Saldırı ağaçları

Saldırı ağaçları, bir varlık veya hedefe nasıl saldırılabileceğini gösteren kavramsal diyagramlardır. Saldırı ağaçları birçok farklı uygulamada kullanılmıştır. Bilgi teknolojileri alanında, bilgisayar sistemlerindeki tehditleri ve bu tehditleri gerçek kılacak alternatif saldırıları tanımlamak için kullanılmışlardır. Ancak, saldırı ağaçlarının kullanımı sadece bilgi sistemlerinin analizi ile sınırlı değildir. Saldırı ağaçları, savunma ve havacılık alanında kurcalamaya karşı korumalı elektronik sistemlerde (Örneğin askeri uçaklardaki aviyonik sistemleri.) tehdit analizi için de sıklıkla kullanılmaktadır.^[1] Saldırı ağaçları artan bir oranda bilgisayar kontrol sistemlerinde (özellikle elektrik dağıtım hatları ile ilgili) de kullanılmaktadır.^[2] Saldırı ağaçları fiziki sistemlere saldırıları anlamak için de kullanılmıştır.

Saldrı ağaçlarına ait ilk tanımlamalar "Counterpane Internet Security"nin CTO'su olduğu dönemde Bruce Schneier^[3] tarafından yazılan akademik yayın ve makalelerde bulunabilir. Schneier, açıkça saldırı ağaçları konseptinin geliştirilmesinde ilgiliydi ve bunların duyurulmasında etkiliydi. Fakat, saldırı ağaçları ile ilgili ilk makalelerdeki^[4] atıflar Ulusal Güvenlik Ajansı^{[ölü/kırık bağlantı]}'nın da ilk geliştirmelerle ilgisini ortaya koymaktadır.

Saldırı ağaçları, eğer aynısı değilse, tehdit ağaçları ile çok benzerdir. Tehdit ağaçları 1994'te Edward Amoroso.^[5] tarafından tanımlanmıştır.

Temel

 

Bilgisayar virüsleri için saldırı ağacı. Burada her kullanıcının tam sistem erişimine sahip olmadığı Windows NT^{[ölü/kırık bağlantı]} benzeri bir sistem olduğu varsayılmaktadır. Bütün çocuk nod'larda VEYA koşulu vardır.

Saldırı ağaçları bir kök nod, dallar ve çocuk nod'lardan oluşan çok seviyeli diyagramlardır. Aşağıdan yukarı doğru, çocuk nod'lar, bir üst nod'un (kök nod) ele geçirilmesi için gerekli şartları tanımlar. Bir nod'a ancak onun alt nod'larından birindeki şartları sağlayarak erişilebilir. Kök nod'a ulaşıldığında ise saldırı tamamlanmış olur.

Bir nod bir başka nod'un çocuk nod'u olabilir; böyle bir durumda mantıksal olarak bir saldırının çoklu adımlar ile ele alınması doğaldır. Örneğin, bir sınıfta masalara sabitlenmiş bilgisayarları ele alalım. Bunlardan birini yerinden çıkarmak sabitleyici kablo kesilmeli ya da kilidi açılmalıdır. Kilit zorlama ile veya bir anahtar ile açılabilir. Anahtar, anahtar sahibi tehdit edilerek, anahtar sahibine rüşvet verilerek veya anahtar bulunduğu yerden alınarak ele geçirilebilir. Bu şekilde 4 adımdan oluşan bir saldırı ağacı çizilebilir ki bunun bir yolu şu şekildedir (Anahtar sahibine rüşvet ver, Anahtarı ele geçir, Sabitleme kablosunun kilidini anahtar ile aç, Bilgisayarı ele geçir).

Ayrıca, bir nod'da saldırı gerçekleştirilebilmesi için onun birden fazla çocuk nod'larındaki şartların sağlanması da gerekebilir. Yukarıdaki örneğimiz sadece VEYA durumlarını ele almaktadır; ancak vE durumları da tanımlanabilir. Örneğin, bilgisayarın ele geçirilmesi için hem alarmın kapatılması hem de sabitleyici kablonun çıkarılması gerekebilir. Böyle bir durumda saldırı yolu şekilde tanımlanabilir ((Alarmı kapat, Sabitleyici kabloyu çıkar), Bilgisayarı ele geçir).

Saldırı ağaçları yerleşik hata ağaçları^[6] fnotasyonu ile ilişkilidir. Hata ağaçları metodolojisi çocuk nod'lardan ata nod'lara ulaşılmasında koşul olarak mantıksal ifadeleri kullanır. Her nod ile ilişkili öncül olasılıkları kullanarak, Bayes Teoremi^{[ölü/kırık bağlantı]} ile üst nod'lar ile ilişkili olasılıkları hesaplamak mümkündür. Ancak, gerçekte doğru olasılık değerleri ya mevcut değildir ya da bu olasılık değerlerinin bulunması çok maliyetlidir. Aktif etkenleri (Örneğin saldırganlar) de içeren bilgisayar güvenliğinde, ne olayların olasılık dağılımı bağımsız olduğundan ne de eşit bir şekilde dağıtık olduğundan Bayes yöntemi ile analiz uygun değildir.

Hata ağaçları analizinde kullanılan Bayes yöntemi ile analiz tekniklerinin saldırı ağaçlarında doğru bir şekilde uygulanması mümkün olmadığından, bir saldırgan tarafından hangi saldırıların tercih edileceğinin belirlenmesinde farklı teknikler^[7][8] kullanılmaktadır. Bunlar, gerçekleştirilecek saldırının kaynak gereksinimleri ile saldırganın yeteneklerinin (zaman, para, yetenek, donanım) kıyaslanmasını içerebilir. Saldırganın yeteneğine yakın veya yeteneğinin ötesindeki saldırılar ucuz veya kolay olarak algılanan saldırılara göre daha az tercih edilir. Bir saldırının saldırganın hedeflerine ne ölçüde ulaşmasını sağladığı da saldırganın tercihlerini etkiler. Saldırganın yetenekleri dahilinde ve amacı ile uyumlu saldırılar olasılığı bu şartları sağlamayan saldırılara göre daha yüksektir.

İnceleme

Saldırı ağaçları, özellikle bazı saldırılarda, büyük ve karmaşık olabilmektedir. Bir tam saldırı ağacı, saldırı hedefine ulaşan yüzlerce veya binlerce yoldan oluşabilir. Bununla birlikte, saldırı ağaçları hangi tehditlerin var olduğu ve bunlara karşı nasıl önlem alınacağı kararının verilmesinde çok faydalıdır.

Saldırı ağaçları bilgi güvenliği stratejisi oluşturulmasında kullanım alanı bulabilir. Fakat, bu stratejileri etkileyen politikaların saldırı ağaçlarını etkileyeceği dikkate alınmalıdır. Örneğin, bilgisayar virüslerinden korunmada sistem yöneticilerinin mevcut program ve program dosyalarına doğrudan erişiminin engellenmesi yerine paket yönetim sistemleri^{[ölü/kırık bağlantı]} nin kullanımı zorunlu olabilir. Bu da saldırı ağacına paket yönetim yazılımındaki muhtemel tasarım hataları ve istismar^{[ölü/kırık bağlantı]} ları eklemektedir.

Saldırı ağacında bir tehdidi gidermenin en etkili yönteminin tehdidin mümkün olduğunca kök nod'a en yakın olduğu yerde giderilmesi olduğu düşünülebilir. Teorik olarak bu mantıklı görünse de, sistemde devam eden diğer fonksiyonlar üzerinde olumsuz bir etkisi olmadan bir tehdidin giderilmesi çoğunlukla mümkün değildir. Örneğin, Windows^{[ölü/kırık bağlantı]} sistemine bulaşan virüs tehdidi, kullanıcıların dosya sistemini değiştirmesini engellemek için, standart bir hesap hesap (yönetici olmayan) ve FAT yerine NTFS^{[ölü/kırık bağlantı]} dosya sistemi kullanılarak büyük ölçüde azaltılabilir. Bunu uygulamak işletim sistemine virüs bulaşmasına neden olabilecek öngörülen veya öngörülmeyen her yöntemi devre dışı bırakır, ancak bu durum aynı zamanda kullanıcıların yönetici yetkisi gereken işleri yapmaları için yönetici hesaplarını da kullanmalarını gerektirir ki böylece tehdit ağacı üzerinde farklı bir tehdit seti ve yönetimsel zorluk oluşur.Ayrıca, kullanıcılar yazma hakları olan dosya ve dokümanlara hala virüs bulaştırabilirler.^{[kaynak belirtilmeli]}

Tehdit zincirlerini dinamik olarak tespit eden ve bulan ajanlar kullanarak saldırı ağacı oluşturan sistemler 2000 ^[9] yılından beri yapılmıştır.

Bilgi Sistemlerinde Saldırı Ağaçları

Bilgisayar ağları üzerindeki cihazlarda (aktif ağ cihazları, sunucular, kullanıcı bilgisayarları) donanımsal veya yazılımsal zafiyetler bulunabilmektedir. Bunlardan, yazılımsal zafiyetler, daha fazla sayıda olmaları ve daha kolay istismar edilebilir olmaları nedeniyle hem saldırganların hem de sistem yöneticilerinin daha fazla dikkatini çekmektedir. Bir sistemde var olan yazılım kaynaklı zafiyetler, zafiyet tarama araçları (Nessus, OpenVAS, Nexpose vb.) ile büyük oranda tespit edilebilir. Hangi yazılımlarda veya bu yazılımların hangi versiyonlarında ne tür zafiyetler bulunduğu ise zafiyet veritabanları üzerinden incelenebilir. Yazılımsal zafiyetlere ilişkin açık kaynak zafiyet veritabanlarının en bilinenlerinden bir tanesi NVD6 Nisan 2018 tarihinde Wayback Machine sitesinde arşivlendi. (National Vulnerability Database - Ulusal Zafiyet Veritabanı)'dir.

Bilgi sistem ağları üzerindeki yazılımsal zafiyetleri kullanarak çok adımlı ve birden çok cihazı içeren gelişmiş saldırılar yapmak mümkündür ve saldırganlar tarafından gerçekleştirilen pratik uygulamaları mevcuttur. Bu nedenle, bilgisayar ağları üzerinde yazılım zafiyetleri tabanlı saldırı ağaçları oluşturulması ile ilgili çalışmalar da mevcuttur. Bu yöntem ile bilgisayar ağları üzerinde tehdit modellemeleri yapmak mümkündür ve bu modeller klasik zafiyet tarama araçlarına göre şu faydaları sağlamaktadır.

1. Zafiyet tarama araçları ile bulunan zafiyetlerden hangilerinin istismar edilip hangilerinin istismar edilemeceği saldırı ağaçları ile analiz edilerek, koruyucu/önleyici tedbirlerin sadece istismar edilebilen zafiyetler için alınması sağlanabilir. Bu şekilde zaman ve kaynak tasarrufu sağlanmış olur.
2. Sistem üzerindeki bir hedefe ulaşmak için hangi zafiyetlerin hangi adımlar izlenerek istismar edilmesi gerektiği incelenebilir ve bu şekilde saldırı ağacı üzerinde koruyucu/önleyici önlemin nerede uygulanmasının maliyet etkin olduğu tespit edilebilir. Örneğin, saldırı ağacında saldırgana en yakın olan nokta veya noktalarda uygulanacak koruyucu/önleyici tedbirler, diğer zafiyetler için bir tedbir uygulanmasa dahi saldırıların önlenmesi için yeterli olabilir.
3. Zafiyetelerin kaç adımda istismar edildiği ve zafiyetlerle ilgili diğer parametreler dikkate alınarak saldırılara ilişkin olasılık değerleri bulunarak ve risk analizleri gerçekleştirilebilir.
4. Zafiyetlerin kaç adımda istismar edildiği ve zafiyetlerle ilgili diğer parametreler dikkate alınarak sistem üzerindeki bir hedefe modellenen bir tehdidin yaklaşık ne kadar sürede ulaşılabileceği bulunabilir.
5. İç ve dış saldırgan gibi tehdit tipleri ile tehdit modellemesi yapılarak hangi konum ve tipteki tehditlerin daha tehlikeli olduğu analiz edilebilir.
6. Sistem üzerindeki bir hedefin ele geçirilmesi için bir tehdidin sahip olması gereken minimum yeteneklerin ne olduğu tespit edilebilir.

Bilgi sistem ağları üzerinde yazılımsal zafiyetler kullanılarak saldırı ağacı oluşturmak genel olarak 3 farklı yöntem kullanılabilir.^[10]

1. Ön koşul/olası sonuç modelleri: Bir zafiyetin istismar edilmesi için saldırganın sahip olduğu yetki ve yeteneklerin zafiyetin istismar koşulları ile kıyaslanması ile zafiyetin istismar edilip edilemeyeceği belirlenir. Zafiyetin istismar edilmesi sonrasında kazanılan yetki ve ayrıcalıklar saldırganın yetki ve ayrıcalıklarına eklenerek müteakip adımlardaki zafiyetlerin istismar edilip edilemeyeceğinin simülasyonu yapılır. NETSPA^[11] (Network Security Architecture) ve TVA^[12] (Topological Analysis of Network Attack Vulnerability) bu yaklaşımı kullanan modelleme örnekleridir.
2. Yapay zeka tabanlı modeller: Bu yaklaşımı kullanan modelleme örneği olarak MULVAL^[13] verilebilir. MULVAL saldırı ağacı oluşturmak için gerekli bilgileri Datalogverileri olarak alır ve mantıksal analiz aracında derleyerek saldırı ağacı oluşturur.
3. Ontoloji tabanlı modeller: Tehdit, zafiyet, istismar, ağ topolojisi vb. bilgilerin ontolojik olarak tanımlanmasına dayalı modellerdir. Bu modele ilişkin olarak halihazırda sadece teorik çalışmalar mevcuttur. Kapsamlı ve yeterli detayda tanımlanmış ontolojik modeller henüz mevcut olmadığı için bu yaklaşım ile gerçek hayatta uygulanabilir saldırı ağaçları oluşturulması mümkün değildir.

Saldırı ağaçlarının oluşturulması için yukarıda sıralanan her üç modelde de ihtiyaç duyulan veriler ise şunlardır:

1. Bilgi sistem ağının topolojisi ve bu ağ üzerinde var olan cihazlar (Aktif ağ cihazları, sunucular, kullanıcı bilgisayarları).
2. Bilgi sistem ağı üzerindeki cihazlar arasındaki erişilebilirlik verisi: Güvenlik duvarı, IDS/IPS cihazları, anahtar ve dağıtıcı konfigürasyonları dikkate alınarak hangi cihazlardan hangi cihazlara erişim sağlanabildiği.
3. Bilgi sistem ağı üzerindeki yazılımsal zafiyetler: Zafiyet tarama araçları ile elde edilen zafiyet bilgileri.
4. Tehdidin konumu ve sahip olduğu yetki ve yetenekler.

Saldırı ağacı modelleme yazılımları

Birçok ticari ve açık kaynak ürün mevcuttur.

Açık Kaynak

ADTool^{[ölü/kırık bağlantı]} Lüksemburg Üniversitesi

Ent^{[ölü/kırık bağlantı]}

SeaMonster^{[ölü/kırık bağlantı]}

Ticari

AttackTree+^{[ölü/kırık bağlantı]} Isograph

SecurITree^{[ölü/kırık bağlantı]} Amenaza Teknolojileri

Ayrıca bakınız

• Bilgisayar güvenliği^{[ölü/kırık bağlantı]}
• Bilgisayar virüsü^{[ölü/kırık bağlantı]}

Başvurular

1. ^ U.S. Department of Defense, "Defense Acquisition Guidebook", Section 8.5.3.3 5 Ağustos 2012 tarihinde Archive.is sitesinde arşivlendi
2. ^ Chee-Wooi Ten, Chen-Ching Liu, Manimaran Govindarasu, Vulnerability Assessment of Cybersecurity for SCADA Systems Using Attack Trees, "Archived copy" (PDF). 30 Haziran 2010 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 4 Nisan 2012. 
3. ^ Schneier, Bruce (Aralık 1999). "Attack Trees". Dr Dobb's Journal, v.24, n.12. 6 Ağustos 2007 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Ağustos 2007. 
4. ^ Chris Salter, O. Sami Saydjari, Bruce Schneier, Jim Wallner, Toward a Secure System Engineering Methodology, "Archived copy" (PDF). 23 Haziran 2011 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 4 Nisan 2012. 
5. ^ Amoroso, Edward (1994). Fundamentals of Computer Security. Upper Saddle River: Prentice Hall. ISBN 0-13-108929-3. 
6. ^ "Fault Tree Handbook with Aerospace Applications" (PDF). 21 Ocak 2017 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 9 Aralık 2007. 
7. ^ Donald L Buckshaw, Gregory S Parnell, Willard L Ulkenholz, Donald L Parks, James M Wallner, O. Sami Saydjari, Mission Oriented Design Analysis of Critical Information Systems, Military Operations Research V10, N2, 2005, [1]^{[ölü/kırık bağlantı]}
8. ^ Terrance R Ingoldsby, Amenaza Technologies Limited, Attack Tree-based Threat Risk Analysis, A vendor white paper, "Archived copy" (PDF). 4 Mart 2016 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 9 Nisan 2012. 
9. ^ "NOOSE - Networked Object-Oriented Security Examiner, 14th Systems Administration Conference (LISA 2000), New Orleans". 7 Haziran 2011 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Nisan 2010. 
10. ^ https://dl.acm.org/citation.cfm?id=3176339 ^{[yalın URL]}
11. ^ Kyle Ingols, Richard Lippmann, and Keith Piwowarski. Practical attack graph generation for network defense. Proceedings, ACSAC, pages 121–130, 2006.
12. ^ S Jajodia, Steven Noel, and B O’Berry. Topological analysis of network attack vulnerability. Managing Cyber Threats, pages 247–266, 2005.
13. ^ Xinming Ou, Sudhakar Govindavajhala, and Andrew W. Appel. MulVAL: a logicbased network security analyzer. Proceedings of the 14th conference on USENIX Security Symposium - Volume 14, 2005.