Was ist das MITRE ATT&CK-Framework?

ATT&CK beschreibt detailliert das Verhalten und die Taxonomie gegnerischer Aktionen in den Lebenszyklen von Bedrohungen und verbessert Threat Intelligence, Security Operations und Sicherheitsarchitektur.

Das ATT&CK-Framework besteht aus zwei Teilen: ATT&CK for Enterprise, eine detaillierte KnowledgeBase, die das Verhalten gegenüber IT-Netzwerken und der Cloud in Unternehmen abdeckt, und ATT&CK for Mobile, das sich auf das Verhalten gegenüber mobilen Geräten konzentriert.

MITRE hat ATT&CK im Jahr 2013 ins Leben gerufen, um gängige Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, TTPs) zu dokumentieren, die Teil hochentwickelter hartnäckiger Bedrohungen (Advanced Persistent Threats, APTs) für Unternehmen sind. Es erfreut sich zunehmender Beliebtheit und wird von der Branche genutzt, um eine gemeinsame Taxonomie und ein Beziehungsmodell für Sicherheitsexperten und -forscher zum Verständnis und zur Abwehr sich entwickelnder Angriffsaktivitäten und gegnerischer Verhaltensweisen zu entwickeln.

Das Framework deckt vier Hauptthemen ab:

Gegnerische Verhaltensmuster

Typische Indikatoren wie IP-Adressen, Domänen, Registrierungsschlüssel, Datei-Hashes usw. können von Angreifern schnell geändert werden und sind nur für die Erkennung nützlich. Sie sind nicht repräsentativ dafür, wie Angreifer mit verschiedenen Systemen interagieren – sie weisen nur darauf hin, dass es zu einem bestimmten Zeitpunkt eine Interaktion mit einem System gegeben hat. Die Erkennung möglicher gegnerischer Verhaltensmuster hilft, die Untersuchungen auf Taktiken und Techniken zu konzentrieren, die weniger flüchtig oder unzuverlässig sind.

Untaugliche Lebenszyklusmodelle

Die Lebenszyklen von Angriffen und die Konzepte der Cyber Kill Chain sind zu allgemein, um Verhaltensweisen mit Verteidigungsmaßnahmen in Verbindung zu bringen – diese Ebene der Abstraktion war für die Zuordnung von TPPs zu neuen Sensoren nicht geeignet.

Anwendbarkeit in realen Umgebungen

TPPs müssen sich auf beobachtete Incidents und Kampagnen stützen, um zu belegen, dass die Maßnahmen anwendbar sind.

Gemeinsame Taxonomie

Die TTPs sollten für verschiedene Arten von Angreifergruppen vergleichbar sein. Das erfordert die Verwendung der gleichen Terminologie.

Das ATT&CK-Framework fungiert als Autorität für die Verhaltensweisen und Techniken, die Hacker gegen Unternehmen einsetzen. Es räumt Unklarheiten aus und definiert ein gemeinsames Vokabular für Branchenexperten. So können sie sich über die Bekämpfung von Angreifern und praktische Sicherheitsmaßnahmen austauschen und diese gemeinsam umsetzen.

ATT&CK geht über die Threat Intelligence und Tooling-Techniken, die bei opportunistischen und weniger zielgerichteten Angriffen nützlich sind, hinaus und liefert genauere Informationen. Die „Schmerzpyramide“ erklärt, wie das Framework andere heute übliche Indikatoren ergänzt.

Die „Schmerzpyramide“ ist eine Darstellung der Arten von Bedrohungsindikatoren (Indicators of Compromise, IoCs). Sie misst den potenziellen Nutzen von Bedrohungsdaten und konzentriert sich auf Incident-Reaktion und Threat Hunting.

Trivial – Hash-Werte

Ein Hash-Wert wird durch Algorithmen wie MD5 und SHA erzeugt und steht für eine bestimmte bösartige Datei. Hashes liefern spezifische Referenzen zu Malware und verdächtigen Dateien, die von Angreifern für das Eindringen verwendet werden.

Angreifer-Verhaltensweisen

Einfach – IP-Adresse

IP-Adressen sind einer der grundlegendsten Indikatoren für die Herkunft eines bösartigen Angriffs. Allerdings ist es möglich, über einen Proxy-Service eine andere IP-Adresse zu übernehmen und die Adresse häufig zu ändern.

Simpel – Domänennamen

Dabei kann es sich um einen Domänennamen oder sogar um eine Art von Subdomäne handeln, die registriert ist, bezahlt wurde oder gehostet wird. Allerdings gibt es zahlreiche DNS-Service-Provider, bei denen die Registrierungsstandards recht locker sind.

Lästig – Netzwerk-/Host-Artefakte

Netzwerkartefakte sind Teile von Aktivitäten, die einen bösartigen Benutzer identifizieren und von einem legitimen Benutzer unterscheiden können. Ein gängiges Beispiel sind URI-Muster oder C2-Informationen, die in Netzwerkprotokolle eingebettet sind.

Host-Artefakte sind Objekte, die durch schädliche Aktivitäten auf einem Host verursacht werden und bösartige Aktivitäten identifizieren und sie von legitimen Aktivitäten unterscheiden. Zu diesen Erkennungsmerkmalen gehören Registrierungsschlüssel oder Werte, die bekanntermaßen von Malware erstellt werden, oder Dateien/Verzeichnisse, die in bestimmten Bereichen abgelegt werden.

Herausfordernd – Tools

In der Regel handelt es sich bei Tools um Softwaretypen, die ein Angreifer gegen Sie einsetzt. Es kann sich auch um eine Reihe von Tools handeln, die verwendet werden, um mit vorhandenem Code oder Software zu interagieren. Zu den Tools gehören Dienstprogramme, die bösartige Dokumente für Spearphishing erstellen, Backdoors, die C2- oder Passwort-Cracker einrichten, oder andere Dienstprogramme, die Sie kompromittieren können.

Schwierig – TTPs

Taktik, Techniken und Verfahren stehen an der Spitze der Pyramide. Sie umfassen den gesamten Prozess der Ausführung eines Angriffs – von der Erkundungsphase bis hin zur Exfiltration der Daten und allem, was dazwischen liegt.

Die ATT&CK-Matrix ist eine Visualisierung der Beziehung zwischen Taktiken und Techniken. Taktiken sind eine übergeordnete Vorstellung davon, warum ein Angreifer eine Aktion durchführt, und Techniken sind die Aktionen, die er einsetzt, um die Taktik umzusetzen.

Was sind die Taktiken des ATT&CK-Frameworks?

Das Enterprise ATT&CK-Framework umfasst 14Taktiken– dies ist der „Warum“-Teil der Gleichung. Die Taktiken lassen sich wie folgt klassifizieren:

  • Aufklärung
  • Ressourcenentwicklung
  • Erster Zugriff
  • Ausführung
  • Persistenz
  • Berechtigungsausweitung
  • Umgehung der Verteidigung
  • Zugriff auf Anmeldeinformationen
  • Entdeckung
  • Bewegung im Netzwerk
  • Sammlung
  • Steuerung und Kontrolle
  • Exfiltration

Über welche Techniken verfügt das ATT&CK-Framework?

Jede Taktik besteht aus einer Reihe von Techniken, die von Malware oder Bedrohungsgruppen eingesetzt werden, um ein Ziel zu kompromittieren und ihre Pläne zu verwirklichen. Das ATT&CK-Framework besteht aus elf Taktiken, aber es gibt rund 300Techniken, die man kennen sollte.

Jede der Techniken in der Knowledge Base enthält kontextbezogene Informationen, z. B. die erforderlichen Berechtigungen, die Plattform, auf der die Technik üblicherweise eingesetzt wird, und Informationen darüber, wie die Befehle und Prozesse, in denen sie verwendet werden, erkannt werden können.

Threat Intelligence

Die Verteidigungsmaßnahmen werden auf Grundlage potenzieller Bedrohungen festgelegt. Außerdem werden die Techniken auf Grundlage gemeinsamer Merkmale von Gruppen und einer Lückenanalyse der aktuellen Abwehrmaßnahmen im Vergleich zu den üblichen Bedrohungen priorisiert.

Erkennung und Analyse

Purple Teaming, Datenquellen, Tests, benutzerdefinierte Analysen und OOB-Analysen.

MITRE ATT&CK-Anwendungsfälle

Angriffssimulation

Kommunikation mit dem blauen Team, unterschiedliche Verhaltensweisen des roten Teams, Emulation von Gegnern auf Grundlage von CTI und präzise Tests der Techniken.

Risikobewertungen und Sicherheitstechnik

Bewertung von Sicherheitslücken auf Grundlage der realen Nutzung und Festlegung von Prioritäten für Abwehrmaßnahmen und Investitionen, z. B. für einzelne Techniken, Schutzmaßnahmen und Zuverlässigkeit verschiedener Techniken.

Ein wichtiger Aspekt von ATT&CK ist die Einbeziehung von Informationen über Cyberbedrohungen (Cyber Threat Intelligence, CTI). ATT&CK dokumentiert das Verhalten von Angreifern auf Grundlage öffentlich zugänglicher Berichte und gibt Aufschluss darüber, welche Gruppen welche Techniken einsetzen. Normalerweise dokumentieren einzelne Berichte einen Incident oder eine einzelne Gruppe. ATT&CK konzentriert sich jedoch stärker auf eine Art von Aktivität und Technik und ordnet die Angreifer und Gruppen den Aktivitäten zu. So können sich Verantwortliche auf die Techniken mit dem höchsten Nutzen konzentrieren.

In der digitalen Welt von heute spielt die Fähigkeit Ihres Unternehmens, sich auf ein Sicherheitsevent vorzubereiten, es zu identifizieren, einzudämmen und die Folgen zu beseitigen, eine entscheidende Rolle für Ihren Erfolg. Daher kann die Security Incident Response, ergänzt durch MITRE ATT&CK, dazu beitragen, dass Ihr Unternehmen vorbereitet ist und Zugang zu Ressourcen für die Entwicklung moderner Bedrohungsmodelle und Methoden gegen Cyberangriffe hat.

Mit dem MITRE ATT&CK-Framework können Ihre Sicherheitsteams die Analyse von Incidents und die Reaktion darauf verbessern, sobald sie auftreten. Sie können Indikatoren für eine Gefährdung genau identifizieren und spezifische Bedrohungen priorisieren. Sie können automatisierte Workflows verbessern, indem sie wesentliche Taktiken und andere Ressourcen aus dem ATT&CKPlaybook nutzen.

Setzen Sie Security Incident Response ein

MITRE ATT&CK stärkt Unternehmen über das Threat-Intelligence- und das SIR-Modul, verbessert Ihre Reaktion auf Incidents und schützt wertvolle Assets.