Inhaltsverzeichnis
Was ist MITRE ATT&CK?
Das MITRE ATT&CK® Framework ist ein Sicherheitsframework, das umfassende und aktuelle Informationen zu Cyberbedrohungen bereitstellt, mit denen sich Unternehmen vor Cyberrisiken schützen können.
Die MITRE-Organisation hat eine Matrix entwickelt, die Taktiken, Techniken und Verfahren abbildet, die bei der Überwachung und Analyse von Sicherheitsereignissen helfen können, die von Sicherheitsteams erkannt werden.
Es gibt drei Haupt-MITRE-Matrizen: Enterprise ATT&CK mit 14 Taktiken, die Angreifer zum Infiltrieren von Organisationen verwenden können, Mobile ATT&CK mit 14 Taktiken, die Angreifer zum Kompromittieren mobiler Anwendungen verwenden können, und ICS ATT&CK mit 12 Taktiken zum Angriff auf industrielle Steuerungssysteme.
Dieser Inhalt ist Teil einer Serie über MITRE ATT&CK.
Empfohlene Lektüre:UEBA (User and Entity Behavior Analytics): Vollständiger Leitfaden.
MITRE-Matrixtypen
Enterprise ATT&CK-Matrix
ATT&CK for Enterprise bietet ein Modell, das detailliert beschreibt, wie Cyber-Angreifer in Unternehmensnetzwerke eindringen und ihre Ziele erreichen können. Es hilft Unternehmen, ihre Cyber-Abwehr zu priorisieren und sich auf die Abwehrmaßnahmen zu konzentrieren, die das größte Risiko für bestimmte Unternehmen darstellen.
Die Matrix enthält spezifische Taktiken und Techniken, die Angreifer verwenden, um in verschiedene Umgebungen einzudringen, darunter Netzwerke, Betriebssysteme wie Windows, macOS und Linux, SaaS-Anwendungen wie Office 365 oder Google Workspace, öffentliche Cloud-Systeme oder Identitätsdienste wie Azure AD.
Derzeit gibt es in dieser Matrix 14 Taktiken, die unten angezeigt werden.
| Aufklärung | Ressourcenentwicklung | Erstzugriff | Ausführung |
| Persistenz | Rechteerweiterung | Umgehung der Verteidigung | Anmeldeinformationszugriff |
| Entdeckung | Seitliche Bewegung | Sammlung | Befehl und Kontrolle |
| Exfiltration | Auswirkungen |
Mobile ATT&CK-Matrix
Die Mobile ATT&CK Matrix beschreibt Taktiken und Techniken zur Kompromittierung von iOS- und Android-Mobilgeräten. ATT&CK für Mobilgeräte basiert auf dem Mobile Threat Catalog des NIST und ist auf die Eigenschaften aktueller Mobilgeräte und deren Schwachstellen zugeschnitten.
Mobile ATT&CK umfasst 12 Taktiken und über 100 Fähigkeiten, die Angreifer gegen mobile Geräte einsetzen. Die Matrix listet auch netzwerkbasierte Effekte, Taktiken und Techniken auf, die ohne Zugriff auf ein physisches Gerät eingesetzt werden können.
Derzeit gibt es in dieser Matrix 14 Taktiken, die unten angezeigt werden.
| Erstzugriff | Ausführung | Persistenz | Privilegieneskalation |
| Verteidigungsausweichung | Zugangsdatenzugriff | Entdeckung | Seitliche Bewegung |
| Sammlung | Befehl und Kontrolle | Exfiltration | Auswirkungen |
| Netzwerkeffekte | Remote-Service-Effekte |
ICS ATT&CK-Matrix
Diese Matrix ähnelt Enterprise ATT&CK, zielt jedoch auf industrielle Steuerungssysteme (ICS) wie Stromnetze, Fabriken, Produktionsanlagen und andere Organisationen ab. Diese Systeme basieren auf miteinander verbundenen Maschinen, Geräten, Sensoren und Netzwerken.
Die Matrix beschreibt den Lebenszyklus eines Angriffs auf ICS-Systeme, eine detaillierte technische Beschreibung aller bei einem potenziellen Angriff verwendeten Techniken und Taktiken, deren Ziele, Erkennungsmethoden und wie man ihn abschwächen und darauf reagieren kann.
Derzeit gibt es in dieser Matrix 12 Taktiken, wie unten gezeigt.
| Erstzugriff | Ausführung | Persistenz | Privilegieneskalation |
| Ausweichen | Entdeckung | Seitliche Bewegung | Sammlung |
| Befehl und Kontrolle | Funktion „Antwort unterdrücken“ | Beeinträchtigung der Prozesskontrolle | Auswirkungen |
Die MITRE ATT&CK Matrix: Taktiken und Techniken
Die MITRE ATT&CK-Wissensdatenbank entwickelt sich rasant zu einer der etabliertesten und am häufigsten zitierten Sicherheitsressourcen für Cybersicherheitsexperten. Sie wird häufig für SOC, CERT, CTI und Penetrationstests verwendet und in zahlreichen Veröffentlichungen zu Cyberbedrohungen zitiert.
Einer der Hauptvorteile dieses Frameworks besteht darin, dass Netzwerkexperten mit unterschiedlichem Hintergrund mithilfe einer gemeinsamen Sprache kommunizieren können, die auf einem regelmäßig aktualisierten und weiterentwickelten Repository mit Techniken, Taktiken und Verfahren (TTPs) basiert.
Taktiken sind die wichtigste Komponente des ATT&CK-Frameworks. Sie liefern die Begründung oder die technischen Ziele hinter einer Bedrohungstechnik. Dies sind die taktischen Ziele des Bedrohungsakteurs – sie erklären, warum der Angreifer eine bestimmte Angriffsaktion einleitet. Zu den von Angreifern verwendeten Taktiken können Aktionen wie „Entdecken“, „seitliche Bewegung“, „Dateien ausführen“ oder „im Netzwerk verbleiben“ gehören.
Die nach Taktiken kategorisierten MITRE ATT&CK-Techniken sind ein spezifischer Satz technischer Operationen, die Angreifer verwenden können, um ihre Ziele zu erreichen und das in der Taktik beschriebene Ziel zu erreichen.
Lesen Sie unsere ausführliche Erklärung zum MITRE ATT&CK-Framework.
MITRE Matrix-Anwendungsfälle
MITRE-Matrizen bilden eine Wissensbasis zum Verhalten von Angreifern. Alle Anwendungen der Matrix drehen sich um die Ausnutzung dieses Wissens. Matrizen können für folgende Zwecke verwendet werden:
- Penetrationstests– Cybersicherheitsforscher können die Informationen in der Matrix nutzen, um Angriffstechniken zu replizieren und zu interpretieren. Penetrationstester können dann mithilfe verfügbarer Tools bestimmte Techniken durchführen und feststellen, ob ein Unternehmen dafür anfällig ist.
- Red Team– Sicherheitsteams können die Matrix nutzen, um in einer Übung Angriffsmöglichkeiten auf das Unternehmen zu finden. So können Angriffe krimineller Gruppen simuliert, die von Unternehmen implementierten Abwehrmaßnahmen getestet oder andere Teams in Abwehrtechniken geschult werden. Die Matrix bietet zudem eine gemeinsame Sprache, die das Verständnis zwischen Unternehmen und Red Team bei der Planung von Maßnahmen mit möglichen Auswirkungen auf Produktionssysteme gewährleistet.
- Anomalieerkennung und Bedrohungssuche– Durch das Verstehen und Kodifizieren des Verhaltens anderer früherer Angriffe, Akteure oder Gruppen von Cyberkriminellen können Sicherheitstools und die Experten, die sie verwenden, bestimmte Indikatoren für eine Kompromittierung (IoCs) mit bekannten Exploits oder dem typischen Verhalten eines bestimmten Angreifers verknüpfen.
- Erstellen Sie Abwehrmaßnahmen– Durch die aus Angriffen gewonnenen Erkenntnisse können Sicherheitsteams ausgefeiltere Abwehrlösungen einsetzen, um mögliche Angriffe zu verhindern. Sicherheitstools wie Firewalls oder Intrusion Detection Systems (IDS) können Daten aus der MITRE Matrix direkt nutzen und diese verwenden, um bestimmte bösartige Aktivitäten zu blockieren.
Tipps vom Experten
Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.
Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, das MITRE ATT&CK-Framework besser zur Verbesserung Ihrer Sicherheitslage zu nutzen:
Wenden Sie ATT&CK auf Übungen zur Gegneremulation an
Verwenden Sie ATT&CK, um die Emulation von Gegnern oder Red-Team-Übungen zu strukturieren. Durch die Modellierung des Gegnerverhaltens können Sie Ihre Abwehrmaßnahmen gegen reale Angriffstechniken testen und so eine proaktive Sicherheitslage gewährleisten.
MITRE ATT&CK-Techniken auf vorhandene Sicherheitstools abbilden
Stellen Sie sicher, dass Ihre Sicherheitstools wie Firewalls, IDS und SIEMs auf bestimmte MITRE ATT&CK-Techniken abgestimmt sind. So können Sie das Verhalten von Angreifern während des gesamten Angriffszyklus erkennen, protokollieren und darauf reagieren.
Verwenden Sie ATT&CK für die funktionsübergreifende Kommunikation
Das ATT&CK-Framework bietet Sicherheitsteams eine gemeinsame Sprache. Nutzen Sie es, um die Bemühungen zwischen Red Teams, Blue Teams und Führungskräften abzustimmen und so für Klarheit bei der Kommunikation von Bedrohungen, Risiken oder Testergebnissen zu sorgen.
Entwickeln Sie eine anwendungsfallspezifische Bedrohungserkennung
Passen Sie Ihre Strategien zur Bedrohungserkennung an, indem Sie sich auf die relevantesten Techniken und Taktiken konzentrieren, die auf die Bedrohungslage Ihres Unternehmens abgestimmt sind. Wenn Ihr Unternehmen beispielsweise häufig Opfer von Phishing wird, sollten Sie Techniken rund um den Zugang zu Anmeldeinformationen und den Erstzugriff priorisieren.
Automatisieren Sie Erkennungsregeln basierend auf ATT&CK-Techniken
Verwenden Sie das ATT&CK-Framework, um automatisierte Regeln in Ihrem SIEM oder XDR zu erstellen und so bestimmte Angriffstechniken zu erkennen. Richten Sie beispielsweise Warnmeldungen für Lateral-Movement-Techniken wie „Remote Services (T1021)“ ein, um unbefugten internen Zugriff zu erkennen.
Die Beziehung von Exabeam zu MITRE ATT&CK
Sicherheitsforscher Exabeam nehmen an MITRE ATT&CK-Diskussionen und -Veranstaltungen teil. Sie haben außerdem mehrere neue Techniken beigesteuert, die kurz vor der Veröffentlichung stehen. Zudem haben Forscher umfangreiche Untersuchungen zur maschinenlernbasierten Anomalieerkennung durchgeführt, um MITRE ATT&CK effektiv in das Erkennungsarsenal von Sicherheitsanalysten zu integrieren. Exabeam wird MITRE ATT&CK ab 2019 in die Exabeam Sicherheitsmanagement Platform und Exabeam Cloud Security Services integrieren.
Mehr über Exabeam erfahren
Vertiefen Sie Ihr Wissen mit Webinaren, Leitfäden und Analystenberichten.
