Kırmızı takımlar, ağ savunucularından kaçmak için siber tehditleri taklit eden taktikler kullanır ve kararlı bir siber saldırıya karşı kritik ağların nasıl başa çıktığını değerlendirir.
ARLINGTON, Va. – ABD askeri araştırmacıları, siber korsanları tespit etmek, yönetmek ve yenmek için yollar geliştirmesi ve bilgisayar tasarım sürecinin bir parçası olarak siber güvenliği entegre etmesi için Atlanta’daki Georgia Tech Araştırma Şirketi’ne başvuruyor.
ABD Savunma İleri Araştırma Projeleri Ajansı (DARPA) yetkilileri, geçen hafta Signature Management Using Operational Knowledge and Environments (SMOKE) projesi için Georgia Tech’e 22,7 milyon dolarlık bir sözleşme duyurdu.
SMOKE ayrıca, siber tehdit riskini gerçek zamanlı olarak ölçmek; ve kırmızı takım etik hacker’ların kötü amaçlı siber davranışları ortaya çıkarmaya yardımcı olurken kaçıcılıklarını korumalarına yardımcı olacak yeni yollar bulmak için araştırmalar yapmayı amaçlamaktadır. Georgia Tech siber güvenlik uzmanları, askeri ağ güvenliği değerlendirmeleri için gerekli olan tehdit taklit edilen siber altyapının planlamasını ve yürütülmesini otomatikleştirmek için veri odaklı araçlar geliştireceklerdir. Askeri bilgisayar ağları, kötü amaçlı siber korsanlarının sürekli tehdidi altındadır, bu nedenle ağ güvenliği uzmanları, kırmızı takım etik hacker’larını ve mavi takım siber savunucularını kullanarak siber zafiyetlerini ve savunmalarını değerlendirebilmelidir.
Kırmızı takım egzersizleri basit penetrasyon testlerini aşmak için tasarlanmıştır ve mümkün olduğunca gerçekçi bir şekilde siber saldırgan davranışlarını taklit ederek ağ savunma hazırlıklarının bir resmini oluştururlar.
Gerçekçilik hedefine doğru, kırmızı takımlar, ağ savunucularından kaçmak için gelişmiş siber tehditleri taklit eden taktikler kullanır ve kararlı bir siber saldırıya karşı kritik ağların nasıl başa çıktığını değerlendirirler.
Kırmızı takım güvenlik değerlendirmelerinin temel bir yönü, kırmızı takım araçlarını kontrol etmek için alan adları, IP adresleri, sanal sunucular ve diğer bileşenlerin oluşturulması için prosedürlerdir. Bu altyapı, halka açık internet üzerinde açık olarak var olmalı ve çok kolay tespit edilirse, çok fazla kazanç sağlamadan değerlendirmeyi hızlı bir şekilde sonlandırabilir, ancak önemli maliyetlere neden olabilir. İmzalar, bir kuruluşun siber operasyonları nasıl gerçekleştirdiğine dair desenlerdir. Atıf, bir siber saldırıyı muhtemel bir hacker ile ilişkilendirebilme yeteneğidir. Kırmızı takım üyeleri, mavi takımın saldırıları muhtemel suçlulara çok hızlı bir şekilde atfetmesini istemezler, bu da bir siber güvenlik değerlendirmesini zayıflatabilir.
Sofistike tehditleri taklit etme, tespit edilmeden kaçınma ve imzaları azaltma yeteneği önemli bir zaman ve uzmanlık gerektirir. Dahası, bugün ağ güvenliği değerlendirmelerine olan talep, arzdan daha fazladır.
SMOKE, kırmızı takımların siber güvenlik değerlendirmelerinin etkinliğini artırmalarını sağlayacak otomatikleştirilmiş siber tehditlerin dağıtımını otomatikleştirmek için araçlar geliştirmeyi amaçlamaktadır. Bu araçlar, gizli kalma yetenekleri sayesinde kırmızı takımlara daha uzun siber güvenlik değerlendirmesi sağlayabilir. DARPA araştırmacıları, otomatikleştirilmiş ve ölçeklenebilir taklit edilmiş siber tehditler sağlayan araçları geliştirmek için endüstrinin çalışmasını istiyor. SMOKE, sofistike siber tehditlerin makine tarafından okunabilen imzalarından bilgi alan siber altyapı planlama, oluşturma ve dağıtımını sağlayan bileşenlerin prototipini yapacak.
Gerçekçiliği sağlamak için DARPA uzmanları, SMOKE aktörleri ve hükümet ortakları tarafından kontrol edilen gerçek dünya ağlarında SMOKE bileşenlerini değerlendireceklerdir – önce taklit edilmiş ortamlarda, daha sonra belki de canlı ağlarda.
SMOKE programı, farklı ağ ortamlarının karmaşıklıklarını soyutlama konusunda çığır açan yaklaşımlar aramaktadır; kısmen reddedilen ortamlarda çalışma, belirsizlik altında akıl yürütme ve beklenmeyen tespit ve/veya atıf olaylarına tepki verme; planların hız ve kaçınma açısından verimlilik ve etkililik arasındaki tercihleri ölçme; tipik siber altyapı planlama modellerinde durum alanı patlamasını aşma; imza yönetimi politikalarına uygun altyapı unsurlarını edinme, yönetme ve koruma mekanizmaları geliştirme; gerçek zamanlı atıf değerlendirmelerine ve plan acil durumlarına uygun olarak altyapı değişikliklerini gerçekleştirme; altyapı artefaktları arasındaki gizli ilişkileri keşfetme; altyapı ilişkilerini oluşturmak ve gezinmek için kullanılan uzman kararlarını otomatikleştirme; ve düşman altyapısı hakkındaki bilgiyi genişletme.
SMOKE, iki bölüme ayrılmış dört yıllık bir çabadır: bireysel bileşenlerin geliştirilmesi, gösterilmesi ve değerlendirilmesi; ve program bileşenlerinin entegrasyonuyla oluşturulan karşılaştırmalı değerlendirmeler. Sözleşme, değerini 24,7 milyon dolara çıkarabilecek bir seçenek içeriyor. SMOKE’un iki teknik alanı vardır: atıf farkındalığı olan siber altyapının otomatik planlanması ve yürütülmesi; ve altyapı imzalarının oluşturulması.
Bu sözleşme kapsamında, Georgia Tech çalışmalarını Atlanta ve Athens, Georgia’da yürütecek ve Ekim 2026’ya kadar tamamlanması planlanıyor. Daha fazla bilgi için Georgia Tech Research web sitesi olan https://gtrc.gatech.edu adresinden ulaşılabilir.
