Was ist das MITRE ATT&CK-Framework?
Hacker auf der ganzen Welt probieren ständig neue Strategien aus, um Organisationen ins Visier zu nehmen und anzugreifen. Glücklicherweise gibt es einen Weg, diese Strategien zu beobachten und dieses Wissen gegen sie einzusetzen. MITRE, eine von der US-Regierung finanzierte gemeinnützige Organisation, hat darum das e ATT&CK framework entwickelt. Dies ist eine Cybersicherheits-Wissensbasis gegnerischer Taktiken und Techniken, die auf Beobachtungen aus der realen Welt basiert. Das Rahmenwerk ist in vielen verschiedenen Aspekten der Cybersicherheit nützlich und hilft Organisationen, die Bedrohungsintelligenz zu erhöhen und die Netzwerkabwehr gegen Angriffe zu stärken.
Das ATT&CK-Rahmenwerk ist eine universelle Möglichkeit, gegnerische Taktiken zu klassifizieren. Es hat den Vorteil, dass es durch eine gemeinschaftlich betriebene Wissensbasis gegnerischer Techniken unterstützt wird. Der einheitliche Rahmen ermöglicht es Sicherheitsexperten, klarer zu kommunizieren und Informationen effizienter auszutauschen, was letztlich zu einem höheren Sicherheitsniveau weltweit beiträgt.
Wie kommt das Framework zum Einsatz?
Das Framework findet vielseitig Anwendung und bietet nicht nur Sicherheitsexperten und Analysten einen entscheidenden Zeitvorteil in der Bekämpfung und Prävention von Cyber Bedrohungen. Unter anderem in folgenden Situationen lässt sich das Framework nutzen:
- Incident Response:
Cyber Angriffe werden immer raffinierter, weshalb es oft kaum noch möglich ist, den Angreifer vollkommen aus der IT-Infrastruktur fernzuhalten. Mithilfe des Mitre ATT&CK Frameworks kann die Vorgehensweise des Angreifers jedoch genau klassifiziert und prognostiziert werden, was einen entscheidenden Vorteil in der Bekämpfung der Gefahr bietet.
- Sicherheitsanalyse:
Auch in der Sicherheitsanalyse kann mit dem Framework wertvolle Zeit eingespart werden. Zudem wird eine gemeinsame Verständnisgrundlage geschaffen, so dass die interne Kommunikation zwischen langjährigen Sicherheitsexperten und Neueinsteigern vereinfacht wird. - Threat Hunting:
In dieser Disziplin ist das Framework besonders hervorzuheben. Nicht nur wird die Erkennung und die Klassifizierung von Gefahren und Angreifern deutlich vereinfacht, das Framework ermöglicht ebenfalls die Einhaltung von strengen Compliance Regeln. Mithilfe des Frameworks wird die notwendige Dokumentation und die Verifizierung des Threat Huntings erleichtert.
- Threat Intelligence:
Das Framework repräsentiert den Lebenszyklus einer jeden existenziellen Gefahr. Dadurch haben sich viele Systeme und Softwareanwendungen an das Framework angepasst, was den koordinierten Einsatz von Tools und weiteren Technologien deutlich erleichtert.
- Strategie und GAP-Analyse:
Mit dem Framework wird nicht nur die Kommunikation innerhalb des Sicherheitsteams vereinfacht, sondern ebenfalls mit dem Management. Das Framework kann zudem als Bewertungsgrundlage bei der Anschaffung von neuen Technologien und der Aufstellung des Sicherheits-Budgets dienen.
- Red Team Anwendung:
Indem das Rahmenwerk auf tatsächliche Erfahrungen und Beobachtungen beruht, kann das Mitre ATT&CK Framework als Grundlage zur Simulation von Angriffen dienen.
Taktiken und Techniken vom MITRE ATT&CK Framework
Taktiken sind der Kern des ATT&CK-Rahmens und stellen das „Warum“ einer ATT&CK-Technik dar. Sie ist das taktische Ziel des Gegners: der Grund für die Durchführung einer Aktion. Taktiken fassen die verschiedenen Methoden zusammen, die Angreifer anwenden, wie z.B. Verharren, Entdecken von Informationen, Lateral Movement, Ausführen von Dateien und Exfiltration von Daten. Der MITRE ATT&CK-Rahmen besteht derzeit aus 12 leicht verständlichen Taktiken.
| Taktik Name | Der Gegner versucht… |
|---|---|
| Erstzugriff | Ihr Netzwerk zu betreten. |
| Ausführung | einen schädlichen Code einzugeben. |
| Persistenz | seinen Zutritt zu festigen.. |
| Weiterleitung von Berechtigungen | höhere Zugangs-Level zu erreichen. |
| Umgehung der Abwehr | eine Erfassung zu vermeiden. |
| Zugriff auf Zugangsdaten | Zugangsdaten und Passwörter zu stehlen. |
| Entdeckung | Ihre Umgebung zu verstehen. |
| Lateral Movement | sich durch Ihre Umgebungen zu bewegen. |
| Sammlung | relevante Daten zu speichern. |
| Befehlen und Steuern | mit gefährdeten Systemen zu kommunizieren, um die Kontrolle zu übernehmen. |
| Exfiltration | Daten zu stehlen. |
| Einfluss | Ihre Systeme und Daten zu manipulieren, unterbrechen und zerstören. |
Was sind die MITRE ATT&CK Techniken?
Die MITRE ATT&CK-Techniken werden nach Taktiken gruppiert und basieren auf einer Reihe von Aktionen, die Gegner ausführen, um ihre schädlichen Ziele zu erreichen.
Jede ATT&CK-Technik wurde beobachtet, während verschiedene Hacker Gruppen versuchten, Unternehmensnetzwerke anzugreifen. Bei den Techniken handelt es sich im Wesentlichen um ein Spielbuch oder ein „How to“, das es den Verteidigern ermöglicht, sich auf den Angriff vorzubereiten: Wie kommen Angreifer in Ihr Netzwerk? Wie vermeiden sie es, entdeckt zu werden? Wie bewegen sie sich durch Ihre Netzwerkumgebung?
Die Techniken-Bibliothek im Rahmen von ATT&CK entwickelt sich ständig weiter und besteht aus mehr als 150 Techniken und 270 Subtechniken, die in die oben erwähnten 12 Taktiken unterteilt sind.
Was sind die Vorteile der Verwendung des MITRE ATT&CK-Rahmens mit Ihrem SIEM?
SIEM Anbieter sind immer auf der Suche nach Möglichkeiten, ihre Lösung zu verbessern, um mehr Einblicke und Informationen zu erhalten, die helfen können, einen Angriff zu erkennen und darauf zu reagieren. Das ATT&CK-Rahmenwerk ermöglicht es Analysten, die Besonderheiten eines Angriffs besser zu verstehen und mit Ihren Teammitgliedern zu teilen. Dadurch wird die Bedrohungserkennung und die Reaktionszeit noch schneller.
Das ATT&CK-Rahmenwerk ist für die gesamte Organisation von Vorteil. Es ist ein großartiges Werkzeug für die Kommunikation mit leitenden Führungskräften und Sicherheitsmanagern. Mit ATT&CK ist es viel einfacher, einen genaueren Überblick über Vorfälle zu erhalten. Auditoren und CISOs benötigen oft Informationen wie z.B. Dashboards und Berichte, und das Framework kann dabei helfen, die Erstellung der erforderlichen Informationen zu automatisieren.
MITRE ATT&CK in LogPoint
LogPoint hat alle Analysen an das ATT&CK-Rahmenwerk angepasst, das die Lücke zwischen dem Ursache des Meldung und den möglichen Folgen einer Bedrohung schließt. Wenn Warnmeldungen einer ATT&CK-Technik entsprechen, können Sicherheitsanalytiker schneller verstehen, wie eine Warnmeldung mit einem größeren Angriff zusammenhängt, so dass sie die notwendigen Schritte zum Schutz ihres Unternehmens einleiten können. Analysten können auch die ATT&CK-Visualisierungen in LogPoint verwenden, um die Phasen eines Angriffs zu verfolgen und die Sicherheitsabdeckung zu beurteilen.
Wenn es an der Zeit ist, mit anderen Mitarbeitern zu kommunizieren, um den Wert des SIEM und die Anzahl der eingehenden Warnungen zu dokumentieren, können Analysten problemlos einen Bericht aus LogPoint abrufen, der ebenfalls die ATT&CK-IDs enthält. Das Rahmenwerk entwickelt sich immer mehr zu einem Industriestandard, was es einfacher macht, die Sicherheitsabdeckung und Risiken abzubilden, da Warnungen und Abwehrmaßnahmen auf derselben ATT&CK-Taxonomie basieren.
Wer ist MITRE?
Nachdem Sie alle Vorteile des ATT&CK-Rahmens gelesen haben, möchten Sie vielleicht, mehr über die Menschen dahinter zu erfahren. Die 1958 gegründete MITRE Corporation ist eine US-amerikanische Non-Profit-Organisation mit Sitz in Bedford, Massachusetts, und McLean, Va., die von der US-Regierung finanziert wird. Das Unternehmen betreibt staatlich finanzierte Forschungs- und Entwicklungszentren, die die Regierung der Vereinigten Staaten mit wissenschaftlicher Forschung und Analyse unterstützen.
Kürzlich veröffentlichte MITRE ein weiteres Tool namens Shield, das einen Handlungsrahmen für Abwehrmaßnahmen darstellt, um Organisationen bei der Abwehr gegenwärtiger Angriffe zu unterstützen. Mit den Handlungsrahmen ATT&CK und Shield haben Unternehmen eine umfassende Möglichkeit, gegnerisches Verhalten zu erkennen und Abwehrmaßnahmen zu implementieren, um ihr Unternehmen zu schützen.
