Blog

Cybersicherheit mit MITRE ATT&CK

/ Kategorie: Detect & Response

Cybersecurity Verantwortliche, die verstehen, wie ein Angriff funktioniert, wie die Cyberkriminellen arbeiten und denken und was diese genau tun, um ihre Ziele zu erreichen, sind klar im Vorteil bei der Verteidigung ihrer Unternehmensnetze und -daten. Wertvolle Unterstützung dabei gibt das MITRE ATT&CK Framework.

Die Bedrohungen für Unternehmen nehmen zu und werden immer komplexer. Um sich vor diesen Gefahren zu schützen, müssen Unternehmen ihre Sicherheitsmassnahmen erweitern und verbessern. Eine Möglichkeit, dies zu tun, ist die Nutzung des MITRE ATT&CK-Frameworks.

MITRE ATT&CK ist eine Informationsquelle über Taktiken und Techniken von Angreifern, die auf realen Vorfällen beruht. Entwickelt wurde MITRE ATT&CK von der MITRE Corporation, einer gemeinnützigen Organisation, die zur Unterstützung von Regierungsbehörden in den USA gegründet worden war. Im Jahr 2013 begann die MITRE Corporation mit der Entwicklung von MITRE ATT&CK.

  • MITRE steht für: MIT Research Establishment
  • ATT&CK steht für:" Adversarial Tactics, Techniques, and Common Knowledge

Das Framework wurde erstmals im Mai 2015 der Öffentlichkeit vorgestellt, seitdem aber mehrfach an die aktuelle Bedrohungslage angepasst und erweitert.

IT-Sicherheit verstärken

Das Ziel von MITRE ATT&CK ist es, Unternehmen und Organisationen bei der Verbesserung ihrer IT-Sicherheit zu unterstützen. Das Framework hilft den Security-Verantwortlichen dabei, ihre Sicherheitsvorkehrungen besser zu verstehen und zu planen. Es bietet eine strukturierte Methode, um die Bedrohungen, die auf eine Organisation zukommen können, besser einschätzen und entsprechende Gegenmassnahmen ergreifen zu können. Durch die Nutzung dieses Frameworks können Organisationen ihre Sicherheitsvorkehrungen effektiver gestalten und sich besser gegen Angriffe schützen. Denn alle Verteidigungsaktivitäten, die sich auf Angreifer und deren Verhalten beziehen, können von der Anwendung der ATT&CK Taxonomie profitieren. ATT&CK bietet nicht nur ein gemeinsames Lexikon für Cyber-Verteidiger, sondern bildet auch eine Grundlage für Penetrationstests und Red Teaming. Penetrationstester und Red Teamer können das Framework nutzen, um realistische Szenarien für ihre Tests zu entwickeln.

Mit „Echtheitszertifikat“

Das MITRE ATT&CK-Framework unterscheidet sich von anderen Angriffsvektoren-Modellen dadurch, dass es auf beobachtetem Verhalten basiert. Dies bedeutet, dass alle in dem Framework beschriebenen Angriffe tatsächlich von Cyberkriminellen verwendet wurden. Durch die Dokumentation dieser Angriffe können Unternehmen erkennen, welche Sicherheitslücken in ihren Systemen bestehen und wie sie diese schliessen können.

Techniken und Taktiken

MITRE ATT&CK unterscheidet zwischen technischen und taktischen Verfahren. Techniken sind dabei die einzelnen Schritte, die ein Angreifer unternimmt, um an sein Ziel zu gelangen. Taktiken sind dagegen die verschiedenen Herangehensweisen, die ein Angreifer verwendet, um seine Ziele zu erreichen. Insgesamt umfasst das MITRE ATT&CK-Framework mehr als 200 Angriffstechniken. Diese werden laufend aktualisiert und erweitert, um den neuesten Bedrohungslandschaften Rechnung zu tragen. Da das Framework auf beobachtetem Verhalten basiert, ist es eine sehr nützliche Ressource für Unternehmen, die ihre Sicherheit stärken und verbessern möchten.

Vier Matrizen

MITRE ATT&CK bietet mittlerweile vier Implementierungen bzw. Matrizen:

  1. ATT&CK für Unternehmen: ATT&CK für Unternehmen ist ein Rahmenwerk zur Beschreibung der Aktionen, die ein Angreifer durchführen kann, um ein Unternehmensnetzwerk zu kompromittieren und darin zu operieren. Das Modell kann verwendet werden, um das Verhalten von Angreifern nach der Kompromittierung besser zu charakterisieren und zu beschreiben. Es erweitert das Wissen von Netzwerkverteidigern und hilft bei der Priorisierung der Netzwerkverteidigung, indem es die Taktiken, Techniken und Verfahren (TTPs) detailliert beschreibt, die Cyber-Angreifer verwenden, um Zugang zu erhalten und ihre Ziele zu erreichen, während sie in einem Netzwerk operieren.
     
  2. PRE-ATT&CK: Die Aktivitäten des Angreifers im Vorfeld eines Angriffs werden grösstenteils ausserhalb des Sichtfelds des Unternehmens ausgeführt und sind daher schwerer zu erkennen. Cyber-Angreifer zielen mit Hilfe von im Internet verfügbaren Informationen auf ihre Opfer ab und nutzen die Beziehungen eines Unternehmens zu Dritten, um sich Zugang zur Infrastruktur zu verschaffen. PRE-ATT&CK ermöglicht es Verteidigern, ihre Möglichkeiten zur Überwachung und zum Verständnis der gegnerischen Aktionen ausserhalb der Grenzen ihres Unternehmens zu erweitern.
     
  3. Mobile ATT&CK: ATT&CK for Mobile baut auf dem Mobile Threat Catalogue des NIST auf und stellt ein Modell der gegnerischen Taktiken und Techniken bereit, die verwendet werden, um Zugang zu mobilen Geräten zu erhalten, sowie Taktiken und Techniken, um diesen Zugang weiter auszunutzen, um die Ziele des Gegners zu erreichen. ATT&CK for Mobile stellt auch netzwerkbasierte Effekte dar, d. h. Angriffstaktiken und -techniken, die ein Angreifer ohne Zugriff auf das mobile Gerät selbst einsetzen kann. Jede Angreifertechnik enthält eine technische Beschreibung zusammen mit anwendbaren Abmilderungs-/Gegenmassnahmenansätzen, anwendbaren Erkennungsanalysen und Anwendungsbeispielen.
     
  4. Schliesslich veröffentlichte MITRE im März 2020 die ATT&CK-Matrizen für industrielle Kontrollsysteme (ICS), die eine kuratierte Wissensdatenbank für das Verhalten von Cyber-Angreifern im ICS-Technologiebereich darstellen. Sie spiegelt die verschiedenen Phasen des Angriffslebenszyklus eines Angreifers sowie die Anlagen und Systeme wider, auf die er bekanntermassen abzielt. ATT&CK für ICS ist das Ergebnis interner MITRE-Forschungsarbeiten, die sich auf die Anwendung der ATT&CK-Methodik auf den ICS-Technologiebereich konzentrierten.

Wie können Sie von MITRE ATT&CK profitieren?

Organisationen können auf verschiedene Weise von der Verwendung des MITRE ATT&CK-Frameworks profitieren. ATT&CK kann zur Erstellung von Emulationsszenarien für Angreifer verwendet werden, um die vorhandenen Cybersicherheitskontrollen gegen gängige Angreifertechniken zu testen und zu verifizieren. Kampagnen, die auf ATT&CK basieren, können die Verfolgung von Angriffen, die Entschlüsselung von Mustern und die Bewertung der Wirksamkeit bereits vorhandener Verteidigungsinstrumente erleichtern.

ATT&CK kann auch dazu verwendet werden, Verhaltensanalysen zu erstellen und zu testen, um das feindliche Verhalten von Insidern zu erkennen und die Tools, die Überwachung und die Abschwächung bestehender Verteidigungsmassnahmen innerhalb eines Unternehmens zu bewerten. Das Framework kann als eine Messgrösse verwendet werden, um festzustellen, wie effektiv ein SOC bei der Erkennung, Analyse und Reaktion auf Eindringlinge ist. Schliesslich ist ATT&CK nützlich, um die Profile von Angreifergruppen aus einer Verhaltensperspektive zu verstehen und zu dokumentieren, die unabhängig von den Tools sind, die die Gruppen verwenden.

MITRE ATT&CK ist zwar kein Allheilmittel, aber es hilft Sicherheitsfachleuten, gezielter vorzugehen und angemessene Gegenmassnahmen zu definieren, zu ergreifen und so den Schutz für das Unternehmen zu verstärken.

Zusammen. Sicher.

Wie können Sie in Ihrem Unternehmen von MITRE ATT&CK profitieren? Unsere erfahrenen Cybersecurity Experten informieren Sie gerne im Detail über die Möglichkeiten und Vorteile. Nehmen Sie die Cyberrisiken ernst, denn es kann jedes Unternehmen treffen. Kontaktieren Sie uns.

 

» Link zu MITRE ATT&CK

 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.