25.08.2022 / Kategorie: Detect & Response
Cybersecurity Verantwortliche, die verstehen, wie ein Angriff funktioniert, wie die Cyberkriminellen arbeiten und denken und was diese genau tun, um ihre Ziele zu erreichen, sind klar im Vorteil bei der Verteidigung ihrer Unternehmensnetze und -daten. Wertvolle Unterstützung dabei gibt das MITRE ATT&CK Framework.
Die Bedrohungen für Unternehmen nehmen zu und werden immer komplexer. Um sich vor diesen Gefahren zu schützen, müssen Unternehmen ihre Sicherheitsmassnahmen erweitern und verbessern. Eine Möglichkeit, dies zu tun, ist die Nutzung des MITRE ATT&CK-Frameworks.
MITRE ATT&CK ist eine Informationsquelle über Taktiken und Techniken von Angreifern, die auf realen Vorfällen beruht. Entwickelt wurde MITRE ATT&CK von der MITRE Corporation, einer gemeinnützigen Organisation, die zur Unterstützung von Regierungsbehörden in den USA gegründet worden war. Im Jahr 2013 begann die MITRE Corporation mit der Entwicklung von MITRE ATT&CK.
Das Framework wurde erstmals im Mai 2015 der Öffentlichkeit vorgestellt, seitdem aber mehrfach an die aktuelle Bedrohungslage angepasst und erweitert.
Das Ziel von MITRE ATT&CK ist es, Unternehmen und Organisationen bei der Verbesserung ihrer IT-Sicherheit zu unterstützen. Das Framework hilft den Security-Verantwortlichen dabei, ihre Sicherheitsvorkehrungen besser zu verstehen und zu planen. Es bietet eine strukturierte Methode, um die Bedrohungen, die auf eine Organisation zukommen können, besser einschätzen und entsprechende Gegenmassnahmen ergreifen zu können. Durch die Nutzung dieses Frameworks können Organisationen ihre Sicherheitsvorkehrungen effektiver gestalten und sich besser gegen Angriffe schützen. Denn alle Verteidigungsaktivitäten, die sich auf Angreifer und deren Verhalten beziehen, können von der Anwendung der ATT&CK Taxonomie profitieren. ATT&CK bietet nicht nur ein gemeinsames Lexikon für Cyber-Verteidiger, sondern bildet auch eine Grundlage für Penetrationstests und Red Teaming. Penetrationstester und Red Teamer können das Framework nutzen, um realistische Szenarien für ihre Tests zu entwickeln.
Das MITRE ATT&CK-Framework unterscheidet sich von anderen Angriffsvektoren-Modellen dadurch, dass es auf beobachtetem Verhalten basiert. Dies bedeutet, dass alle in dem Framework beschriebenen Angriffe tatsächlich von Cyberkriminellen verwendet wurden. Durch die Dokumentation dieser Angriffe können Unternehmen erkennen, welche Sicherheitslücken in ihren Systemen bestehen und wie sie diese schliessen können.
MITRE ATT&CK unterscheidet zwischen technischen und taktischen Verfahren. Techniken sind dabei die einzelnen Schritte, die ein Angreifer unternimmt, um an sein Ziel zu gelangen. Taktiken sind dagegen die verschiedenen Herangehensweisen, die ein Angreifer verwendet, um seine Ziele zu erreichen. Insgesamt umfasst das MITRE ATT&CK-Framework mehr als 200 Angriffstechniken. Diese werden laufend aktualisiert und erweitert, um den neuesten Bedrohungslandschaften Rechnung zu tragen. Da das Framework auf beobachtetem Verhalten basiert, ist es eine sehr nützliche Ressource für Unternehmen, die ihre Sicherheit stärken und verbessern möchten.
MITRE ATT&CK bietet mittlerweile vier Implementierungen bzw. Matrizen:
Organisationen können auf verschiedene Weise von der Verwendung des MITRE ATT&CK-Frameworks profitieren. ATT&CK kann zur Erstellung von Emulationsszenarien für Angreifer verwendet werden, um die vorhandenen Cybersicherheitskontrollen gegen gängige Angreifertechniken zu testen und zu verifizieren. Kampagnen, die auf ATT&CK basieren, können die Verfolgung von Angriffen, die Entschlüsselung von Mustern und die Bewertung der Wirksamkeit bereits vorhandener Verteidigungsinstrumente erleichtern.
ATT&CK kann auch dazu verwendet werden, Verhaltensanalysen zu erstellen und zu testen, um das feindliche Verhalten von Insidern zu erkennen und die Tools, die Überwachung und die Abschwächung bestehender Verteidigungsmassnahmen innerhalb eines Unternehmens zu bewerten. Das Framework kann als eine Messgrösse verwendet werden, um festzustellen, wie effektiv ein SOC bei der Erkennung, Analyse und Reaktion auf Eindringlinge ist. Schliesslich ist ATT&CK nützlich, um die Profile von Angreifergruppen aus einer Verhaltensperspektive zu verstehen und zu dokumentieren, die unabhängig von den Tools sind, die die Gruppen verwenden.
MITRE ATT&CK ist zwar kein Allheilmittel, aber es hilft Sicherheitsfachleuten, gezielter vorzugehen und angemessene Gegenmassnahmen zu definieren, zu ergreifen und so den Schutz für das Unternehmen zu verstärken.
Wie können Sie in Ihrem Unternehmen von MITRE ATT&CK profitieren? Unsere erfahrenen Cybersecurity Experten informieren Sie gerne im Detail über die Möglichkeiten und Vorteile. Nehmen Sie die Cyberrisiken ernst, denn es kann jedes Unternehmen treffen. Kontaktieren Sie uns.
» Link zu MITRE ATT&CK
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications