Her kurum aynı tehditlerle karşılaşmaz. Bir finans kuruluşunu hedef alan aktörlerle bir üretim tesisini hedef alanlar farklı taktikler kullanır. Adversary emulation, savunmanızı “genel” değil, sizi gerçekten hedef alan tehditlere karşı test eder.
SAVKOR’un adversary emulation hizmeti, MITRE ATT&CK çerçevesini temel alır. Sektörünüzü hedef alan tehdit aktörlerinin taktik, teknik ve prosedürlerini (TTP) birebir modelleyerek, savunmanızın bu senaryolarda hangi adımları yakaladığını, hangilerini kaçırdığını ortaya çıkarır ve tespit kabiliyetinizi geliştirmeniz için somut öneriler sunar.
Test Kapsamı
- Hedef tehdit aktörü profili ve TTP seçimi
- APT senaryolarının birebir modellenmesi
- Tespit boşluğu (detection gap) analizi
- EDR/SIEM alarm doğrulama
- MITRE ATT&CK kapsam (coverage) haritalaması
- İyileştirme ve tespit geliştirme önerileri
Metodoloji
- 01
Tehdit Modelleme
Sektörünüz için en olası tehdit aktörleri ve onların bilinen TTP setleri belirlenir.
- 02
Senaryo Hazırlığı
Seçilen aktörün saldırı zinciri, ATT&CK teknikleriyle eşleştirilerek planlanır.
- 03
Kontrollü Uygulama
Teknikler ortamınızda kontrollü biçimde çalıştırılır; her adımın tespit edilip edilmediği izlenir.
- 04
Tespit Analizi
Hangi tekniklerin alarm ürettiği, hangilerinin gözden kaçtığı belgelenir.
- 05
Raporlama
Kapsam haritası, tespit boşlukları ve iyileştirme önerileri raporlanır.
Teslimatlar
- Yönetici özeti ve tespit kabiliyeti görünümü
- MITRE ATT&CK kapsam (coverage) haritası
- Teknik bazında tespit/kaçırma sonuçları
- Tespit kuralı (detection) geliştirme önerileri
- İyileştirme yol haritası
Sık Sorulan Sorular
Adversary emulation ile Red Team farkı nedir?
Red Team hedefe ulaşmaya odaklanır ve yaratıcıdır. Adversary emulation ise belirli bir tehdit aktörünün bilinen tekniklerini birebir taklit ederek, savunmanızın o spesifik aktöre karşı ne kadar hazır olduğunu ölçer.
Hangi tehdit aktörü seçilir?
Sektörünüzü ve coğrafyanızı hedef aldığı bilinen aktörler önceliklendirilir. Seçim, tehdit istihbaratı ve kurumunuzun risk profiline göre birlikte yapılır.
Blue Team ile birlikte mi yürütülür?
Her iki şekilde de yapılabilir. Tespit kabiliyetini geliştirmek amaçlanıyorsa, Purple Team yaklaşımıyla ekibinizle koordineli yürütmek daha verimli sonuç verir.