Cyber Sentinels

SSL (Secure Sockets Layer) və TLS (Transport Layer Security), internet üzərindən göndərilən məlumatların məxfiliyini və bütövlüyünü təmin edən kriptoqrafik protokollardır. Onlar veb server və brauzer arasında şifrələnmiş bir əlaqə yaradır.
Fərq: TLS, SSL-in daha yeni və təkmilləşdirilmiş versiyasıdır. SSL-də olan bəzi təhlükəsizlik zəiflikləri TLS-də aradan qaldırılıb. Bu gün standart olaraq TLS istifadə olunur.

File upload zəifliyi, təcavüzkarın serverə zərərli fayllar (məsələn, veb shell) yükləməsinə imkan verir. Bypass üsulları:
• Content-Type dəyişdirmək: Burp Suite kimi bir proksi vasitəsilə faylın `Content-Type` başlığını icazə verilən bir tipə (məsələn, `image/jpeg`) dəyişdirmək.
• Fayl uzantısını manipulyasiya etmək: `shell.php.jpg` kimi cüt uzantıdan istifadə etmək və ya `shell.pHp` kimi böyük/kiçik hərfləri qarışdırmaq.
• Null Byte Injection: `shell.php%00.jpg` kimi bir adla fayl yükləmək. Bəzi köhnə sistemlər null baytdan sonrakı hər şeyi nəzərə almır.

Bu üç mexanizm də SQL Injection hücumlarının qarşısını almaq üçün istifadə olunur, lakin işləmə prinsipləri fərqlidir:
• Prepared Statements: SQL sorğusunun şablonu əvvəlcədən tərtib edilir və verilənlər bazasına göndərilir. Sonra parametrlər ayrı-ayrılıqda göndərilir. Verilənlər bazası kodu və datanı ayırdığı üçün istifadəçi tərəfindən daxil edilən məlumat kod kimi icra edilə bilməz.
• Parameterized Queries: Prepared Statement-lərə çox bənzəyir. Əsas fərq, bəzi proqramlaşdırma dillərində və framework-lərdə bu terminlərin bir-birinin yerinə istifadə edilməsidir. Məqsəd eynidir: SQL kodunu istifadəçi məlumatından ayırmaq.
• Stored Procedures: Verilənlər bazası serverində saxlanılan və adı ilə çağırılan əvvəlcədən tərtib edilmiş SQL kod bloklarıdır. Tətbiq yalnız prosedur adını və parametrləri göndərir, SQL kodunun özünü yox. Bu da SQL Injection riskini azaldır.

SQL Injection (SQLi), təcavüzkarın veb tətbiqin verilənlər bazasına göndərdiyi SQL sorğularına müdaxilə etməsinə imkan verən bir zəiflikdir.
Bypass: Firewall və ya filtrləri keçmək üçün sorğular kodlaşdırıla (`URL encoding`, `hex encoding`), şərhlərdən (`--` və ya `/* */`) istifadə edilə bilər.
Qarşısının alınması: Prepared Statements, Parameterized Queries, Stored Procedures istifadə etmək və istifadəçi tərəfindən daxil edilən bütün məlumatları yoxlamaq (input validation).
Növləri: In-band (Error-based, UNION-based), Inferential (Blind SQLi: Boolean-based, Time-based) və Out-of-band SQLi.

XSS, təcavüzkarın digər istifadəçilərin brauzerində zərərli skriptlər (adətən JavaScript) icra etməsinə imkan verən bir veb təhlükəsizlik zəifliyidir.
Bypass: Filtrləri keçmək üçün skriptlər kodlaşdırıla bilər (`HTML entities`, `hex`), hadisə idarəedicilərindən (`onerror`, `onload`) istifadə edilə bilər və ya `eval()` kimi funksiyalarla gizlədilə bilər.
Qarşısının alınması: İstifadəçi tərəfindən daxil edilən məlumatları HTML səhifəsinə yerləşdirmədən əvvəl kodlaşdırmaq (Output Encoding), Content Security Policy (CSP) tətbiq etmək.
Növləri: Stored XSS (zərərli skript verilənlər bazasında saxlanır), Reflected XSS (zərərli skript URL vasitəsilə qurbana göndərilir) və DOM-based XSS (zəiflik DOM-un manipulyasiyasından qaynaqlanır).

Broken Authentication (Sınıq Autentifikasiya): İstifadəçinin kimliyini yoxlama prosesindəki zəifliklərdir. Məsələn, zəif şifrə siyasətləri, sessiya ID-lərinin URL-də ifşa olunması, Brute Force hücumlarına qarşı müdafiənin olmaması. Bu, "sən kimsən?" sualına cavab verir.
Broken Access Control (Sınıq Giriş Nəzarəti): Autentifikasiyadan keçmiş bir istifadəçinin icazəsi olmayan hərəkətləri etməsinə imkan verən zəifliklərdir. Məsələn, adi bir istifadəçinin admin panelinə daxil ola bilməsi və ya başqa bir istifadəçinin məlumatlarını görə bilməsi (IDOR). Bu, "sən nə edə bilərsən?" sualına cavab verir.

HSTS, veb serverin brauzerə yalnız HTTPS protokolu üzərindən əlaqə qurmasını bildirməsinə imkan verən bir təhlükəsizlik mexanizmidir. Brauzer bu siyasəti aldıqdan sonra müəyyən bir müddət ərzində həmin sayta edilən bütün HTTP sorğularını avtomatik olaraq HTTPS-ə yönləndirir.
Qarşısını aldığı problemlər:
• SSL Stripping (Downgrade Attacks): Təcavüzkarın HTTPS əlaqəsini HTTP-yə endirməsinin qarşısını alır.
• Cookie Hijacking: Təhlükəsiz olmayan HTTP əlaqəsi üzərindən sessiya kukilərinin oğurlanmasını əngəlləyir.

Hər ikisi brauzerdə məlumat saxlamaq üçün istifadə olunur, lakin fərqləri var:
• Local Storage: Məlumatlar brauzer bağlandıqdan sonra da qalır və manuel olaraq silinənə qədər saxlanılır. Eyni domendəki bütün pəncərələr və tablar arasında paylaşılır.
• Session Storage: Məlumatlar yalnız cari sessiya (tab və ya pəncərə) üçün saxlanılır. Tab bağlandıqda məlumatlar silinir.
Təhlükəsizlik Riskləri: Hər ikisi də client-side olduğu üçün XSS hücumlarına qarşı həssasdır. Əgər bir təcavüzkar saytda XSS zəifliyi tapsa, həm Local, həm də Session Storage-də saxlanılan məlumatları (məsələn, tokenlər) oğurlaya bilər. Buna görə də həssas məlumatları burada saxlamaq tövsiyə edilmir.

WAF (Web Application Firewall): OSI modelinin 7-ci qatında (Application Layer) işləyir. Xüsusi olaraq veb tətbiqləri SQL Injection, XSS, CSRF kimi hücumlardan qorumaq üçün nəzərdə tutulub. HTTP/HTTPS trafikini analiz edir.
Next-Generation Firewall (NGFW): Ənənəvi firewall-ların funksiyalarını (paket filtrləmə, stateful inspection) daha qabaqcıl xüsusiyyətlərlə birləşdirir. Adətən 3-cü və 4-cü qatlarda işləsə də, 7-ci qatda da görünürlük təmin edir. Xüsusiyyətlərinə Intrusion Prevention System (IPS), tətbiq nəzarəti və dərin paket yoxlaması (DPI) daxildir. WAF qədər veb tətbiq hücumlarına qarşı dərin ixtisaslaşmayıb.

Web Server (məsələn, Apache, Nginx): Əsas vəzifəsi statik məzmunu (HTML, CSS, şəkillər) istifadəçilərə çatdırmaqdır. HTTP sorğularını qəbul edir və cavablandırır.
Application Server (məsələn, Tomcat, JBoss): Dinamik məzmun yaratmaq və biznes məntiqini icra etmək üçün nəzərdə tutulub. Adətən bir veb serverə əlavə olaraq işləyir və verilənlər bazası ilə əlaqə qurur, mürəkkəb əməliyyatları yerinə yetirir.

Cyber Kill Chain, Lockheed Martin tərəfindən hazırlanmış və bir kiberhücumun mərhələlərini təsvir edən bir modeldir. Müdafiəçilərə hücumun hansı mərhələdə olduğunu anlamağa və onu dayandırmağa kömək edir. 7 mərhələdən ibarətdir:
1. Reconnaissance (Kəşfiyyat): Hədəf haqqında məlumat toplama.
2. Weaponization (Silahlandırma): Zərərli proqramın (məsələn, virus, exploit) hazırlanması.
3. Delivery (Çatdırılma): Zərərli proqramın hədəfə göndərilməsi (məsələn, phishing e-poçtu ilə).
4. Exploitation (İstismar): Hədəf sistemdəki bir zəiflikdən istifadə edərək kodun icra edilməsi.
5. Installation (Quraşdırma): Zərərli proqramın sistemdə daimi qalmaq üçün özünü quraşdırması (backdoor).
6. Command & Control (C2): Zərərli proqramın təcavüzkarın serveri ilə əlaqə qurması.
7. Actions on Objectives (Hədəfə Yönəlik Fəaliyyətlər): Təcavüzkarın əsas məqsədini həyata keçirməsi (məlumat oğurlamaq, sistemi sıradan çıxarmaq).

Stack: Statik yaddaş ayırması üçün istifadə olunur. Yaddaş kompilyasiya zamanı ayrılır. Funksiya çağırışları, lokal dəyişənlər burada saxlanılır. Yaddaşın idarə olunması avtomatikdir (LIFO - Last-In, First-Out prinsipi ilə) və çox sürətlidir. Yaddaş həcmi məhduddur.
Heap: Dinamik yaddaş ayırması üçün istifadə olunur. Yaddaş proqramın işləməsi zamanı (runtime) ayrılır. Obyektlər və böyük data strukturları burada saxlanılır. Yaddaşın idarə olunması proqramçı tərəfindən (məsələn, C++-da `new`/`delete`) və ya Garbage Collector tərəfindən (məsələn, Java, C#) həyata keçirilir. Stack-ə nisbətən daha yavaşdır, lakin daha böyük yaddaş sahəsi təqdim edir.

On-Premise: İnfrastrukturun (serverlər, şəbəkə avadanlıqları) şirkətin öz fiziki məkanında yerləşdirilməsi və idarə edilməsidir.
• Üstünlükləri: Məlumatlar və sistemlər üzərində tam nəzarət, yüksək məxfilik tələb edən tətbiqlər üçün uyğundur.
• Riskləri: Yüksək ilkin investisiya və baxım xərcləri, fiziki təhlükəsizlik şirkətin məsuliyyətidir, miqyaslanma çətindir.

Cloud (Bulud): İnfrastrukturun üçüncü tərəf provayder (məsələn, AWS, Azure, Google Cloud) tərəfindən təmin edilməsi və internet üzərindən istifadə edilməsidir.
• Üstünlükləri: Aşağı ilkin xərc, asan miqyaslanma, provayder tərəfindən təmin edilən fiziki təhlükəsizlik və yüksək davamlılıq.
• Riskləri: Məlumatlar üzərində nəzarətin azalması, provayderdən asılılıq, səhv konfiqurasiyalar nəticəsində yaranan təhlükəsizlik boşluqları.

OS Command Injection, təcavüzkarın veb tətbiq vasitəsilə serverin əməliyyat sistemində istədiyi əmrləri icra etməsinə imkan verən bir zəiflikdir. Bu, adətən tətbiqin istifadəçi tərəfindən daxil edilən məlumatları yoxlamadan sistem əmrlərinə daxil etməsi nəticəsində baş verir.
İstismar: Təcavüzkar, mövcud əmrin sonuna `&`, `&&`, `|`, `||`, `;` kimi metacharacter-lər əlavə edərək öz əmrini icra edə bilər. Məsələn, bir IP ünvanını ping edən tətbiqə `8.8.8.8; ls -la` daxil edərək həm ping əmrini, həm də `ls -la` əmrini icra edə bilər.
Qarşısının alınması: İstifadəçi tərəfindən daxil edilən məlumatlarla sistem əmrləri çağırmaqdan çəkinmək. Mümkünsə, proqramlaşdırma dilinin daxili funksiyalarından istifadə etmək. Mütləqdirsə, daxil edilən məlumatları ciddi şəkildə yoxlamaq və təhlükəli simvolları filtrləmək (input sanitization).

CSRF, təcavüzkarın autentifikasiyadan keçmiş bir istifadəçini onun xəbəri olmadan istənməyən bir hərəkəti (məsələn, şifrəni dəyişmək, pul köçürmək) etməyə məcbur etdiyi bir hücum növüdür. Təcavüzkar, qurbanın brauzerini hədəf sayta saxta bir sorğu göndərməyə vadar edir. Brauzer sorğu ilə birlikdə avtomatik olaraq sessiya kukilərini də göndərdiyi üçün sayt bu sorğunun legitim istifadəçidən gəldiyini düşünür.
Qarşısının alınması:
• Anti-CSRF Tokens: Hər sessiya üçün unikal və təsadüfi bir token yaradılır və hər forma sorğusuna gizli bir sahə kimi əlavə olunur. Server sorğunu qəbul etdikdə bu tokeni yoxlayır.
• SameSite Cookie Attribute: Kukilərin `SameSite` atributunu `Strict` və ya `Lax` olaraq təyin etmək, onların kənar saytlardan gələn sorğularla göndərilməsinin qarşısını alır.
• Referer Header yoxlaması: Sorğunun mənbəyini yoxlamaq, lakin bu həmişə etibarlı deyil.

Directory Traversal, təcavüzkarın veb serverin kök qovluğundan (web root) kənarda yerləşən fayllara və qovluqlara daxil olmasına imkan verən bir zəiflikdir. Bu, adətən tətbiqin istifadəçi tərəfindən təmin edilən fayl adlarını düzgün yoxlamaması nəticəsində baş verir.
İstismar: Təcavüzkar, fayl yoluna `../` (bir qovluq yuxarı çıxmaq üçün) ardıcıllığını daxil edərək fayl sistemində gəzə bilər. Məsələn, `https://example.com/view?file=../../../etc/passwd` sorğusu ilə serverin şifrə faylını oxumağa cəhd edə bilər.

XXE, zəif konfiqurasiya edilmiş bir XML parser-dən qaynaqlanan bir zəiflikdir. Tətbiq, istifadəçi tərəfindən təmin edilən XML məlumatını emal edərkən xarici bir varlığa (external entity) müraciət edərsə, təcavüzkar bu xüsusiyyətdən istifadə edərək serverdəki lokal faylları oxuya, daxili şəbəkəni skan edə (SSRF vasitəsilə) və ya xidmətdən imtina (Denial of Service) hücumları həyata keçirə bilər.
Qarşısının alınması: Ən təsirli yol, istifadə olunan XML parser-də xarici varlıqların (external entities) və DTD (Document Type Definition) emalının tamamilə söndürülməsidir.

SSRF, təcavüzkarın serveri öz adından istədiyi bir ünvana sorğu göndərməyə məcbur etdiyi bir zəiflikdir. Bu, serverin daxili şəbəkəsindəki resurslara (adətən kənardan əlçatan olmayan) giriş əldə etməyə imkan verir.
Real həyatda istifadəsi: Təcavüzkar, bulud mühitində işləyən bir serveri istismar edərək, adətən yalnız serverin özündən əlçatan olan metadata xidmətinə (`169.254.169.254`) sorğu göndərə bilər. Bu sorğu vasitəsilə həmin serverə aid olan gizli açarları (access keys), şifrələri və digər həssas məlumatları əldə edə bilər.

IDOR, bir giriş nəzarəti (access control) zəifliyidir. Tətbiq, istifadəçinin birbaşa müraciət etdiyi obyektə (məsələn, fayl, verilənlər bazası qeydi) həqiqətən icazəsi olub-olmadığını yoxlamadıqda baş verir. Təcavüzkar, sadəcə olaraq URL-dəki və ya sorğudakı bir parametri (adətən bir ID) dəyişdirərək başqa istifadəçilərin məlumatlarına daxil ola bilər.
Misal: Bir istifadəçi öz hesab məlumatlarına baxmaq üçün `https://example.com/account?id=101` ünvanına daxil olur. Təcavüzkar, URL-dəki `id` parametrini `102` olaraq dəyişdirir (`https://example.com/account?id=102`) və əgər sistem giriş nəzarəti yoxlaması etmirsə, 102 ID-li istifadəçinin hesab məlumatlarını görür.

Race Condition, bir sistemin və ya tətbiqin iki və ya daha çox əməliyyatın ardıcıllığına və ya vaxtına həssas olduğu zaman yaranan bir zəiflikdir. Təcavüzkar, əməliyyatlar arasındakı kiçik zaman pəncərəsindən (time-of-check-to-time-of-use - TOCTOU) istifadə edərək sistemin gözlənilməz davranışına səbəb ola bilər.
Veb tətbiqlərdə: Bir e-ticarət saytında istifadəçinin bir endirim kuponunu yalnız bir dəfə istifadə etməsinə icazə verildiyini düşünün. Təcavüzkar, eyni kuponu istifadə etmək üçün eyni anda çox sayda sorğu göndərə bilər. Əgər sistem birinci sorğuda kuponun etibarlı olduğunu yoxladıqdan sonra, lakin onu etibarsız etmədən əvvəl digər sorğuları da emal edərsə, kupon bir neçə dəfə istifadə edilə bilər.

JWT, iki tərəf arasında məlumatları JSON obyekti kimi təhlükəsiz şəkildə ötürmək üçün kompakt və özündə məlumat saxlayan bir standartdır (RFC 7519). Adətən autentifikasiya və avtorizasiya məqsədləri üçün istifadə olunur. Üç hissədən ibarətdir: Başlıq (Header), Yük (Payload) və İmza (Signature).
Zəiflikləri:
• Alqoritm olmaması (alg: none): İmza yoxlamasını atlamaq üçün başlığında alqoritmin `none` olaraq təyin edilməsi.
• Zəif Gizli Açar (Weak Secret Key): İmzalama üçün istifadə olunan gizli açarın asanlıqla tapıla bilməsi (brute-force).
• Həssas Məlumatların Yükdə Saxlanması: Yük hissəsi yalnız Base64 ilə kodlaşdırıldığı üçün asanlıqla deşifrə edilə bilər. Buna görə də burada şifrə kimi həssas məlumatlar saxlanmamalıdır.
• İmza yoxlamasının düzgün aparılmaması.

Encryption (Şifrələmə): İki tərəfli bir prosesdir. Məlumat (plaintext) bir alqoritm və açar vasitəsilə oxunmaz formata (ciphertext) çevrilir və eyni və ya fərqli bir açarla geri qaytarıla (deşifrə edilə) bilər. Məqsəd məlumatın məxfiliyini qorumaqdır, lakin orijinal məlumata ehtiyac var.
Hashing (Heşləmə): Tək tərəfli bir prosesdir. Məlumat (məsələn, şifrə) bir alqoritm vasitəsilə sabit uzunluqlu bir heş dəyərinə çevrilir. Bu prosesi geri qaytarmaq (heşdən orijinal məlumatı əldə etmək) praktiki olaraq mümkün deyil. Məqsəd məlumatın bütövlüyünü yoxlamaqdır. Şifrələr verilənlər bazasında heşlənmiş formada saxlanmalıdır.

Zero-Day zəifliyi, proqram təminatı istehsalçısı tərəfindən hələ aşkar edilməmiş və düzəliş (patch) yayımlanmamış bir təhlükəsizlik boşluğudur. Təcavüzkarlar bu zəifliyi aşkar etdikdə, istehsalçının onu düzəltmək üçün "sıfır günü" olur.
Mübarizə üsulları:
• Proaktiv Təhlükəsizlik Tədbirləri: WAF, IPS/IDS kimi sistemlər qeyri-adi davranışları aşkarlayaraq naməlum hücumları bloklaya bilər.
• Bug Bounty Proqramları: Təhlükəsizlik tədqiqatçılarını zəiflikləri aşkar etməyə və məsuliyyətli şəkildə bildirməyə təşviq etmək.
• Dərin Müdafiə (Defense in Depth): Birdən çox təhlükəsizlik qatı tətbiq etmək ki, bir qat keçilsə belə, digərləri hücumu dayandıra bilsin.
• Sürətli Patch İdarəetməsi: Düzəlişlər yayımlandıqda onları dərhal tətbiq etmək üçün çevik proseslərə sahib olmaq.

Red Team (Qırmızı Komanda): Hücum tərəfidir. Real təcavüzkarların taktika, texnika və prosedurlarını (TTPs) təqlid edərək bir təşkilatın təhlükəsizlik müdafiəsini yoxlayır. Məqsəd zəiflikləri tapmaq və müdafiənin effektivliyini qiymətləndirməkdir. Onlar "hücum edən" rolunu oynayırlar.
Blue Team (Mavi Komanda): Müdafiə tərəfidir. Təşkilatın şəbəkəsini və sistemlərini Red Team və real təcavüzkarların hücumlarından qorumaq üçün məsuliyyət daşıyır. Onlar təhlükəsizlik monitorinqi, insidentlərə reaksiya və müdafiə sistemlərinin gücləndirilməsi ilə məşğul olurlar. Onlar "müdafiə edən" rolunu oynayırlar.

SOC, bir təşkilatın təhlükəsizlik vəziyyətini davamlı olaraq monitorinq edən, təhlükəsizlik insidentlərini aşkarlayan, analiz edən və onlara reaksiya verən mərkəzləşdirilmiş bir komandadır.
Əsas vəzifələri:
• Davamlı Monitorinq: Şəbəkə, serverlər, tətbiqlər və son nöqtələrdən gələn loqları və hadisələri izləmək.
• Təhdidlərin Aşkarlanması: Potensial təhlükəsizlik pozuntularını və şübhəli fəaliyyətləri müəyyən etmək.
• İnsidentlərə Reaksiya (Incident Response): Aşkarlanan insidentləri təsdiqləmək, təsirini məhdudlaşdırmaq, aradan qaldırmaq və bərpa etmək.
• Təhdid Kəşfiyyatı (Threat Intelligence): Yeni hücum tendensiyaları və təhdidlər haqqında məlumat toplamaq və analiz etmək.

Threat Modeling (Təhdid Modelləşdirməsi), potensial təhdidləri və zəiflikləri proaktiv şəkildə müəyyən etmək, sıralamaq və onlara qarşı müdafiə tədbirləri görmək üçün strukturlaşdırılmış bir yanaşmadır. Bu proses adətən proqram təminatının inkişafının ilkin mərhələlərində aparılır.
Əsas mərhələləri (ümumi olaraq):
1. Tətbiqi Anlamaq (Decomposition): Sistemin komponentlərini, data axınlarını və güvən sərhədlərini müəyyən etmək.
2. Təhdidləri Müəyyən Etmək (Threat Identification): Potensial hücumları və zəiflikləri tapmaq (məsələn, STRIDE metodologiyasından istifadə edərək: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege).
3. Riskləri Qiymətləndirmək (Risk Assessment): Hər bir təhdidin baş vermə ehtimalını və potensial təsirini qiymətləndirmək.
4. Müdafiə Tədbirləri Görmək (Mitigation): Aşkarlanan riskləri azaltmaq və ya aradan qaldırmaq üçün təhlükəsizlik nəzarətləri tətbiq etmək.

DevSecOps (Development, Security, and Operations), proqram təminatının inkişafı həyat dövrünün (SDLC) hər mərhələsinə təhlükəsizliyin inteqrasiya edilməsi fəlsəfəsidir. Məqsəd təhlükəsizliyi sonradan əlavə edilən bir addım kimi deyil, bütün prosesin ayrılmaz bir hissəsi etməkdir ("Shift Left" prinsipi).
CI/CD-də tətbiqi:
• CI (Continuous Integration): Kod yazıldıqca avtomatik olaraq statik tətbiq təhlükəsizliyi testi (SAST) alətləri ilə yoxlanılır, asılılıqların (dependencies) zəiflikləri skan edilir (SCA).
• CD (Continuous Delivery/Deployment): Tətbiq test mühitinə yerləşdirildikdən sonra dinamik tətbiq təhlükəsizliyi testi (DAST) alətləri ilə avtomatik yoxlanılır. Konteyner imicləri zəifliklərə qarşı skan edilir. İnfrastrukturun kod (IaC) şablonları təhlükəsizlik qaydalarına uyğunluq üçün yoxlanılır.

SIEM, bir təşkilatın IT infrastrukturundakı müxtəlif mənbələrdən (şəbəkə cihazları, serverlər, tətbiqlər) təhlükəsizlik məlumatlarını və hadisə loqlarını toplayan, birləşdirən, analiz edən və real zamanlı xəbərdarlıqlar yaradan bir texnologiyadır.
Real həyatda istifadəsi: Bir şirkətin daxili şəbəkəsindəki bir istifadəçinin hesabına qısa müddət ərzində fərqli coğrafi mövqelərdən çoxsaylı uğursuz giriş cəhdləri olur (firewall loqları). Eyni zamanda, həmin istifadəçinin kompüterindən daxili fayl serverinə qeyri-adi həcmdə məlumat ötürülməsi aşkarlanır (server loqları). SIEM sistemi bu iki fərqli hadisəni əlaqələndirərək bunun potensial bir hesab kompromisi və məlumat sızması cəhdi olduğunu anlayır və dərhal SOC analitiklərinə yüksək prioritetli bir xəbərdarlıq göndərir.

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), real dünyadakı kiberhücumlara əsaslanan təcavüzkar taktikaları və texnikalarının qlobal miqyasda əlçatan bir bilik bazasıdır. O, təcavüzkarların hücumun müxtəlif mərhələlərində hansı üsullardan istifadə etdiyini detallı şəkildə təsvir edir.
Fərqi:
• Səviyyə: Cyber Kill Chain yüksək səviyyəli və xətti bir modeldir, hücumun 7 mərhələsini göstərir. ATT&CK isə daha dərin və detallıdır, yüzlərlə fərqli texnikanı 14 taktika altında təsnif edir.
• Struktur: Kill Chain hücumun başlanğıcdan sona qədər necə irəlilədiyini göstərən ardıcıl bir zəncirdir. ATT&CK isə bir matris kimidir və təcavüzkarların müxtəlif mərhələlərdə istifadə edə biləcəyi texnikaları göstərir, bu proses həmişə xətti olmaya bilər. ATT&CK "hücum necə edildi?" sualına daha ətraflı cavab verir.