Cyber Kill Chain vs. Mitre ATT&CK ^®: 4 wichtige Unterschiede und Synergien

Was ist das Cyber Kill Chain Framework?

Das Cyber Kill Chain Framework ist ein Modell zum Verständnis und zur Beschreibung, wie Cyber-Angreifer vorgehen. Sie wurde von Lockheed Martin entwickelt und basiert auf einem militärischen Konzept, das als "Kill Chain" bekannt ist und die Struktur eines Angriffs von der ersten Aufklärung bis zum endgültigen Ziel beschreibt – sei es die Exfiltration, die Verweigerung der Verfügbarkeit, die reine Zerstörung oder eine Kombination aus beidem.

Das Cyber Kill Chain Framework unterteilt einen Cyberangriff in sieben Phasen:

1. Aufklärung
2. Bewaffnung
3. Lieferung
4. Ausbeutung
5. Installation
6. Führung und Kontrolle (C2)
7. Maßnahmen zur Zielerreichung

Das Framework bietet einen systematischen Ansatz zum Verständnis des Lebenszyklus eines Cyberangriffs. Durch die Abbildung der Phasen wird es einfacher, Bedrohungen in jeder Phase zu identifizieren und zu mindern. Jede Phase bietet Verteidigern die Möglichkeit, einen Angriff zu erkennen, zu verhindern oder zu unterbrechen.

Das Cyber Kill Chain Framework ist zwar ein leistungsstarkes Tool, weist jedoch auch Einschränkungen auf. Sein lineares, sequenzielles Modell spiegelt die komplexe, iterative und oft parallele Natur von Cyberangriffen möglicherweise nicht genau wider. Darüber hinaus konzentriert es sich tendenziell auf externe Bedrohungen und übersieht dabei oft Insider-Bedrohungen und Aktivitäten nach einem Angriff, die äußerst wichtige Bedrohungsarten darstellen.

Empfohlene Lektüre:UEBA (User and Entity Behavior Analytics): Vollständiger Leitfaden.

Was ist das MITRE ATT&CK Framework?

Das MITRE ATT&CK Framework ist eine Wissensdatenbank und ein Modell zum Verständnis des Verhaltens von Angreifern. Es wurde von der gemeinnützigen MITRE Corporation entwickelt und ursprünglich zur Unterstützung des US-Militärs konzipiert. Es deckt das gesamte Spektrum der von Angreifern eingesetzten Taktiken, Techniken und Verfahren ab – von der Aufklärung und dem ersten Zugriff bis hin zum Angriff.

Das ATT&CK-Framework geht über die bloße Abbildung der einzelnen Phasen eines Angriffs hinaus. Es bietet eine detaillierte Beschreibung der von den Angreifern in jeder Phase verwendeten Techniken sowie Strategien zur Schadensbegrenzung und Erkennungsmethoden. Es wird regelmäßig aktualisiert und erweitert und berücksichtigt dabei die neuesten Bedrohungsinformationen und Forschungsergebnisse.

Das ATT&CK-Framework ist äußerst detailliert und umfassend und bietet ein umfassendes Verständnis von Cyberbedrohungen. Es wird von globalen Sicherheitsteams häufig genutzt, um ihre Abwehrmaßnahmen zu verbessern, Fähigkeiten zur Bedrohungssuche zu entwickeln und ihre Reaktion auf Vorfälle zu optimieren.

Cyber Kill Chain vs. ATT&CK: Hauptunterschiede

Obwohl beide Frameworks wertvolle Einblicke in Cyberbedrohungen und -angriffe bieten, unterscheiden sie sich in mehreren wichtigen Bereichen.

1. Fokus und Perspektive

Die Cyber Kill Chain konzentriert sich auf die einzelnen Phasen eines Angriffs aus der Sicht des Angreifers. Sie bietet eine Übersicht, die es Verteidigern ermöglicht, den Prozess des Angreifers zu verstehen und die Kette in jeder Phase zu unterbrechen.

Das ATT&CK-Framework hingegen konzentriert sich auf die von Angreifern verwendeten Techniken. Es bietet einen detaillierteren Überblick und ermöglicht es Verteidigern, die spezifischen Taktiken und Vorgehensweisen der Angreifer zu verstehen. Dieser Unterschied in Fokus und Perspektive bedeutet, dass sich die beiden Frameworks gegenseitig ergänzen und ein umfassendes Verständnis von Cyber-Bedrohungen ermöglichen.

2. Tiefe und Breite

Die Cyber Kill Chain bietet zwar eine hilfreiche Aufschlüsselung der einzelnen Phasen eines Angriffs, verfügt jedoch nicht über die Tiefe und Breite des ATT&CK-Frameworks. Das ATT&CK-Framework bietet eine detaillierte Beschreibung aller von Angreifern verwendeten Techniken sowie Strategien zur Schadensbegrenzung und Erkennungsmethoden. Dies macht das ATT&CK-Framework zu einem wertvollen Werkzeug zur Verbesserung der Abwehr und Entwicklung von Fähigkeiten zur Bedrohungssuche.

3. Anwendung und Anwendungsfälle

Die Cyber Kill Chain wird häufig in den frühen Phasen der Bedrohungserkennung und -prävention eingesetzt. Sie kann dabei helfen, potenzielle Bedrohungen zu identifizieren und zu unterbinden, bevor sie Schaden anrichten können.

Das ATT&CK-Framework wird über den gesamten Lebenszyklus der Cybersicherheit hinweg verwendet, von der Aufklärung und Bedrohungserkennung und -prävention bis hin zur Reaktion auf Vorfälle und der Bedrohungssuche.

4. Community-Engagement und Updates

Die von Lockheed Martin entwickelte Cyber Kill Chain wird nicht so regelmäßig aktualisiert oder erweitert wie das ATT&CK-Framework. Es gibt keinen Community-gesteuerten Prozess für Aktualisierungen und Verbesserungen.

Das ATT&CK-Framework hingegen wird von der MITRE Corporation regelmäßig aktualisiert und erweitert, wobei auch die Cybersicherheits-Community mit einbezogen wird. Dieses Engagement der Community stellt sicher, dass das Framework aktuell und relevant bleibt und die neuesten Bedrohungsinformationen und Forschungsergebnisse widerspiegelt.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, die Cyber Kill Chain und MITRE ATT&CK-Frameworks besser zu nutzen:

Verbessern Sie die Übungen des roten und blauen Teams
Nutzen Sie die Cyber Kill Chain, um Red-Team-Szenarien zu strukturieren und Ihr Blue Team bei der Erkennung und Reaktion auf die in ATT&CK aufgeführten Techniken zu unterstützen. Dieser Dual-Framework-Ansatz simuliert realistische Angriffe und verbessert die Erkennungsfähigkeiten

Kombinieren Sie Kill Chain und ATT&CK für vollständige Angriffstransparenz
Nutzen Sie die Cyber Kill Chain um die einzelnen Phasen eines Angriffs zu verstehen, und wenden Sie anschließend das ATT&CK-Framework an, um die spezifischen Techniken und Taktiken der einzelnen Phasen zu verstehen. Diese Kombination bietet einen detaillierten Einblick in die Vorgehensweise der Angreifer.

Verwenden Sie ATT&CK für die Analyse nach einem Angriff
Während die Kill Chain die Phasen vor dem Angriff und der ersten Infiltration betont, können Sie mit ATT&CK das Verhalten des Gegners nach dem ersten Zugriff verfolgen, beispielsweise laterale Bewegung, Persistenz und Datenexfiltration.

Automatisieren Sie die Erkennung über beide Frameworks hinweg
Automatisieren Sie die Erkennung von Bedrohungen, indem Sie Ihre SIEM- oder XDR-Systeme sowohl auf die Kill Chain als auch auf ATT&CK abstimmen. So erkennen Sie beispielsweise Bedrohungen im Frühstadium wie Aufklärung mithilfe der Kill Chain, während tiefere Phasen wie Command & Control auf ATT&CK-Techniken abgebildet werden können.

Priorisieren Sie Verteidigungsinvestitionen basierend auf ATT&CK-Techniken
Analysieren Sie, welche ATT&CK-Techniken häufig gegen den Sektor Ihres Unternehmens eingesetzt werden, und priorisieren Sie die Abwehrmaßnahmen entsprechend dieser Techniken. Dies gewährleistet gezielte und effektive Abwehrstrategien gegen reale Bedrohungen.

Synergien zwischen der Cyber Kill Chain und dem ATT&CK-Framework

Sowohl die Cyber Kill Chain als auch das MITRE ATT&CK Framework tragen zum Verständnis und Umgang mit Cyberbedrohungen bei, bieten aber einzigartige Perspektiven. Die Kombination dieser beiden Frameworks liefert ein umfassendes Bild der Bedrohungslandschaft. Die Cyber Kill Chain kann genau bestimmen, an welcher Stelle des Angriffsprozesses eine Bedrohung identifiziert wird, während ATT&CK Aufschluss über die in jeder Phase eingesetzten spezifischen Taktiken und Techniken gibt.

Hier sind einige Möglichkeiten, wie Unternehmen von der Synergie zwischen Cyber Kill Chain und ATT&CK profitieren können.

Bestimmen Sie die wichtigsten Anwendungsfälle

Um die beiden Frameworks effektiv zu kombinieren, müssen Sie verstehen, wie Sie sie in Ihrem individuellen Geschäftskontext einsetzen. Sie benötigen ein solides Verständnis Ihrer Geschäftsabläufe, einschließlich der technologischen Infrastruktur, der Datenbestände, kritischer Geschäftsprozesse und potenzieller Schwachstellen. Auf dieser Grundlage können Sie die Schlüsselbereiche identifizieren, in denen diese Frameworks einen Mehrwert bieten.

Wenn Ihr Unternehmen beispielsweise stark auf Cloud-basierte Datenspeicherung angewiesen ist, könnte der Anwendungsfall für den Einsatz dieser Frameworks darin bestehen, potenzielle Cloud-basierte Angriffsvektoren zu identifizieren und entsprechende Abwehrmaßnahmen zu entwickeln. Ähnlich verhält es sich mit sensiblen Kundendaten. Hier könnte der Anwendungsfall darin bestehen, potenzielle Szenarien für Datenschutzverletzungen zu verstehen und zu entschärfen.

Für jeden Anwendungsfall kann Cyber Kill Chain Ihnen dabei helfen, ein „klassisches“ Angriffsmuster zu modellieren, während ATT&CK bei der Vorbereitung auf bestimmte, relevante Bedrohungsvektoren helfen kann.

Ordnen Sie Protokollquellen den Geschäftsrisiken zu

Nachdem Sie die wichtigsten Anwendungsfälle identifiziert haben, besteht der nächste Schritt darin, Ihre Protokollquellen den Geschäftsrisiken zuzuordnen. Dazu müssen Sie die Datenquellen identifizieren, die Einblicke in potenzielle Bedrohungen liefern, und diese den Bereichen mit dem höchsten Geschäftsrisiko zuordnen.

Zu den Protokollquellen können Netzwerkprotokolle, Systemprotokolle, Anwendungsprotokolle und Sicherheitsprotokolle gehören. Diese Protokolle können wertvolle Einblicke in verdächtige Aktivitäten, potenzielle Schwachstellen und laufende Angriffe liefern.

Überprüfen Sie die Abdeckung in Schlüsselbereichen

Nachdem Sie die Protokollquellen den Geschäftsrisiken gegenübergestellt haben, ist es an der Zeit, die Abdeckung der Cyber Kill Chain und ATT&CK-Frameworks für Ihre wichtigsten Geschäftsrisiken zu überprüfen. Dabei geht es darum, zu bewerten, wie gut diese Frameworks dazu beitragen können, die identifizierten potenziellen Bedrohungen zu identifizieren, zu verhindern und zu mindern.

Der Überprüfungsprozess sollte die Vollständigkeit der Abdeckung, die Tiefe der bereitgestellten Erkenntnisse und die Anwendbarkeit jedes Frameworks auf den spezifischen Geschäftskontext berücksichtigen. Wichtig ist auch, die einfache Implementierung und die potenziellen Auswirkungen auf den Geschäftsbetrieb zu berücksichtigen. Basierend auf dieser Analyse können Sie entscheiden, welches Framework für welches Geschäftsrisiko verwendet werden soll, und auch Lücken identifizieren, bei denen keines der Frameworks ein geeignetes Bedrohungsmodell bietet.

Berichten Sie nach oben über Ihre Ergebnisse

Nachdem Sie die Cyber Kill Chain und ATT&CK-Frameworks implementiert und deren Abdeckung bewertet haben, ist es wichtig, über Ihre Ergebnisse zu berichten. Dazu gehört auch, die Ergebnisse Ihrer Bemühungen an das höhere Management und die Stakeholder zu kommunizieren.

Der Bericht sollte die wichtigsten Ergebnisse, die ergriffenen Maßnahmen und die Auswirkungen auf das Geschäftsrisiko hervorheben. Er sollte außerdem Empfehlungen für zukünftige Maßnahmen auf Grundlage der gewonnenen Erkenntnisse enthalten.

Ziel dieses Berichts ist es nicht nur, das Management über den Stand der Cyberabwehr zu informieren, sondern auch dessen Zustimmung für zukünftige Initiativen zu sichern. Dies kann dazu beitragen, dass ausreichende Ressourcen für die Implementierung und angemessene Nutzung von Bedrohungsrahmen bereitgestellt werden.

Exabeam unterstützt das ATT&CK-Framework

Die Exabeam Security Operations Platform–Exabeam Fusion, Exabeam Sicherheitsuntersuchung, Exabeam Security Analytics, Exabeam SIEM und Exabeam Security Log Management– ordnen Angriffe, Warnungen und zentrale Anwendungsfälle dem ATT&CK-Framework zu.

Organisationen können ihre benutzerdefinierten Korrelationsregeln schreiben, testen, veröffentlichen und überwachen, um sich auf die kritischsten Geschäftseinheiten und -ressourcen zu konzentrieren. Dazu gehört auch die Definition einer höheren Kritikalität oder die spezifische Einbeziehung von Bedingungen aus Threat Intelligence Service sowie die Zuweisung spezifischer ATT&CK-Taktiken, -Techniken und -Verfahren (TTPs).

Die in jedem Produkt enthaltene Exabeam Security Operations Platform verwendet das ATT&CK-Framework als kritische Linse, um die Sichtbarkeit Ihrer Sicherheitslage zu verbessern.