MITRE ATT&CK Cloud Matrix: Anwendungsfälle, Taktiken und Untermatrizen

Was ist die MITRE ATT&CK Cloud Matrix?

Die MITRE ATT&CK Cloud Matrix ist eine Wissensdatenbank zur Planung, Diskussion und Verbesserung der Cloud-Sicherheit. Sie bietet ein umfassendes Verständnis der Taktiken, Techniken und Vorgehensweisen von Angreifern in Cloud-Umgebungen. Das Framework soll Unternehmen dabei unterstützen, Sicherheitsrisiken ihrer Cloud-Architektur, einschließlich öffentlicher, privater und hybrider Konfigurationen, zu identifizieren und zu minimieren.

Ursprünglich als Erweiterung des allgemeinen MITRE ATT&CK-Framework konzipiert, das sich auf Unternehmensnetzwerke konzentriert, spezifiziert die Cloud Matrix Taktiken und Techniken, die auf verschiedene Cloud-Plattformen wie AWS, Azure und Google Cloud abgebildet werden können. Dies bietet Sicherheitsteams gezielte Einblicke in ihre Betriebsumgebungen und fördert so eine sicherere Bereitstellung von Cloud-Ressourcen.

Das folgende Bild zeigt die in der MITRE ATT&CK Cloud Matrix enthaltenen gegnerischen Taktiken und Techniken.

Empfohlene Lektüre:UEBA (User and Entity Behavior Analytics): Vollständiger Leitfaden.

Anwendungsfälle und Vorteile MITRE ATT&CK Cloud Matrix

Bedrohungsbewusstsein

MITRE ATT&CK für die Cloud verbessert das Bedrohungsbewusstsein durch die systematische Katalogisierung möglicher Angriffsvektoren gegen Cloud-Dienste. Dieser organisierte Ansatz ermöglicht es Sicherheitspersonal, potenzielle Bedrohungen zu antizipieren und laufende Angriffe effektiver zu erkennen. Durch das Verständnis des typischen Verhaltens von Angreifern können Teams ihre Überwachungssysteme optimieren, um kritische Anzeichen einer Kompromittierung zu erkennen.

Risikomanagement

Durch die Nutzung der Cloud-Forschung von MITRE ATT&CK können Unternehmen ihre Risikomanagementstrategien verbessern. Sie bietet eine strukturierte Methode zur Bewertung der Sicherheitslage von Cloud-Umgebungen im Hinblick auf bekannte Angriffsszenarien. Diese Bewertung hilft, Schwachstellen und die erforderlichen Maßnahmen zu deren Beseitigung zu identifizieren und so die potenziellen Auswirkungen von Sicherheitsverletzungen zu reduzieren.

Werkzeugauswahl

Die Auswahl maßgeschneiderter Cloud-Sicherheitstools für die spezifischen Anforderungen eines Unternehmens wird mit MITRE ATT&CK vereinfacht. Die detaillierte Analyse von Angriffstechniken durch das Framework ermöglicht es Stakeholdern, die Fähigkeiten verschiedener Sicherheitslösungen mit diesen Techniken abzugleichen. Dieser zielgerichtete Ansatz stellt sicher, dass die ausgewählten Tools in den spezifischen Cloud-Umgebungen und Anwendungsfällen des Unternehmens effektiv sind.

Forschung und Zusammenarbeit

Die Cloud Matrix von MITRE ATT&CK fördert die Forschung und Zusammenarbeit innerhalb der Cybersicherheits-Community. Sicherheitsforscher nutzen das Framework als Grundlage für die Untersuchung neuer Cloud-spezifischer Bedrohungen und geben ihre Erkenntnisse zurück, um die Wissensbasis zu erweitern. Dieser kontinuierliche Zyklus aus Forschung und Feedback trägt dazu bei, das Framework dynamisch und zunehmend effektiver zu gestalten.

Schlüsselkomponenten der Cloud-Matrix

Taktik

In der MITRE ATT&CK Cloud Matrix stellen Taktiken das „Warum“ eines Angriffs dar – die strategischen Ziele, die ein Angreifer erreichen möchte. Diese sind in Phasen wie Erstzugriff, Ausführung, Persistenz usw. unterteilt und bieten so eine strukturierte Zeitleiste des Angriffszyklus. Das Verständnis dieser Taktiken hilft Verteidigern, die strategischen Ziele der Angreifer zu antizipieren und so proaktivere Sicherheitsmaßnahmen zu ergreifen.

Jede Taktik innerhalb des Frameworks beschreibt verschiedene Techniken, die detailliert beschreiben, wie diese Ziele erreicht werden. Durch die Zerlegung von Angriffen in verständliche Segmente können Unternehmen ihre Abwehrstrategien effektiv anpassen, um bestimmte Aspekte einer Angriffssequenz zu blockieren oder abzuschwächen.

Techniken

Die Techniken in der MITRE ATT&CK Cloud Matrix bieten einen detaillierten Überblick über die tatsächlichen Methoden, mit denen Angreifer ihre taktischen Ziele erreichen. Jede Technik liefert detaillierte Informationen, darunter Indikatoren für Kompromittierungen, Maßnahmen zur Schadensbegrenzung und Tipps zur Erkennung. Diese Tiefe ermöglicht ein technisches Verständnis und die Reaktion auf Bedrohungen im Cloud-Bereich.

Die Spezifität der Techniken im Framework ermöglicht gezielte Abwehrmaßnahmen, die auf die individuellen Konfigurationen und Herausforderungen von Cloud-Umgebungen zugeschnitten sind. Diese Erkenntnisse sind entscheidend für die Entwicklung effektiver Barrieremechanismen und Erkennungsstrategien und reduzieren die Wirksamkeit von Angriffsversuchen deutlich.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, die MITRE ATT&CK Cloud Matrix besser zu nutzen:

Integrieren Sie die Anomalieerkennung für Cloud-spezifisches Verhalten
Cloud-Umgebungen weisen spezifische Nutzungsmuster auf. Implementieren Sie Tools zur Anomalieerkennung, um ungewöhnliche Aktivitäten wie nicht autorisierte Kontoanmeldungen, abnormale Datenübertragungen oder Änderungen in Cloud-Konfigurationen zu überwachen, die auf einen Verstoß hinweisen könnten.

Passen Sie die Abwehrmaßnahmen an bestimmte Cloud-Plattformen an
Nutzen Sie die Cloud-Submatrizen (AWS, Azure AD, Google Workspace, Office 365), um Ihre Sicherheitsstrategie an die von Ihrem Unternehmen genutzten Cloud-Dienste anzupassen. Jede Plattform verfügt über einzigartige Angriffsvektoren. Daher sollten die Abwehrmaßnahmen auf diese plattformspezifischen Bedrohungen zugeschnitten sein.

Priorisieren Sie Sicherheitskontrollen für den Erstzugriff
Konzentrieren Sie Ihre Abwehrmaßnahmen auf Taktiken wie Erstzugriff und Zugangsdatenzugriff. Cloud-Umgebungen sind häufig anfällig für identitätsbasierte Angriffe wie Phishing oder falsch konfigurierte Zugriffskontrollen. Implementieren Sie Multi-Faktor-Authentifizierung (MFA) und effektive Identitätsmanagement-Praktiken, um diese kritischen Bereiche zu schützen.

Sicherheitslücken mit der Cloud Matrix abbilden
Führen Sie eine Lückenanalyse durch, indem Sie Ihre aktuellen Cloud-Sicherheitsmaßnahmen den MITRE ATT&CK Cloud Matrix-Techniken zuordnen. So identifizieren Sie mögliche Schwachstellen und können gezielter auf die Verbesserung Ihrer Abwehrmaßnahmen reagieren.

Verwenden Sie die Cloud Matrix für Red Teaming
Nutzen Sie die Cloud Matrix, um Angriffe mit realen Angriffstechniken in Ihren Red-Team-Übungen zu simulieren. So stellen Sie sicher, dass Ihre Tests mit den neuesten bekannten TTPs für Cloud-Umgebungen übereinstimmen und ermöglichen Ihnen eine genauere Einschätzung Ihrer Abwehrmaßnahmen.

In MITRE ATT&CK Cloud enthaltene Untermatrizen

MITRE bietet mehrere Untermatrizen, die spezifische Informationen für verschiedene Cloud-Plattformen bereitstellen. Diese Untermatrizen verwenden einige Techniken gemeinsam mit der übergeordneten Cloud-Matrix und verfügen über einige spezifische Techniken, die nur für eine bestimmte Cloud relevant sind.

Office 365

Die Office 365-Submatrix im MITRE ATT&CK Cloud-Framework beschreibt Techniken und Taktiken, die speziell auf die Microsoft Office 365-Anwendungssuite zugeschnitten sind. Diese Matrix konzentriert sich auf die besonderen Sicherheitsherausforderungen und Angriffsvektoren von Office 365, zu dem weit verbreitete Tools wie Outlook, Word, Excel und Teams gehören.

Einzigartig in dieser Submatrix sind Techniken, die die integrierte Natur von Office 365-Anwendungen ausnutzen. So könnten Angreifer beispielsweise die Berechtigungen einer Anwendung missbrauchen, um sich unbefugten Zugriff auf eine andere zu verschaffen, oder die Vernetzung von E-Mails und Kalendereinladungen für Phishing-Angriffe nutzen.

Azure AD

Die Azure AD-Untermatrix konzentriert sich auf Azure Active Directory, eine wichtige Komponente für das Identitätsmanagement in Cloud-Umgebungen, die Microsoft-Dienste verwenden.

Diese Untermatrix konzentriert sich auf identitätsbasierte Angriffsvektoren wie Tokendiebstahl, Rechteerweiterung durch falsch konfigurierte Rollen und die Ausnutzung von Synchronisierungsfunktionen zwischen lokalen Umgebungen und Azure AD. Diese Techniken beinhalten häufig Angriffe auf Multi-Faktor-Authentifizierungs-Setups oder den Missbrauch von Administratorrechten.

Google Workspace

In der Google Workspace-Untermatrix liegt der Schwerpunkt auf den spezifischen Sicherheitsbedenken der Cloud-Anwendungen von Google, darunter Gmail, Drive, Docs und Kalender. Diese Matrix befasst sich mit den Risiken von von Google verwalteten Umgebungen und beleuchtet Angriffe wie OAuth-Token-Hijacking, E-Mail-Spoofing und den Missbrauch von Berechtigungen für freigegebene Laufwerke.

SaaS

Die Software as a Service (SaaS)-Submatrix umfasst verschiedene SaaS-Plattformen und beschreibt häufige und neu auftretende Bedrohungen speziell für SaaS-Produkte. Der Schwerpunkt liegt auf Angriffen, die das Shared-Responsibility-Modell von SaaS ausnutzen, bei dem die Sicherheit sowohl vom Handeln des Anbieters als auch des Kunden abhängt. Zu den möglichen Angriffstechniken gehören das Ausnutzen von Fehlkonfigurationen, Session-Hijacking oder gezielte Phishing-Kampagnen, die sich an SaaS-Nutzer richten.

IaaS

Die Submatrix „Infrastructure as a Service“ (IaaS) befasst sich mit Bedrohungen, die speziell auf die Infrastrukturebenen von Cloud-Diensten hinweisen, die die Grundlage für Cloud-Umgebungen bilden. Dazu gehören virtuelle Maschinen, Speicherdienste und Netzwerkkomponenten in Plattformen wie AWS, Azure und Google Cloud. Der Schwerpunkt liegt auf den unteren Ebenen der Cloud-Architektur, beispielsweise der Ausnutzung von Hypervisor-Schwachstellen oder unsicheren API-Konfigurationen.

Taktiken in der MITRE ATT&CK Cloud Matrix

Hier sind die in der Cloud Matrix enthaltenen Taktiken. Jede davon umfasst mehrere spezifische Angriffstechniken, wie im Bild oben im Artikel gezeigt. Sie können alle Taktiken und Techniken auf der MITRE-Website einsehen.

Erstzugriff

Der erste Zugriff auf Cloud-Umgebungen erfolgt häufig über die Ausnutzung öffentlich zugänglicher Anwendungen oder gestohlener Anmeldeinformationen. Diese MITRE-Taktik konzentriert sich auf die Methoden, mit denen Angreifer in das System eindringen, und leitet die Abwehrmaßnahmen an, um diese Einstiegspunkte effektiv zu schützen. Das Verständnis dieser Techniken ermöglicht es Unternehmen, die Perimetersicherheit zu erhöhen und robuste Authentifizierungsmaßnahmen einzusetzen.

Um eine weitere Ausnutzung der Cloud-Ressourcen zu verhindern, ist es entscheidend, bereits in dieser Phase unbefugten Zugriff zu verhindern. Proaktive Überwachung und strenge Zugriffskontrollen können das Risiko einer ersten Kompromittierung drastisch reduzieren und so eine solide Verteidigungsbasis schaffen.

Ausführung

Ausführungstaktiken definieren, wie Angreifer Schadcode in einer Cloud-Umgebung ausführen, um ihre Ziele zu erreichen. Dies kann die Remote-Ausführung über vorhandene Software-Schwachstellen oder die Ausführung von Skripten zur Rechteausweitung umfassen. Durch die detaillierte Beschreibung von Ausführungstechniken hilft die MITRE ATT&CK Cloud Matrix Unternehmen, unbefugte Aktivitäten zu erkennen und abzufangen.

Spezielle Abwehrmaßnahmen gegen diese Taktiken stellen sicher, dass Angreifer selbst dann, wenn sie Zugriff erhalten, ihre Angriffspläne nicht umsetzen können. Dazu gehört die Sicherung von Laufzeitumgebungen und die strikte Kontrolle der Skriptausführungsrichtlinien.

Persistenz

Persistenzmechanismen in Cloud-Umgebungen ermöglichen es Angreifern, den Zugriff über längere Zeiträume aufrechtzuerhalten. Diese Taktik umfasst Methoden wie die Erstellung von Rogue-Instanzen oder die Manipulation von Authentifizierungsprozessen. Das Verständnis dieser Techniken ist entscheidend, um unbefugte Präsenzen in Cloud-Infrastrukturen zu erkennen und zu entfernen.

Zu den Gegenmaßnahmen gehört die regelmäßige Überprüfung und Prüfung von Cloud-Konfigurationen und Zugriffsprotokollen, um Anomalien zu erkennen. Eine schnelle Reaktion auf Hinweise auf Persistenzversuche kann langfristige Sicherheitsverletzungen und potenziellen Datenverlust verhindern.

Privilegieneskalation

Bei der Privilegienerweiterung verschaffen sich Angreifer unrechtmäßig höhere Zugriffsrechte, um Aktionen auszuführen, die Administratoren oder privilegierten Benutzern vorbehalten sind. In Cloud-Umgebungen nutzt dies häufig Fehlkonfigurationen oder Phishing-Taktiken aus. Die MITRE Cloud Matrix beschreibt diese Ansätze und bietet Strategien zur effektiven Abwehr solcher Szenarien.

Die Einschränkung von Benutzerrechten basierend auf Rollen und die kontinuierliche Validierung von Konfigurationen spielen eine entscheidende Rolle bei der Bekämpfung der Rechteausweitung. Indem sichergestellt wird, dass Benutzer nur über den für ihre Aufgaben erforderlichen Mindestzugriff verfügen, kann das Gesamtrisikoprofil erheblich reduziert werden.

Verteidigungsausweichung

Umgehungstechniken konzentrieren sich darauf, die Erkennung durch Sicherheitssysteme bei der Durchführung bösartiger Aktivitäten in der Cloud zu vermeiden. Dies kann das Deaktivieren von Sicherheitstools, das Ändern von Protokollen oder den Einsatz von Verschlüsselung zur Verschleierung von Aktionen beinhalten. Durch das Verständnis dieser Taktiken können Unternehmen ihre Erkennungsfähigkeiten verbessern und sicherstellen, dass Umgehungsversuche umgehend erkannt und bekämpft werden.

Die Implementierung umfassender Protokollierung und Überwachung sowie der Einsatz verhaltensbasierter Erkennungssysteme können dabei helfen, Anzeichen für Umgehungsmethoden in Cloud-Umgebungen zu erkennen.

Zugangsdatenzugriff

Taktiken zum Zugriff auf Anmeldeinformationen zielen darauf ab, Benutzernamen, Passwörter und Token zu erlangen, um unbefugten Zugriff auf Systeme und Daten zu ermöglichen. Zu den Methoden gehören Brute-Force-Angriffe, Credential Dumping und Phishing. Das MITRE-Framework bietet Anleitungen zum Schutz von Authentifizierungsmechanismen und zur sicheren Verwaltung von Anmeldeinformationen.

Der Einsatz von Multi-Faktor-Authentifizierung und regelmäßige Passwort-Audits sind wirksame Maßnahmen zur Verhinderung von Anmeldedatendiebstahl. Darüber hinaus trägt die Aufklärung der Benutzer über Phishing und andere Betrugstechniken dazu bei, die Integrität der Anmeldedaten zu wahren.

Entdeckung

Bei Entdeckungstaktiken versuchen Angreifer, die kompromittierte Umgebung zu verstehen, um effektiv zu navigieren und wertvolle Ressourcen zu identifizieren. Häufig kommen Techniken wie Netzwerkscans oder der Zugriff auf vertrauliche Konfigurationsdateien zum Einsatz. Durch die Identifizierung dieser Taktiken können Unternehmen die Informationsfreigabe begrenzen und auf ungewöhnliche Zugriffsmuster achten.

Durch die Einschränkung unnötiger Benutzerberechtigungen und die Trennung von Netzwerksegmenten kann die Menge der im Falle einer Sicherheitsverletzung zugänglichen Informationen reduziert werden. Verbesserte Warnsysteme für ungewöhnliche Zugriffsanfragen können ebenfalls zu einer schnellen Reaktion und Eindämmung beitragen.

Seitliche Bewegung

Lateral-Movement-Techniken beschreiben, wie sich Angreifer nach dem ersten Zugriff durch ein Netzwerk bewegen und versuchen, ihre Reichweite innerhalb der Cloud-Umgebung auszuweiten. Dies kann die Verwendung gestohlener Anmeldeinformationen für den Zugriff auf andere Systeme oder die Installation netzwerkbasierter Hintertüren beinhalten. Die Verhinderung dieser Bewegungen ist entscheidend, um die Ausbreitung eines Angriffs einzudämmen.

Implementierungen wie strenge Netzwerkzugriffskontrollen und regelmäßige Überprüfungen des Benutzer- und Maschinenverhaltens helfen, unbefugte Bewegungen zu verhindern. Stellen Sie sicher, dass Systeme so konfiguriert sind, dass für interne Verbindungen eine Authentifizierung und Protokollierung erforderlich ist. Dies trägt ebenfalls dazu bei, laterale Bewegungen zu verfolgen und abzufangen.

Sammlung

Die Erfassungstaktik konzentriert sich auf die Aggregation von Daten aus Zielumgebungen zur Vorbereitung der Extraktion. Dazu können Techniken wie Datenfilterung gehören, um große Datensätze zu durchforsten und wertvolle Informationen zu identifizieren. Das Verständnis der für die Erfassung verwendeten Methoden kann die Bemühungen zum Schutz der Daten vor unbefugter Aggregation und unbefugtem Zugriff unterstützen.

Der Einsatz von Technologien zur Verhinderung von Datenverlust und die Verschlüsselung sensibler Daten während der Übertragung und im Ruhezustand sind wirksame Strategien. Darüber hinaus kann die Überwachung von Zugriffsmustern dazu beitragen, unbefugte Datenerfassungsaktivitäten frühzeitig zu erkennen.

Exfiltration

Exfiltrationstaktiken beschreiben, wie Angreifer Daten aus einer kompromittierten Cloud-Umgebung entfernen, um diese Informationen zu analysieren, zu verkaufen oder für böswillige Zwecke zu nutzen. Zu den Techniken gehört häufig die Verschlüsselung von Daten vor der Übertragung, um einer Erkennung zu entgehen, oder die Ausnutzung legitimer Funktionen von Cloud-Diensten, um Daten diskret zu entfernen.

Um diesen Taktiken entgegenzuwirken, sollten Unternehmen strenge Ausgangskontrollen durchführen und ausgehende Kommunikation auf den Verlust sensibler Daten prüfen. Durch die Verschlüsselung von Daten kann deren Nutzung auch bei unbefugter Entfernung verhindert werden.

Auswirkungen

Angriffstaktiken konzentrieren sich auf Betriebsstörungen, die Beschädigung einer Cloud-Umgebung oder die Manipulation von Daten, um geschäftliche oder geopolitische Vorteile zu erzielen. Mögliche Aktionen sind die Löschung wichtiger Daten, Dienstunterbrechungen oder die Beeinträchtigung der Datenintegrität. Das Verständnis dieser Angriffsformen hilft Unternehmen bei der Entwicklung robuster Disaster-Recovery-Prozesse und Incident-Response-Pläne.

Die Implementierung strenger Backup-Richtlinien, die Gewährleistung von Systemredundanz und regelmäßige Integritätsprüfungen können die Auswirkungen solcher Angriffe abmildern. Schnelle Erkennungs- und Reaktionsfähigkeiten sind unerlässlich, um die betrieblichen Auswirkungen solcher böswilligen Aktivitäten zu minimieren.

Exabeam nutzt MITRE-Frameworks

Die Exabeam-Produktfamilie –Exabeam Fusion, Exabeam Sicherheitsuntersuchung, Exabeam Security Analytics, Exabeam SIEM und Exabeam Security Log Management– ordnet Angriffe, Warnungen und zentrale Anwendungsfälle dem MITRE ATT&CK-Framework zu. Darüber hinaus können Kunden ihre eigenen Korrelationsregeln schreiben, um eingehende Protokollereignisse zu vergleichen.

Organisationen können ihre benutzerdefinierten Korrelationsregeln schreiben, testen, veröffentlichen und überwachen, um sich auf die kritischsten Geschäftseinheiten und -ressourcen zu konzentrieren. Dazu gehört auch die Definition einer höheren Kritikalität oder die spezifische Einbeziehung von Bedingungen aus Threat Intelligence Service sowie die Zuweisung spezifischer MITRE ATT&CK ® TTPs.

Whitepaper herunterladen

Nutzung der MITRE ATT&CK ^® Wissensdatenbank zur Verbesserung der Bedrohungssuche und Vorfallsreaktion

Erfahren Sie, wie Sie die ATT&CK-Wissensdatenbank nutzen können, um Ihre Bedrohungssuche und Vorfallreaktion zu verbessern.

Whitepaper lesen