Was ist MITRE Engage (ehemals MITRE Shield)?

Was ist MITRE ATT&CK Framework?

MITRE Engage ist eine von der MITRE Corporation entwickelte Wissensdatenbank, die ursprünglich unter dem Namen MITRE Shield bekannt war. Sie bietet Informationen zur aktiven Verteidigung basierend auf zehn Jahren Erfahrung im Umgang mit gegnerischen Angriffen. Engage bietet Informationen für verschiedene Ebenen, darunter:

• Praktikerfreundliche Diskussionen über Verteidigungstaktiken, -techniken und -verfahren (TTP).
• CISO-gerechte Überlegungen zu Zielen und Möglichkeiten.

Die Informationen werden sowohl strukturiert als auch unstrukturiert angeboten, wobei sich die erste Version ausschließlich auf strukturierte Elemente konzentriert. Um die Arbeit mit den Daten zu erleichtern, bietet MITRE Mappings zur Organisation von Ansichten. Dazu gehört ein Mapping zwischen Engage und dem MITRE ATT&CK^-Framework. Die Wissensdatenbank wird kontinuierlich erweitert und um weitere Ansichten erweitert.

Laut MITRE ist Engage ein noch in der Entwicklung befindliches Tool. Es wurde veröffentlicht, um Gespräche über die Auseinandersetzung mit dem Gegner und die aktive Verteidigung sowie über Möglichkeiten für Verteidiger, aktiv zu verteidigen, anzuregen.

Empfohlene Lektüre:UEBA (User and Entity Behavior Analytics): Vollständiger Leitfaden.

Was ist aktive Verteidigung?

Nach Angaben des US-Verteidigungsministeriums umfasst die aktive Verteidigung den Einsatz begrenzter offensiver Gegenangriffe und Aktionen mit dem Ziel, das Eindringen von Feinden in ein umkämpftes Gebiet oder eine umkämpfte Position zu verhindern.

MITRE Engage kombiniert verschiedene aktive Verteidigungsarten, darunter grundlegende Cyber-Abwehrmaßnahmen sowie Angriffs- und Täuschungsmaßnahmen. Zusammen ermöglichen diese Abwehrmaßnahmen Unternehmen, Angriffe abzuwehren und gleichzeitig zusätzliche Informationen über den Gegner zu erhalten. Diese Informationen helfen Unternehmen, sich besser auf zukünftige Angriffe vorzubereiten.

Wie kann MITRE Engage Ihrem Unternehmen helfen?

Allgemeine Cyberabwehr

MITRE Engage beschreibt grundlegende Verteidigungstechniken, die auf jeden Verteidigungsplan angewendet werden können. Unternehmen können MITRE Engage-Techniken innerhalb des Unternehmensnetzwerks nutzen, um Angreifer abzuschrecken und zu erkennen. Idealerweise sollten Unternehmen eine Bewertung durchführen, um die spezifischen Risiken und Bedrohungen zu verstehen und anschließend die entsprechenden Engage-Techniken anzuwenden.

Cyber-Täuschung

Deception Security, auch bekannt als Tripwire-Ansatz, sucht proaktiv nach Bedrohungen. Deception-Systeme sind so konzipiert, dass sie nicht von regulären Produktionssystemen zu unterscheiden sind und als High-Fidelity-Systeme fungieren. Unternehmen können Deception zur Erkennung, Abschreckung oder für andere Zwecke einsetzen.

Gegnerisches Engagement

Die meisten MITRE Engage-Techniken sind darauf ausgelegt, Verteidigern dabei zu helfen, die Aktivitäten des Gegners auf dem Zielsystem zu erfassen, zu beobachten und zu verstehen. Unternehmen können MITRE Engage-Techniken sowohl in synthetischen Umgebungen als auch in der Produktion einsetzen, um effektive und produktive Angriffe zu fördern.

Darüber hinaus kann die MITRE Engage-Wissensdatenbank dabei helfen, bekannte Informationen über einen bestimmten Gegner zu analysieren (mithilfe von ATT&CK-Erkenntnissen), geeignete Abwehrmaßnahmen zu planen und die für zukünftige Überlegungen erforderlichen Informationen zu erfassen.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, sowohl MITRE ATT&CK als auch MITRE Engage besser für Ihre aktive Verteidigungsstrategie zu nutzen:

Überwachen Sie das Verhalten des Gegners mit ATT&CK und reagieren Sie mit Engage
Überwachen Sie das Verhalten von Gegnern kontinuierlich mithilfe von ATT&CK-abgebildeten Erkennungssystemen und wenden Sie MITRE Engage-Techniken an, um aktiv zu reagieren und so eine agile Verteidigungsschleife zu schaffen, die sich an sich entwickelnde Bedrohungen anpasst.

Ordnen Sie MITRE ATT&CK-Techniken den Engage-Verteidigungstechniken zu
Beginnen Sie mit der Zuordnung spezifischer ATT&CK-Techniken (gegnerisches Verhalten) zu Engage-Verteidigungstechniken. Dadurch erhalten Sie ein klares Verständnis dafür, wie Sie bestimmten gegnerischen Taktiken mit aktiven Verteidigungsmethoden entgegenwirken können.

Verwenden Sie Engage, um dynamische Täuschungsstrategien zu erstellen
Nutzen Sie MITRE Engage, um proaktive Täuschungskampagnen zu entwickeln, beispielsweise durch den Einsatz von Täuschungssystemen und Anmeldeinformationen, die Angreifer dazu verleiten, ihre Methoden preiszugeben. Diese Einsätze sammeln Informationen, ohne kritische Ressourcen zu gefährden.

Integrieren Sie Engage in Red-Teaming-Übungen
Kombinieren Sie die Verteidigungstechniken von Engage mit Red-Team-Aktivitäten, um reale Angriffe von Gegnern zu simulieren. So können Sie die aktiven Verteidigungsfähigkeiten Ihres Unternehmens testen und wertvolle Erkenntnisse zum Verhalten von Gegnern gewinnen.

Entwickeln Sie Playbooks für die aktive Verteidigung basierend auf Engage-Taktiken
Erstellen Sie Reaktions-Playbooks rund um die acht Verteidigungstaktiken von MITRE Engage (z. B. Erkennen, Eindämmen und Unterbrechen). Diese Playbooks können Ihnen zeigen, wie Sie mit Gegnern umgehen und gleichzeitig Informationen sammeln, um zukünftige Abwehrmaßnahmen zu verbessern.

Das MITRE Engage (MITRE Shield)-Modell, Taktiken, Techniken und Verfahren

Das MITRE Engage-Modell umfasst mehrere Komponenten, darunter:

• Techniken– bilden die Grundlage des Engage-Modells und umfassen aktive Verteidigungsoperationen für Verteidiger.
• Taktiken– enthalten abstrakte, allgemeine Beschreibungen der Ziele, die die Verteidiger mit den Operationen erreichen möchten. Taktiken klassifizieren Gruppen von Techniken, auf die bei Bedarf zurückgegriffen werden kann und die als Kurzform für die Planung auf höherer Ebene dienen können.

Dieses Modell kann Verteidigern helfen, Taktiken anzuwenden, um schnell die relevanteste Technik für jedes taktische Ziel zu identifizieren. Verteidiger können das Modell nutzen, um aus der Vielfalt der aktiven Engage-Verteidigungen die relevanteste Verteidigungslösung zu entwickeln.

Verwandte Inhalte: Lesen Sie unsere Erklärung Was sind TTPs

Die MITRE Engage-Matrix

Die MITRE Engage-Matrix (früher Shield Matrix) veranschaulicht die Beziehung zwischen Techniken und Taktiken. Sie besteht aus:

• Taktik– das Ziel der Verteidiger (in den Spalten unten dargestellt).
• Techniken– wie jede Verteidigung dazu beitragen kann, eine oder mehrere Taktiken zu erreichen (in den einzelnen Zellen dargestellt).

Techniken und Verfahren

MITRE Engage-Techniken beschreiben aktive Verteidigungsmaßnahmen. Ein Verteidiger kann ein vordefiniertes taktisches Ziel durch die Durchführung einer oder mehrerer Aktionen erreichen. Beispielsweise kann er einem gegnerischen Angriffssystem Schein-Anmeldeinformationen hinzufügen. So lässt sich feststellen, ob ein Angreifer diese Anmeldeinformationen ablegt und versucht, damit auf ein anderes System innerhalb des Angriffsnetzwerks zuzugreifen.

Die Techniken von MITRE Engage umfassen eine breite Palette von Aktionen, darunter:

• Grundlegende Techniken– anwendbar in einem breiten Spektrum von Organisationen und können auf fortgeschrittenen Techniken aufbauen. Zu den grundlegenden Techniken können Netzwerküberwachung, Überwachung der Systemaktivität sowie Sicherung und Wiederherstellung gehören.
• Fortgeschrittene Techniken– werden eingesetzt, um Software und Netzwerke zu manipulieren. Fortgeschrittene Techniken werden in der Regel von Täuschungsanbietern oder Organisationen eingesetzt, die versuchen, Gegner auf einer tieferen Ebene anzusprechen oder zu studieren.
• Die MITRE Engage-Verfahren beschreiben detailliert, wie eine Technik implementiert wird.

Verknüpfung von Taktiken und Techniken

MITRE Engage verknüpft aktive Verteidigungstaktiken mit den entsprechenden Techniken. Dies ist ein wichtiger Aspekt jeder aktiven Verteidigungsoperation, da Techniken zum Aufbau der Systeme und Kontrollen in einer operativen Umgebung beitragen.

Bei der Verknüpfung von Taktiken und Techniken kann eine einzelne Technik mehrere Taktiken unterstützen. Ebenso kann eine einzelne Taktik mehrere Techniken nutzen. Sie können beispielsweise Sicherheitskontrollen verschärfen, um die Aktivitäten eines Gegners zu unterbrechen, oder bestimmte Kontrollen lockern, um weitere Angriffe zu ermöglichen.

MITRE ATT&CK vs. MITRE Engage

MITRE ATT&CK bietet eine kontinuierlich aktualisierte Wissensdatenbank, die technische, taktische, subtechnische und verfahrenstechnische Aspekte im Zusammenhang mit gegnerischem Verhalten umfasst. Die Datenbank wurde 2013 erstellt und seitdem mehrfach umfassend aktualisiert und verbessert. Die neueste Wissensdatenbank bietet Matrizen für Unternehmen, industrielle Steuerungssysteme und Mobilgeräte.

MITRE ATT&CK konzentriert sich auf die Perspektive der Gegner, MITRE Engage auf die der Verteidiger. Beide Wissensdatenbanken verwenden Matrizen, Engage berücksichtigt jedoch eher Verteidigungstechniken und -taktiken als gegnerisches Verhalten. Engage bietet acht Verteidigungstaktiken, die Verteidigern helfen können, ihre Ziele zu erreichen.

Die acht Engage-Taktiken umfassen Kanalisieren, Eindämmen, Sammeln, Erkennen, Erleichtern, Testen, Unterbrechen und Legitimieren. Jede Taktik umfasst 34 Verteidigungstechniken, die alle beteiligten Methoden weiter verfeinern und definieren. Die gesamte Engage-Matrix umfasst alle grundlegenden Technologien, die für eine aktive Verteidigung erforderlich sind, einschließlich allgemeiner Verteidigung, Gegnerangriff und Täuschung.

Mapping von MITRE Engage mit ATT&CK

Die Verteidigungstechniken von MITRE Engage und die gegnerischen ATT&CK-Techniken sind eng miteinander verbunden. Aus diesem Grund hat MITRE eine Seite entwickelt, die sich ausschließlich den ATT&CK-Techniken und -Taktiken widmet. Jede ATT&CK-Taktik enthält die zugehörigen gegnerischen ATT&CK-Techniken sowie alle relevanten Informationen zur aktiven Verteidigung.

Engage bietet konkrete Möglichkeiten zur Nutzung der ATT&CK-Wissensdatenbank. Die Abbildung von ATT&CK mit Engage hilft bei der Erstellung aktiver Verteidigungsstrategien, die sich an bestimmte Gegner richten. Die gemeinsame Nutzung der beiden Wissensdatenbanken kann Verteidigern helfen, zwei Hauptziele zu erreichen:

• Gewinnen Sie ein besseres Verständnis des Verhaltens und der Angriffe von Gegnern (ATT&CK)
• Entdecken Sie Möglichkeiten für eine aktivere Abwehr (Engage)

Wie Exabeam Fusion und XDR das MITRE ATT&CK Framework nutzen

Sicherheitsforscher Exabeam nehmen an MITRE-Diskussionen und -Veranstaltungen teil. Sie haben außerdem mehrere neue Techniken beigesteuert, die derzeit veröffentlicht werden. Darüber hinaus haben sie umfangreiche Untersuchungen zur maschinenlernbasierten Anomalieerkennung durchgeführt, um MITRE-Inhalte effektiv in das Erkennungsarsenal von Sicherheitsanalysten zu integrieren.

Exabeam Fusion SIEM und XDR umfassen eine Reihe vorgefertigter Anwendungsfälle. Diese Anwendungsfälle umfassen bedrohungsspezifische Inhalte, vordefinierte Untersuchungschecklisten und auf jedes definierte Szenario zugeschnittene Reaktions-Playbooks. Die internen Sicherheitsexperten Exabeam haben jedes Anwendungsszenario im MITRE ATT&CK-Framework abgebildet, einschließlich der spezifischen MITRE-Taktiken und -Techniken, die mit jedem Anwendungsfall verbunden sind. Dies bietet dem Sicherheitsanalysten, der potenzielle Bedrohungen in Exabeam untersucht, mehr Einblicke. Beispielsweise wird der Anwendungsfall der kompromittierten Anmeldeinformationen neun verschiedenen MITRE-Techniken zugeordnet.

® Framework und wie Ihr SOC davon profitieren kann" class="wp-image-221127"/>

Exabeam Fusion umfasst diese beiden Produkte:

• Exabeam Fusion XDR: Marktführende Verhaltensanalysen, Warnmeldungs-Triage, Bedrohungssuche, vorgefertigte Untersuchungs-Playbooks, TDIR-Workflow-Automatisierung und Integrationen mit Hunderten von Sicherheits- und Produktivitätstools von Drittanbietern ermöglichen es Unternehmen, komplexe Bedrohungen zu finden, die in ihrer vielfältigen Umgebung oft unbemerkt bleiben.
• Exabeam Fusion SIEM: Alle Funktionen und Fähigkeiten von Fusion XDR plus zentralisierte Protokollspeicherung, leistungsstarke Suche und Berichterstellung, um gängige Anwendungsfälle im Zusammenhang mit Vorschriften und Compliance zu erfüllen.

Kein anderer SIEM- oder XDR-Anbieter bietet mehr sofort einsatzbereite Inhalte zur Unterstützung des Frameworks. Eine detaillierte Übersicht über die Unterstützung des MITRE ATT&CK Frameworks durch Exabeam finden Sie unter diesem Link – die MITRE-Unterstützung von Exabeam wird in Grüntönen angezeigt –ATT& ^CK® Navigator.