MITRE ATT&CK ist eine weltweit zugängliche Wissensdatenbank mit Taktiken und Techniken von Angreifern, die auf realen Beobachtungen von Cybersicherheitsbedrohungen basiert. Die Darstellung erfolgt in Matrizen, die nach Angriffsphasen geordnet sind – vom ersten Systemzugriff bis hin zu Datendiebstahl oder Maschinenkontrolle. Es gibt Matrizen für gängige Desktop-Plattformen – Linux, macOS und Windows – sowie Technologien wie Cloud, Container, Netzwerk, ICS und mobile Plattformen.
ATT&CK steht für Adversarial Tactics, Techniques und Common Knowledge. Taktiken sind eine moderne Betrachtungsweise von Cyberangriffen. Anstatt die Ergebnisse eines Angriffs (auch als Indikator für eine Kompromittierung (IoC) bezeichnet) zu betrachten, werden Taktiken identifiziert, die auf einen laufenden Angriff hinweisen. Taktiken sind das „Warum“ einer Angriffstechnik.
Die Enterprise ATT&CK-Matrix (weitere Informationen zu allen drei Matrizen finden Sie weiter unten) umfasst 14 Taktiken:
Aufklärung
Ressourcenentwicklung
Erstzugriff
Ausführung
Persistenz
Privilegieneskalation
Verteidigungsausweichung
Zugangsdatenzugriff
Entdeckung
Seitliche Bewegung
Befehl und Kontrolle
Sammlung
Exfiltration
Auswirkungen
Was sind Techniken im ATT&CK-Framework?
Das zweite „T“ in ATT&CK steht für Techniken. Jede Taktik umfasst eine Reihe von Techniken, die von Malware und Bedrohungsakteuren eingesetzt werden. Techniken beschreiben das „Wie“ – die Art und Weise, wie Angreifer eine Taktik in der Praxis umsetzen. Handelt es sich beispielsweise bei der Taktik um die Ausweitung von Berechtigungen, stellen die Techniken verschiedene Möglichkeiten dar, wie Angreifer diese Ausweitung in realen Angriffen durchführen.
Die Enterprise ATT&CK-Matrix umfasst derzeit 185 Techniken und 367 Untertechniken, und Mitre fügt kontinuierlich weitere hinzu. Jede Technik hat einen vierstelligen Code – beispielsweise lautet der Code für den Abuse Elevation Control Mechanism T1548.
Jede Technik enthält spezifische Informationen darüber, wie Bedrohungsakteure vorgehen, beispielsweise die erforderlichen Berechtigungen, die Plattformen, auf denen die Technologie üblicherweise verwendet wird, und wie Befehle oder Aktivitäten erkannt werden, die mit der Technik verbunden sind.
Das „CK“ am Ende von ATT&CK steht für Common Knowledge. Dabei handelt es sich um die dokumentierte Anwendung von Taktiken und Techniken durch Gegner. Common Knowledge ist im Wesentlichen die Dokumentation von Verfahren. Wer sich mit Cybersicherheit auskennt, kennt möglicherweise den Begriff „Taktiken, Techniken und Verfahren“ oder TTP. (Das „CK“ ist ein attraktiveres Akronym als „P“ – bei Regierungsprojekten immer ein Muss.)
Wer ist MITRE?
MITRE ist eine staatlich finanzierte Forschungsorganisation mit Sitz in Bedford, Massachusetts, und McLean, Virginia. Das Unternehmen wurde 1958 aus dem MIT ausgegliedert und war an zahlreichen kommerziellen und streng geheimen Projekten für verschiedene Behörden beteiligt. Dazu gehörte die Entwicklung des Flugsicherungssystems der FAA und des bordgestützten Radarsystems AWACS. MITRE verfügt über eine umfangreiche Cybersicherheitspraxis, die vom National Institute of Standards and Technology (NIST) finanziert wird.
(Interessanterweise ist MITRE kein Akronym, obwohl manche dachten, es stünde für Massachusetts Institute of Technology Research and Engineering. Der Name ist eine Erfindung von James McCormack, einem frühen Vorstandsmitglied, der einen Namen wollte, der nichts bedeutete, aber einprägsam klang.)
Tipps vom Experten
Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.
Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, das MITRE ATT&CK-Framework besser für Ihre Sicherheitsvorgänge zu nutzen:
Emulieren Sie reale Gegner für Red Teaming Verwenden Sie das ATT&CK-Framework, um die Taktiken und Techniken Ihrer Gegner in Ihren Red-Team-Übungen zu modellieren. Emulieren Sie spezifische Angriffsgruppen und stellen Sie deren Methoden nach, um die Wirksamkeit Ihrer Abwehrmaßnahmen gegen reale Bedrohungen zu testen.
Ordnen Sie aktuelle Erkennungs- und Präventionstools den ATT&CK-Techniken zu Führen Sie eine gründliche Zuordnung Ihrer vorhandenen Sicherheitstools zu den Techniken in MITRE ATT&CK durch. Identifizieren Sie Lücken, die Ihre aktuellen Lösungen nicht abdecken, und priorisieren Sie Investitionen in diesen Bereichen.
Integrieren Sie ATT&CK in Playbooks zur Reaktion auf Vorfälle Verwenden Sie MITRE ATT&CK als Grundlage für die Erstellung von Playbooks zur Reaktion auf Vorfälle. Strukturieren Sie Ihre Reaktionen anhand der bei realen Angriffen üblichen Taktiken und Techniken, um sicherzustellen, dass Ihr Team jede Phase des Angriffslebenszyklus abdeckt.
Nutzen Sie ATT&CK zur Bedrohungssuche Nutzen Sie die ATT&CK-Matrix zur proaktiven Bedrohungssuche. Konzentrieren Sie sich auf risikoreiche Taktiken und Techniken, für die Ihre Umgebung besonders anfällig ist, und decken Sie so heimliche, anhaltende Angriffe auf.
Passen Sie die Verhaltensanalyse rund um ATT&CK-Techniken an Passen Sie Ihre UEBA-Lösungen (User and Entity Behavior Analytics) an, um bestimmte in ATT&CK aufgeführte Techniken zu erkennen. Durch die Ermittlung von Normalverhalten können Sie Anomalien erkennen, die mit Taktiken wie Lateral Movement oder Privilegienerweiterung zusammenhängen.
Was ist das Ziel von MITRE ATT&CK?
Ziel der Mitre-Sicherheitsinitiative ist die Erstellung einer umfassenden Liste bekannter Taktiken und Techniken von Cyberangriffen. Sie steht staatlichen, Bildungs- und Wirtschaftsorganisationen offen und soll ein breites und hoffentlich umfassendes Spektrum an Angriffsphasen und -sequenzen erfassen. MITRE ATT&CK soll eine standardisierte Taxonomie schaffen, um die Kommunikation zwischen Organisationen spezifischer zu gestalten.
ATT&CK entstand aus der Notwendigkeit heraus, das Verhalten von Gegnern im Rahmen strukturierter Übungen zur Gegneremulation in der Forschungsumgebung des Fort Meade Experiments von MITRE systematisch zu kategorisieren.
Was sind die ATT&CK-Matrizen?
Es gibt drei Matrizen im ATT&CK-Framework:
Enterprise ATT&CK– ein Angriffsmodell, das die Aktionen eines Angreifers erklärt, um in einem Unternehmensnetzwerk zu agieren. Der Schwerpunkt liegt auf dem Verhalten nach einer Kompromittierung. Diese Matrix kann bei der Priorisierung der Netzwerkverteidigung helfen und die Taktiken, Techniken und Verfahren (TTPs) erklären, die Angreifer im Netzwerk anwenden.
PRE-ATT&CK– Diese Matrix konzentriert sich auf Aktivitäten, die vor einem Angriff durchgeführt wurden und größtenteils außerhalb des Blickfelds des Unternehmens lagen. Sie hilft Sicherheitsteams zu verstehen, wie Angreifer ihre Erkundung durchführen und ihren Einstiegspunkt auswählen. Außerdem ermöglicht sie eine effektivere Überwachung und Identifizierung von Angreiferaktivitäten außerhalb des Unternehmensnetzwerks.
Mobile ATT&CK– basierend auf dem NIST Mobile Threat Catalogue ist dies ein Bedrohungsmodell, das Taktiken und Techniken beschreibt, mit denen Angreifer mobile Geräte infiltrieren können. Dazu gehören „netzwerkbasierte Effekte“, also Angriffsmethoden, die ohne direkten Zugriff auf das Gerät ausgeführt werden können.
Wie verwenden Sie die ATT&CK-Matrix?
Die MITRE ATT&CK-Matrix ordnet alle bekannten Taktiken und Techniken visuell in einem leicht verständlichen Format an. Angriffstaktiken werden oben angezeigt, und die einzelnen Techniken sind in jeder Spalte aufgeführt.
In der Enterprise ATT&CK-Matrix umfasst eine Angriffssequenz mindestens eine Technik pro Taktik. Eine vollständige Angriffssequenz wird von links (Erstzugriff) nach rechts (Befehl und Kontrolle) aufgebaut. Es ist möglich, dass für eine Taktik mehrere Techniken verwendet werden. Beispielsweise könnte ein Angreifer bei einem Spear-Phishing-Exploit sowohl einen Anhang als auch einen Link ausprobieren.
Ein Angreifer muss nicht alle elf Taktiken der Matrix anwenden. Er wird sich für die minimale Anzahl an Taktiken entscheiden, da dies effizienter ist und die Wahrscheinlichkeit einer Entdeckung geringer ist. Bei diesem Angriff (siehe Abbildung 3) verschafft sich der Angreifer mithilfe eines per E-Mail übermittelten Spear-Phishing-Links einen ersten Zugriff auf die Anmeldeinformationen der Verwaltungsassistentin des CEO. Sobald er die Anmeldeinformationen des Administrators hat, sucht der Angreifer in der Discovery-Phase nach einem Remote-System.
Abbildung 3 zeigt einen Beispielangriff mit Techniken aus jeder taktischen Phase des Angriffs.
Nehmen wir an, dass es ihnen um sensible Daten in einem Dropbox-Ordner geht, auf den auch der Administrator Zugriff hat. Daher ist eine Ausweitung der Berechtigungen nicht erforderlich. Die Datensammlung, die letzte Phase, erfolgt durch das Herunterladen von Dateien aus Dropbox auf den Computer des Angreifers.
Beachten Sie, dass ein Sicherheitsanalyst mithilfe von Verhaltensanalysen den Angriff möglicherweise bereits im Gange erkennt, indem er ungewöhnliches Benutzerverhalten identifiziert. Nehmen wir beispielsweise an, der Administrator klickt auf einen Link, auf den noch nie jemand im Unternehmen geklickt hat, und greift dann zu einem ungewöhnlichen Zeitpunkt auf einen bestimmten Dropbox-Ordner zu. In der letzten Phase des Angriffs greift der Computer des Angreifers zum ersten Mal auf den Dropbox-Ordner zu. Mithilfe von Verhaltensanalysen würden diese Aktivitäten als verdächtiges Benutzerverhalten gekennzeichnet.
Wie schneidet MITRE ATT&CK im Vergleich zur Cyber Kill Chain von Lockheed Martin ab?
Lockheed Martins Cyber Kill Chain ® und ATT&CK ähneln sich darin, dass beide Modelle die Schritte definieren, die ein Angreifer zur Erreichung seines Ziels unternimmt. Lockheed Martins Cyber Kill Chain identifiziert sieben Schritte eines Angriffs:
Aufklärung
Bewaffnung
Lieferung
Ausbeutung
Installation
Befehl und Kontrolle
Maßnahmen zur Zielerreichung
ATT&CK besteht aus zehn Schritten, die eine Angriffskette bilden:
Erstzugriff
Ausführung
Persistenz
Rechteerweiterung
Umgehung der Verteidigung
Anmeldeinformationszugriff
Entdeckung
Seitliche Bewegung
Sammlung und Xfiltration
Befehl und Kontrolle
Zusätzlich zu einer größeren Granularität in den Angriffskettentaktiken beschreibt ATT&CK die Techniken, die in jeder Phase verwendet werden können, während dies bei der Cyber Kill Chain von Lockheed Martin nicht der Fall ist.
Was kann mit MITRE ATT&CK getan werden?
Es gibt eine Reihe von Möglichkeiten, wie ein Unternehmen MITRE ATT&CK nutzen kann. Hier sind die wichtigsten Anwendungsfälle.
Gegneremulation– ATT&CK kann zum Erstellen von Gegneremulationsszenarien verwendet werden, um Abwehrmaßnahmen gegen gängige Gegnertechniken zu testen und zu überprüfen.
Red Teaming– ATT&CK kann verwendet werden, um Red-Team-Pläne zu erstellen und Operationen zu organisieren, um bestimmte Abwehrmaßnahmen zu umgehen, die möglicherweise innerhalb eines Netzwerks vorhanden sind.
Entwicklung Verhaltensanalyse– ATT&CK kann zum Erstellen und Testen von Verhaltensanalysen verwendet werden, um feindliches Verhalten innerhalb einer Umgebung zu erkennen.
Defensive Gap Assessment– ATT&CK kann als allgemeines verhaltensorientiertes Gegnermodell verwendet werden, um Tools, Überwachung und Minderung bestehender Abwehrmaßnahmen innerhalb des Unternehmens einer Organisation zu bewerten.
SOC-Reifegradbewertung– ATT&CK kann als eine Messung verwendet werden, um zu bestimmen, wie effektiv ein SOC beim Erkennen, Analysieren und Reagieren auf Eindringlinge ist.
Anreicherung von Cyber Bedrohungsintelligenz– ATT&CK ist nützlich, um Profile von Gegnergruppen aus einer verhaltensbezogenen Perspektive zu verstehen und zu dokumentieren, die unabhängig von den von der Gruppe möglicherweise verwendeten Tools ist.
Tools und Ressourcen MITRE ATT&CK Frameworks
Hier ist eine Liste von Tools und Ressourcen, die Sie verwenden können, um die Vorteile des ATT&CK-Frameworks zu nutzen.
ATT&CK Navigator– Mit diesem kostenlosen Tool können Sie Ihre Sicherheitskontrollen auf ATT&CK-Techniken abbilden. Sie können insbesondere detektivische und präventive Kontrollen hinzufügen und sogar Ebenen beobachteten Verhaltens anzeigen. Der Navigator kann online für einfache Modelle und Szenarien verwendet oder als dauerhafte Lösung heruntergeladen und intern eingerichtet werden. Direkter Link: https://github.com/mitre-attack/attack-navigator
MITRE Cyber Analytics Repository (CAR)– Dies ist eine von MITRE bereitgestellte Wissensdatenbank für Analysen. Sie bietet einen umfangreichen Datensatz mit Hypothesen, Informationsdomänen, die den Kontext der Analyse festlegen (z. B. Host, Netzwerk), Verweise auf bestimmte ATT&CK-TTPs und Pseudocode, der zeigt, wie die Analyse implementiert werden kann. Direktlink: https://car.mitre.org/
Caldera– Ein Open-Source-Netzwerksicherheits-Framework, das Angriffe simuliert und Sicherheitsreaktionen automatisiert. Es kann sowohl von Red Teams als auch von Incident Respondern eingesetzt werden. Die automatisierten Aktionen basieren auf dem MITRE ATT&CK Framework. Direkter Link: https://github.com/mitre/caldera
Red Canary Atomic Red Team– Dieses Open-Source-Tool simuliert feindliches Verhalten, das dem MITRE ATT&CK Framework zugeordnet ist. Es handelt sich um eine einfache Testbibliothek, mit der Sicherheitsteams ihre Sicherheitskontrollen testen können. Es handelt sich um fokussierte Tests mit wenigen Abhängigkeiten, die in einem strukturierten Format definiert sind, das von Automatisierungs-Frameworks verwendet werden kann. Direkter Link: https://github.com/redcanaryco/atomic-red-team
Red Team Automation– Dies ist ein weiteres Open-Source-Automatisierungstool, das bösartiges Verhalten basierend auf MITRE ATT&CK-Taktiken und -Techniken simulieren kann. Es enthält ein Python-Skript, das über 50 Taktiken simulieren kann, mit einer kompilierten Binäranwendung, die Aktivitäten wie das Einfügen von Prozessen und das Simulieren von Beacons ausführt. Direkter Link: https://github.com/endgameinc/RTA
Die Beziehung von Exabeam zu MITRE ATT&CK
Sicherheitsforscher Exabeam nehmen an Diskussionen und Veranstaltungen zu MITRE ATT&CK teil. Sie haben außerdem mehrere neue Techniken beigesteuert, deren Veröffentlichung noch aussteht. Zudem haben sie umfangreiche Untersuchungen zur maschinell lernenden Anomalieerkennung durchgeführt, um MITRE ATT&CK effektiv in das Erkennungsarsenal von Sicherheitsanalysten zu integrieren.
Weitere Leitfäden zu wichtigen Themen der Informationssicherheit finden Sie hier.
Gemeinsam mit unseren Content-Partnern haben wir ausführliche Leitfäden zu verschiedenen anderen Themen verfasst, die Ihnen auch bei der Erkundung der Welt vonInformationssicherheit.
