olaylara, tehdit istihbaratına veya geçmiş kırmızı takım operasyon raporlarına dayanarak tehditler hakkında bir fikri vardır; diğer kuruluşlar bunu pek yapamayabilirler.
Kurumunuzu veya müşterilerinizi hedef alan bir tehdit belirlendikten sonra kırmızı takımın buna karşılık gelen bir tehdit profili oluşturması gerekir. Bu, kırmızı takımın amacını, motivasyonunu, kabiliyetlerini, TTP’lerini (Taktik, Teknik ve Prosedür) vb. belirleyerek tehdidin nasıl gerçekleştirileceğini tanımlar. Eğer belirlenen tehdit, bilinen bir tehditse bilgilerin çoğu dış kaynaklardan bulunabilir. Tehdit için profil oluşturma aşamasında MITRE ATT&CK güzel bir kaynaktır.
MITRE ATT&CK hakkında daha detaylı bilgi almak isterseniz, sayfamızda yazılan yazıya göz atabilir veya farklı kaynakları okuyabilirsiniz.
İhlal Modeli
Bu, kırmızı takımın hedef ortama erişim sağlayacağı araçları özetlemesidir. Bu genellikle belirlenen tehdide uygun olarak erişim sağlamaya çalışarak yapılır veya kuruluş tarafından sağlanır.
Müşterinizin veya kurumunuzun altyapısında bir ihlalin olduğu varsayıldığında, kırmızı takım operatörü olarak belirli bir süre içinde erişim sağlamanız gerekir. Erişim sağlanamadığında ise yedek planınızı devreye sokmalısınız. Bu yedek plan, bir indikatöre geri dönmek veya senaryo içerisinde geriye gitmek olabilir. Burada esas olan savunma ekiplerinin sizi önlemesi değil, kurumunuzun veya müşterinizin savunma ekiplerinin sizi tespit edebilme ve aksiyon alabilme potansiyelleridir.
Duyurular
Bu konu genellikle güvenlik veya uyumluluk rollerindeki üst yönetim tarafından yapılır ve yaklaşan bir operasyon hakkında kuruluş içerisinde kimlerin bilgilendirileceği konusunda karar verirler.
Üst yönetim rolünde olan kişiler herhangi bir duyuruda bulunmamayı tercih ederse bu, herkesin doğal bir tepki vermesine olanak tanır ve gerçekçi sonuç elde etmeye olanak sağlar. Tabii bu durumda kuruluş içerisinde belirli kişilerin kendilerine güvenilmediği düşünmesi durumu olabilir. Bir diğer seçenek duyuru yapmaktır. Bu seçenek, kuruluş içerisindeki kişilerin güvenlik önlemlerini artırmalarına sebep olabilir; bu durum çokta gerçekçi olmayan bir sonuç ortaya çıkarır.
Operasyon Kuralları
Bir görevin yürütülmesi sırasında izlenecek kuralları ve metodolojileri ayrıntılı olarak tanımlandığı belgedir. Bu belge, operasyonun kapsamını, sınırlarını, izin verilen ve yasaklanan eylemleri, iletişim protokollerini, güvenlik önlemlerini ve raporlama gereksinimlerini içerir. Görevde yer alan tüm tarafların bu kuralları eksiksiz olarak anlaması, kabul etmesi ve uyacağını taahhüt etmesi gerekmektedir. Bu taahhüt, tarafların belgeyi incelemesi ve onaylamasıyla resmileştirilir ve imzalanmasıyla yürürlüğe girer. Operasyon kuralları belgesi, olası anlaşmazlıkların önüne geçmek ve görev süresince netlik sağlamak amacıyla kritik öneme sahiptir.
Bu belge üzerinde yapılacak her türlü revizyon işlemi için kurumuz veya müşteriniz ve sizin tarafınızdan kabul edilmeli ve imzalanmalıdır. Bu dokümanın özellikle “Fiziksel Kırmızı Takım Operasyonları” disiplini için çok önemlidir. Belki daha sonradan bu disiplini anlattığımız bir yazımız olur.
Operasyonun Kayıt Altına Alınması
Görev süresince, kırmızı takım operatörlerinin gerçekleştirdiği tüm faaliyetlerin kapsamlı ve düzenli bir şekilde kayıt altına alınması gerekmektedir. Bu kayıtlar, olayın anında ya da ilerleyen bir zamanda meydana gelmesi durumunda kritik öneme sahiptir. Kayıtlar sayesinde, kuruluşunuzun veya müşterinizin kendi iç güvenlik ekipleri ve Dijital Adli Bilişim ve Olay Müdahale (Digital Forensic and Incident Response – DFIR) ekipleri, operasyonun kırmızı takım operatörlerinin yürüttüğü yetkilendirilmiş eylemler olup olmadığını belirleyebilirler. Bu süreç, olayın kaynağının ve etkisinin doğru bir şekilde değerlendirilmesi ve müdahale stratejilerinin etkinliğinin sağlanması için önemlidir.
Veri İşleme
Kırmızı takım operatörü olarak verilerin işlenmesine ilişkin her türlü kurumsal ve yasal gerekliliklere uymanız gerekmektedir. Operasyon süresince ve sonrasında hassas olarak ele alınması gereken, kurumunuzun veya müşterinizin ortamına yönelik kimlik bilgilerine erişim kazanmış olabilirsiniz ya da olmuşsunuzdur. İmzalamış olduğunuz sözleşme tamamlandığında verilerin kurumunuzun veya müşterinizin politikalarına göre yok edilmesi gerekmektedir. Burada dikkat edilmesi gereken bir husus ise operasyon süresince anlaştığınız kapsamın dışında olan verileri incelemekten kaçınmanızdır. Böylelikle temel ilkelerimizden biri olan (CIA Triad) verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini ihlal etmemiş olursunuz. (CIA Triad hakkında daha fazla bilgi almak için Microsoft tarafından yazılmış olan içeriği inceleyebilirsiniz.)
Zaman Yönetimi
Bir kırmızı takım operatörü olarak operasyon sürenizi kesinlikle kurumunuz veya müşterinizle kapsamı ve hedefleri belirledikten sonra ayarlamalısınız. İmzalanan sözleşme neticesinde faaliyetlerinize yönelik bir tahminde bulunabilirsiniz. Çoğu operasyon kurumunuzun veya müşterinizin büyüklüğü ve iç yapısının karmaşıklığına göre minimum bir ay gibi tahmini süre içerisinde tamamlanabilir. (Bu sadece bir öngörüdür.)
Maliyet Hesaplama
Operasyonlarınızın maliyetini belirlerken siz operatörlerin ve kurumunuzun veya müşterinizin dikkate alması gereken birçok parametre bulunmaktadır. Bir saha operasyonu için fiziksel olarak senaryonun gerçekleştirilmesi, ticari siber güvenlik yazılımları veya araçları kullanılması gerekiyorsa bu yazılımların lisanslarının alınması, oltalama ve kimlik avı senaryoları için otorite sahibi kuruluşlar tarafından sağlanan sertifikalar ile bir etki alanı satın alınması gerekli olabilir. Operasyon öncesi ve sonrası yapılacak çalışmaların maliyetini bu noktada hesaplamak önemlidir.
Sonuç
Bu yazıda, kırmızı takım operasyonlarının temellerini ve siber güvenlikteki önemini ele almaya çalıştım. Bir kurumun güvenlik açıklarını belirlemek ve savunma mekanizmalarını test etmek için saldırgan bakış açısından senaryolar düzenleyen kırmızı takım operatörünü anlattım. Operasyonlar, sadece teknolojik kırılmaları değil aynı zamanda insan faktörünü ve süreçleri de değerlendirerek bütüncül bir güvenlik değerlendirmesi sağlamayı amaçladığını öğrendik.
Sızma testi ve kırmızı takım operasyonları arasındaki farkları anlatırken, kırmızı takımın ve operatörlerinin daha stratejik ve holistik bir yaklaşım sergileyerek, kurumun güvenlik mekanizmasının gerçek dünya tehditlerine (APT gibi) karşı ne kadar hazırlıklı ve dayanıklı olduğunu test ettiğini anlattım. Bunun sadece güvenlik açıklarını belirlemeye yardımcı olmadığını aynı zamanda bu açıkların nasıl istismar edilebileceğini ve kurumların savunma mekanizmalarını nasıl geliştirebileceği konusunda önemli rol oynadığı göz ardı edilmemelidir.
Saldırı yaşam döngüsü başlığı altında her aşamanın ve bu aşamaların içinde kırmızı takım operatörünün nasıl bir görevi olduğunu öğrendik. Operasyonların planlanmasında dikkate alınması gereken önemli adımlar, tehdit modelleme, ihlal modelleri, operasyon kuralları ve veri işleme gibi birçok konuyu detaylı açıklamaya çalıştım.
Kısaca sonuç olarak, kırmızı takım operasyonlarının siber güvenlik dünyasında önemli bir görevi olduğunu anlatmak ve bu yazının, bu operasyonların temelde nasıl planlandığı ve yürütüldüğü konusunda sizlere ufak bir rehber olabilmesini istedim.
