Savunmayı Gerçekten Doğrulayan Purple Team Egzersizleri
Öne Çıkan Özet
İyi purple exercise, red'in içeri girebildiğini değil; blue'nun bunu görebildiğini, açıklayabildiğini ve yanıtlayabildiğini kanıtlar.
Görsel Yön
ATT&CK tekniklerini kontroller, tespitler ve gözlenen boşluklarla eşleyen bir savunma doğrulama panosu.
Purple Teaming Bir Marka Egzersizi Değil
Pek çok kurum purple team egzersizi yaptığını söylüyor; ancak kastettiği çoğunlukla red ve blue ekiplerinin aynı odada bir gün geçirmesinden ibaret. Bu yeterli değil. Purple teaming'in operasyonel değeri doğrulamadan geliyor: kurum, sahip olduğunu düşündüğü kontrolleri kullanarak gerçekçi saldırgan davranışını tespit edebiliyor, açıklayabiliyor ve yanıtlayabiliyor mu?
Yanıt çoğunlukla hayır — savunucuların kapasitesi eksik olduğu için değil, tespit kapsamının mimari diyagramların gösterdiği kadar eksiksiz olmadığı için. Purple team egzersizleri bu boşluğa ilişkin yapılandırılmış kanıt üretiyor.
Teatroyla Değil, Hipotezlerle Başlayın
Sağlam bir egzersiz, açık uçlu saldırgan simülasyonu yerine açık ve test edilebilir hipotezlerle başlar. Örneğin:
İnternete açık bir uygulama exploit edildiğinde, uygulama günlüklerinde başlangıç kötü niyetli istek kalıbını tespit ediyor muyuz?
Bir web süreci beklenmedik bir shell yorumlayıcı başlattığında, triage için yeterli bağlamla bir uyarı üretiyor muyuz?
Bellekten kimlik bilgileri toplandığında bu olayı meşru kimlik doğrulama gürültüsünden ayırt edebiliyor muyuz?
Bu hipotezler önceden tanımlanmadan egzersiz, blue'nun her tekniği gözlemleyip yanıtlayıp yanıtlayamadığının ölçümü yerine red'in ne başardığının anlatısına dönüşüyor.
Teknikleri Emüle Etmeden Önce ATT&CK ile Haritalayın
Purple team egzersizi sırasında uygulanan her tekniğin karşılık gelen bir ATT&CK referansı olmalı. Bu iki amaca hizmet ediyor. Birincisi, kapsamın izlenebilir ve egzersizler arasında karşılaştırılabilir olmasını sağlıyor. İkincisi, red ve blue arasındaki tartışmayı retrospektif analizde belirsizleşen genel tanımlamalar yerine ortak terminoloji etrafında konumlandırıyor.
Her teknik için egzersizin kaydetmesi gerekenler:
belirli ATT&CK kimliği ve alt teknik.
tespit sinyali üretmesi beklenen veri kaynağı.
bu sinyalin gerçekte üretilip üretilmediği.
SIEM veya EDR'nin eyleme geçirilebilir bağlamla uyarı üretip üretmediği.
çalıştırmadan analist farkındalığına kadar geçen süre.
Bu yapılandırılmış çıktı, purple team egzersizini red team brifinginden ayıran şey.
Tespit Yalnızca Artefaktları Değil, Hedefleri Takip Etmeli
En operasyonel açıdan değerli tespitler, izole taktiksel artefaktlara değil saldırgan hedeflerine yönelik. Şunu sorun:
Tehdit aktörü bu dayanak noktasını oluşturduktan sonra ne yapacak?
Hangi süreçler, kayıt defteri değişiklikleri veya ağ bağlantıları bu sonraki adımı ele verecek?
Bu spesifik host rolü için hangi davranış dizisi anormal olur?
Artefakt tabanlı tespitler — örneğin bilinen bir araç hash'ini eşleştirmek — saldırganlar araçlarını geliştirdikçe hızla bozuluyor. Hedef tabanlı tespitler — kullanılan spesifik araçtan bağımsız olarak yetki yükseltme davranış kalıbını tespit etmek — çok daha dayanıklı.
İyi Bir Egzersiz Ne Üretiyor?
İyi yürütülmüş bir purple team egzersizi en azından şunları sağlamalı:
geçti/kaldı sonuçlarıyla birlikte teknik bazında tespit kapsamı haritası.
herhangi bir tespitin tetiklenmesini engelleyen telemetri kapsamı boşlukları.
telemetrinin var olduğu ama tespitlerin ayarlanmadığı boşluklar.
boşlukları kapatmak için gereken spesifik SIEM kuralı veya EDR politikası değişiklikleri.
analist iş akışı bulguları: tespitler tetiklendiğinde analistler bunları verimli biçimde triage edebildi mi?
Örnek ATT&CK Teknik Takip Tablosu
Uygulanan her teknik egzersiz sırasında şuna benzer yapılandırılmış bir biçimde kaydedilmeli:
| ATT&CK ID | Teknik | Beklenen Veri Kaynağı | Tespit Tetiklendi mi? | Uyarı Bağlam İçerdi mi? | Analist Süresi |
| --- | --- | --- | --- | --- | --- |
| T1059.001 | PowerShell çalıştırma | EDR süreç olayları | Evet | Kısmi — üst PID yok | 8 dk |
| T1003.001 | LSASS bellek dökümü | EDR bellek olayları | Hayır | Yok — telemetri yok | — |
| T1071.001 | HTTP üzerinden C2 | Ağ proxy günlükleri | Evet | Evet — tam URL + hedef IP | 3 dk |
| T1053.005 | Zamanlanmış görev oluşturma | Windows olay günlüğü 4698 | Hayır | Yok — günlük alınmıyor | — |
| T1078 | Geçerli hesaplar (yanal) | Kimlik doğrulama günlükleri | Evet | Kısmi — temel karşılaştırma yok | 22 dk |
Bu tablo formatı, purple team egzersizini tekrarlanabilir bir mühendislik sürecine dönüştüren şey. "Tespit Tetiklendi mi?" sütunundaki boşluklar telemetri sorunudur. "Uyarı Bağlam İçerdi mi?" sütunundaki boşluklar tespit mühendisliği sorunudur. İkisi de çözülebilir — ama ancak görünür hale geldikten sonra.
MyVuln Yaklaşımı
MyVuln, zafiyet bağlamı ve exploit sonrası beklentiler birlikte kapsama alındığında purple team planlamasına derinlik katıyor. Erişilebilir bir servis RCE sınıfı risk taşıyorsa, tespit stratejisi hangi alt süreçlerin, yetki geçişlerinin veya anormal egress kalıplarının derhal analist dikkatini hak ettiğini zaten tanımlamış olmalı. MyVuln'un CVE detay görünümü her zafiyet sınıfı için bilinen exploitation davranışını yüzeye çıkarıyor — purple team planlayıcılarına bir sonraki egzersiz döngüsünde hangi ATT&CK tekniklerini önceliklendireceği konusunda avantaj sağlıyor. Maruziyet bağlamını tespit stratejisine bağlamak, purple egzersizlerin gerçek saldırı yüzeyine karşı kullanılma olasılığı en yüksek tekniklere odaklanmasını sağlıyor.
Purple team egzersizleri yalnızca heyecanlı oturumlar olarak kalmaktan çıkıp gerçek savunma değeri ürettiğinde, ortamda somut ve ölçülebilir mühendislik izi bıraktığında anlam kazanır. Yeni bir detection kuralı yazıldı mı? Kritik bir telemetri kaynağında log detay seviyesi artırıldı mı? Eksik olan bir veri kaynağı SIEM'e (Security Information and Event Management) alındı mı? Playbook gözlemlenen saldırgan davranışını yansıtacak şekilde güncellendi mi? Savunma ekibi aynı teknikle bir daha karşılaştığında daha hızlı ve daha güvenle karar verebilecek mi? Bu çıktıların hiçbiri egzersiz sonrasında mevcut değilse oturum eğitici olmuş ama operasyonel açıdan etkisiz kalmış demektir.
Güçlü programlar bu nedenle her egzersiz oturumunun somut bir çıktı kaydı üretmesini bekler:
| Test edilen teknik | Tespit sonucu | Mühendislik çıktısı |
|---|---|---|
| T1059.001 PowerShell çalıştırma | 4 dakikada tespit edildi | Kural ayarlandı — yanlış pozitif oranı %60 düştü |
| T1078 Geçerli hesap — lateral movement | Tespit edilmedi | Yeni SIEM korelasyon kuralı oluşturuldu |
| T1003.001 LSASS bellek dökümü | Tespit edildi, yanlış ekibe iletildi | Runbook'ta sahiplik haritası güncellendi |
| T1041 C2 kanalı üzerinden veri sızdırma | 12 dakikada tespit edildi | Kabul edildi — Tier 2 varlık SLA dahilinde |
Başarı yalnızca bir tekniğin telemetride bir yerde görünüp görünmediğiyle değil; ne kadar hızlı anlaşıldığıyla, doğru bağlamla doğru ekibe ulaşıp ulaşmadığıyla, alarmda sunulan bağlamın karar almak için gerçekten yeterli olup olmadığıyla ve simüle edilen eylem ile müdahale arasında geçen süreyle ölçülür.
En olgun yaklaşım her egzersizden sonra mühendislik iyileştirmeleri bırakmayı bir yükümlülük olarak kabul eder. Belirli TTP'ler hâlâ zayıf tespit ediliyorsa kapsam genişletilir. Log toplama stratejisinde kör noktalar varsa revize edilir. Korelasyon mantığı gereğinden karmaşıksa sadeleştirilir. Bir detectionın sahipliği belirsizse atanır. Bu disiplinle inşa edilen purple team pratiği zamanla güvenlik ekiplerine "bunu gördük" cümlesinden çok daha değerli bir yetenek kazandırır: "Bunu geçen çeyrektekinden daha hızlı, daha net ve daha az operasyonel belirsizlikle yöneteceğiz" diyebilme yeteneği.
MyVuln Araştırma Ekibi
Siber güvenlik istihbaratı ve zafiyet araştırmaları.