Was sind TTPs und wie kann ihr Verständnis dazu beitragen, den nächsten Vorfall zu verhindern?

Was sind Taktiken, Techniken und Verfahren (TTPs)?

TTP-Analysen können Sicherheitsteams dabei helfen, Angriffe zu erkennen und abzuwehren, indem sie die Vorgehensweise der Bedrohungsakteure verstehen. Im Folgenden definieren wir die drei Elemente von TTPs: Taktiken, Techniken und Verfahren.

Taktik

Im Allgemeinen handelt es sich bei Taktiken um Aktivitäten, die Cyberkriminelle nutzen, um einen Angriff auszuführen. Dazu gehören beispielsweise der unbefugte Zugriff auf vertrauliche Daten, die laterale Bewegung innerhalb eines Netzwerks oder die Gefährdung einer Website.

Techniken

Skills sind allgemeine Methoden, die Angreifer nutzen, um ihre Ziele zu erreichen. Wenn das Ziel beispielsweise darin besteht, eine Website zu kompromittieren, könnte die Technik SQL-Injection sein. Jede Taktik kann mehrere Techniken umfassen.

Prozeduren

Ein Verfahren ist eine bestimmte Abfolge von Schritten, mit denen Cyberkriminelle einen Angriff durchführen können. Im Beispiel einer SQL-Injection könnte das Verfahren beispielsweise das Scannen der Zielwebsite auf Schwachstellen, das Schreiben einer SQL-Abfrage mit Schadcode und das Senden dieser Abfrage an ein ungesichertes Formular auf der Website umfassen, um die Kontrolle über den Server zu erlangen.

Wie können Sie TTP-Analysen zur Abwehr von Cyberkriminalität nutzen?

Das Verständnis der verschiedenen TTP-Kombinationen ist eine gute Möglichkeit, Cyberkriminalität zu bekämpfen. Folgen Sie einfach den detaillierten Anweisungen verschiedener Forschungsinstitute, die Ihnen helfen können, eine Antwort basierend auf automatisierten Aktionen und menschlicher Überprüfung zu entwickeln.

Die MITRE ATT&CK Matrix unterstützt Cybersicherheitsteams beispielsweise dabei, TTPs zu identifizieren und zu bekämpfen. Sie definiert, wie Sicherheitsmitarbeiter die Aktivitäten in IT-Systemen kontinuierlich überwachen, ungewöhnliches Verhalten im Zusammenhang mit einem bekannten TTP erkennen und stoppen können, bevor es zu einem umfassenden Angriff kommt. Die MITRE ATT&CK Matrix kann sowohl bei der Erkennung tatsächlicher Eindringlinge als auch bei der Identifizierung von Akteuren hilfreich sein, die sich in der Planungs- oder Aufklärungsphase eines Angriffs befinden.

Es gibt weitere Initiativen, die beim Umgang mit neuen TTPs helfen können:

• Open Web Application Security Project (OWASP)– bietet offene Forschungsergebnisse zu häufigen Sicherheitslücken in Webanwendungen und Best Practices zu deren Behebung.
• Cyber Threat Alliance (CTA)– eine Vereinbarung zwischen einer großen Anzahl von Unternehmen, die ihr Wissen zur Cybersicherheit teilen, um eine sicherere Umgebung für alle zu schaffen.

Gleichzeitig können Technologien wie User and Entity Behavior Analytics (UEBA) und Threat Intelligence die Daten dieser Forschungseinrichtungen ergänzen. Sie können Verhaltensanalysen nutzen, um anomales Verhalten zu identifizieren, und Threat Intelligence-Feeds liefern eine große Anzahl bekannter Angriffsmuster und Bedrohungsakteure, die zur Identifizierung von TTPs im Netzwerkverkehr verwendet werden können.

Bei TTPs handelt es sich im Wesentlichen um „Hacking-Aktivitäten“, daher ist UEBA, das die Aktivität durch die Linse normalen Verhaltens betrachtet, eine natürliche Ergänzung.

Da Cyberkriminelle ihre TTPs ständig aktualisieren und neue entwickeln, müssen Sicherheitslösungen die neuen Techniken schnell erkennen und sich an sie anpassen. Daten über TTPs sind für die tägliche Arbeit in einem Security Operations Center (SOC) von entscheidender Bedeutung und helfen Sicherheitsanalysten, Angreifern immer einen Schritt voraus zu sein.

TTPs mit Verhaltensanalysen erkennen

Mithilfe der TTP-Analyse können Analysten nachvollziehen, wie ein Angriff stattgefunden hat. Es kann jedoch schwierig sein, festzustellen, ob die digitalen Beweise, die mit einem TTP übereinstimmen, tatsächlich auf böswillige Aktivitäten zurückzuführen sind oder lediglich eine normale Aktion von Benutzern im Netzwerk darstellen.

Analysten wissen beispielsweise genau, wie Angreifer die Kontoerstellung, Bildschirmfreigabe und den Remote-Desktop-Zugriff zu böswilligen Zwecken missbrauchen können. Dabei handelt es sich jedoch um Routineaufgaben, die von IT-Abteilungen in Unternehmen täglich mit legitimer Absicht ausgeführt werden.

Die den SOC-Analysten zur Verfügung stehenden Tools müssen in der Lage sein, zwischen normaler und böswilliger Kontoerstellung zu unterscheiden – und nur dann einen Alarm auszulösen, wenn die Aktivität böswillig zu sein scheint. Andernfalls führt die Lösung zu einer großen Anzahl von Fehlalarmen und überlastet die Sicherheitsteams.

Die Verhaltensanalyse nutzt maschinelles Lernen, um das Verhalten aller Benutzer und Assets zu überwachen und zu verstehen. Sie legt eine Verhaltensbasis fest und identifiziert Abweichungen von der üblichen Aktivität, um bösartige TTPs präzise zu erkennen.

Ein Beispiel für eine Verhaltensanalyse zur Identifizierung von TTPs

Exabeam bietet eine SIEM-Plattform (Security Information and Event Management) der nächsten Generation mit Funktionen zur Analyse des Benutzer- und Entitätsverhaltens (User and Entity Behavior Analytics, UEBA). Die UEBA von Exabeam nutzt die im MITRE ATT&CK-Framework definierten TTPs, um Aktivitäten zu identifizieren, die auf einen Angriff hindeuten könnten. Sie kann zwischen normalem und anomalem Verhalten unterscheiden und erleichtert Sicherheitsanalysten so die Erkennung von Bedrohungen.

Stellen Sie sich einen Angreifer vor, der sich bei einem Dienst anmeldet, der Remote-Verbindungen ermöglicht, wie etwa Telnet, SSH und VNC. Angreifer nutzen diesen Vektor typischerweise, um in das Netzwerk einzudringen und sich dann lateral zu bewegen, um wertvolle Assets anzugreifen.

Diese Methode ist ein TTP, das im MITRE ATT&CK-Framework als „Remote Services“ definiert ist. Bestehende SOC-Tools verwenden statische Korrelationsregeln zur TTP-Erkennung. Die statische Korrelationsregel kann die normalen Betriebsbedingungen, die mit einer Remote-Verbindung verbunden sein können, nicht bestimmen, daher alle Remote-Verbindungen, die durch die Regel ausgelöst werden.

Infolgedessen kann diese Regel eine große Anzahl falscher Positivmeldungen generieren, sodass Analysten die von der Regel generierten Warnungen ignorieren. Durch die Kombination MITRE ATT&CK-Informationen mit Benutzer- und Verhaltensanalysen können sich Analysten jedoch auf anomale Verhaltensweisen konzentrieren, die in ihrer Umgebung auftreten und mit größerer Wahrscheinlichkeit eine echte Bedrohung darstellen.

Integrierte SIEM- und UEBA-Lösung

Um in Ihrem Netzwerk gefundene TTPs zu identifizieren und abzuwehren, müssen Sie unternehmensweite Daten aggregieren und einer Verhaltensanalyse unterziehen, die Anomalien im Vergleich zum normalen Verhalten von Systemen und Benutzerkonten erkennen kann.

Dies lässt sich durch eine integrierte SIEM- und UEBA-Lösung erreichen. Im Feld werden mehrere Systeme eingesetzt, die die Datenvielfalt eines SIEM mit den umfassenden Analysefunktionen modernster UEBA-Engines kombinieren.

Ein Beispiel für ein integriertes System ist Exabeam SOC Platform. Exabeam ist eine vollständige SIEM-Lösung, die auf moderner Data-Lake-Technologie basiert. Darüber hinaus bietet sie die folgenden UEBA-Funktionen:

• Vorfallerkennung basierend auf Verhaltensanalysen–Exabeam nutzt erweiterte Analysen, um abnormale und riskante Aktivitäten ohne vordefinierte Korrelationsregeln oder Bedrohungsmuster zu identifizieren. Es liefert aussagekräftige Warnungen ohne aufwändige Einrichtung und Feinabstimmung und mit weniger Fehlalarmen.
• Automatische Zeitleistenerstellung für Sicherheitsvorfälle–Exabeam fasst verwandte Sicherheitsereignisse in einer Zeitleiste zusammen, die einen Sicherheitsvorfall über mehrere Benutzer, IP-Adressen und IT-Systeme hinweg anzeigt.
• Dynamische Peer-Gruppierung–Exabeam führt nicht nur eine Verhaltens-Baselining einzelner Entitäten durch, sondern gruppiert auch dynamisch ähnliche Entitäten (z. B. Benutzer aus derselben Abteilung oder IoT-Geräte derselben Klasse), um das normale kollektive Verhalten der gesamten Gruppe zu analysieren und Personen zu erkennen, die riskantes Verhalten zeigen.
• Laterale Bewegungserkennung–Exabeam erkennt Angreifer, die sich mit unterschiedlichen IP-Adressen, Anmeldeinformationen und Maschinen durch ein Netzwerk bewegen und auf der Suche nach sensiblen Daten oder wichtigen Assets sind. Es verknüpft Daten aus mehreren Quellen, um die Zusammenhänge zu erkennen und die Reise des Angreifers durch das Netzwerk zu verfolgen.