21.06.2021

Was ist das MITRE ATT&CK Framework?

MITRE_ATT&CK.jpg

Und wie kann ich MITRE ATT&CK für mein Unternehmen nutzen?

Wer entwickelt das MITRE ATT&CK Framework?

Hinter dem MITRE ATT&CK Framework steht die Non Profit Organisation MITRE. Mit der Erstellung von ATT&CK erfüllt MITRE seine Mission, Probleme für eine sicherere Welt zu lösen - indem es Gemeinschaften zusammenbringt, um effektivere Cybersicherheit zu entwickeln. ATT&CK ist offen und steht jeder Person oder Organisation zur kostenfreien Nutzung zur Verfügung.

Was ist das MITRE ATT&CK Framework?

ATT&CK steht für «Adversarial Tactics, Techniques & Common Knowledge». Hierbei handelt es sich um eine Wissensdatenbank über Techniken und Taktiken von Cyber-Angreifern, die auf realen Angriffen basieren. Die ATT&CK-Datenbank wird als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden im privaten Sektor, in der Regierung und in der Cybersicherheitsbranche verwendet.

Welche Taktiken sind im MITRE ATT&CK-Framework enthalten?

Taktiken wie auch Techniken werden von MITRE in verschiedene Matrizen (Modelle) unterteilt. Diese unterteilen sich in «Pre-ATT&CK», Enterprise, Mobile und ICS auf. In diesem Beitrag fokussieren wir uns auf die Matrize Enterprise.

Die Taktiken unterteilen sich in folgende Bereiche:

  • Reconnaissance (Aufklärung) - Der Angreifer versucht, Informationen zu sammeln, die er zur Planung zukünftiger Angriffe verwenden kann.
  • Ressource Development (Ressourcenentwicklung) - Der Angreifer versucht, Ressourcen aufzubauen, die er zur Unterstützung von Angriffen verwenden kann.
  • Intitial Access (Erster Zugriff) - Der Angreifer versucht, in Ihr Netzwerk einzudringen.
  • Execution (Ausführung des Angriffs) - Der Angreifer versucht, bösartigen Code auszuführen.
  • Persistence (Beständigkeit) - Der Angreifer versucht, seine Position im Netzwerk aufrechtzuerhalten.
  • Privilege Escalation (Ausweitung der Benutzerrechte des Angreifers) - Der Angreifer versucht, höhere Berechtigungen zu erlangen.
  • Defense Evasion (Entdeckungsumgehung) - Der Angreifer versucht, nicht entdeckt zu werden.
  • Credential Access (Zugriff auf Anmeldeinformationen) - Der Angreifer versucht, Kontonamen und Kennwörter zu stehlen.
  • Discovery (Entdeckung) - Der Angreifer versucht, Ihre Umgebung auszuspionieren.
  • Lateral Movement (Seitliche Bewegung) - Der Angreifer versucht, sich unentdeckt durch Ihre Umgebung zu bewegen. «Lateral» oder seitlich ist hier so zu verstehen, dass der Angreifer sich mit Benutzerrechten der gleichen Berechtigungsstufe durch ein Netzwerk bewegt. (Ein Benutzer hat nicht die gleichen Netzwerk-Rechte wie ein Administrator)
  • Collection (Sammeln von Daten) - Der Angreifer versucht, Daten zu sammeln, die für sein Ziel von Interesse sind.
  • Command and Control (wörtlich Steuerung und Kontrolle) - Der Angreifer versucht, mit kompromittierten Systemen zu kommunizieren, um sie zu kontrollieren.
  • Exfiltration (Datendiebstahl) - Der Angreifer versucht, Daten zu stehlen.
  • Impact (Auswirkung) - Der Angreifer versucht, Ihre Systeme und Daten zu manipulieren, zu stören oder zu zerstören.

Weitere Informationen zu den einzelnen Taktiken finden Sie hier.

Welche Techniken sind im ATT&CK-Framework enthalten?

Jede Taktik enthält eine Reihe von Techniken, die bei Angriffen und Kompromittierungen beobachtet wurden. Taktiken sind der "Wie"-Teil von ATT&CK: Wie eskalieren die Angreifer ihre Privilegien (Berechtigungen)? Wie stehlen die Angreifer Daten?

Da es zu jeder Taktik viele verschiedene Techniken gibt (insgesamt sind es über 300 Techniken), können wir diese hier nicht auflisten. Die Liste können Sie hier einsehen.  

Welche Vorteile bringt MITRE ATT&CK meinem Unternehmen?

Mit Hilfe des Frameworks, kann nachvollzogen werden, wie ein Angreifer sich Zugang zum eigenen Netzwerk verschaffen konnte und auf welche Art Daten gestohlen werden konnten. So können zukünftige Angriffe effizienter verhindert werden.  

Bedrohungsjäger (Threat Hunter) können das ATT&CK-Framework zudem präventiv nutzen, um nach bestimmten Techniken zu suchen, die Angreifer verwenden könnten, um in ein Netzwerk einzudringen.

Das Framework kann äusserst nützlich sein, um den Grad der Sichtbarkeit einer Umgebung gegen gezielte Angriffe von aussen mit den vorhandenen Tools zu messen, die auf den Endpunkten und am Perimeter einer Organisation eingesetzt werden.

Für welche Unternehmen eignet sich das MITRE ATT&CK Framework?

MITRE eignet sich grundsätzlich für alle Unternehmen und Branchen, spezielle Beachtung sollte ATT&CK aber von Unternehmen aus dem Bereich kritischer Infrastrukturen geschenkt werden. Auch Unternehmen, die besonders schützenswerte Daten verwalten, sollten sich bei der Erstellung Ihres Sicherheitskonzepts an MITRE orientieren.

Natürlich können die Informationen aus dem Framework auch für KMU’s von Nutzen sein, sofern sie eigene IT-Sicherheitsressourcen im Betrieb haben.

Es muss jedoch erwähnt werden, dass der Aufwand, die Erkenntnisse von MITRE auf die eigene Infrastruktur anzuwenden, besonders in der Startphase, relativ aufwändig ausfallen kann.

Gerne unterstützen wir Sie mit unseren Consulting-Services bei der Erstellung eines IT-Sicherheitskonzepts.

Fazit

MITRE hat mit der Bereitstellung von ATT&CK und den dazugehörigen Tools und Ressourcen einen wichtigen Beitrag für die Cyber Security Community geleistet. Da Angreifer immer mehr Wege finden, sich zu tarnen und der Erkennung durch herkömmliche Sicherheitstools zu entgehen, müssen IT-Security-Verantwortliche ihre Herangehensweise an die Erkennung und Verteidigung ändern. ATT&CK verschiebt unsere Wahrnehmung von Low-Level-Indikatoren wie IP-Adressen und Domainnamen hin zur Art und Weise, wie Cyber-Kriminelle Angriffe durchführen.

 

Wussten Sie, dass unser Hersteller Cybereason bei den MITRE ATT&CK-Evaluierungen 2020 eine 100%ige Abdeckung für die Prävention von Windows- und Linux-basierten Bedrohungen sowie die Erkennung aller 54 fortschrittlichen Angriffstechniken erreicht hat?

 

 

Quellen:

https://www.welivesecurity.com/deutsch/2019/09/03/mitre-att-ck-framework/

https://digitalguardian.com/blog/what-mitre-attck-framework

https://www.oneconsult.com/de/so-hilft-ihnen-das-mitre-attck-framework-ihr-unternehmen-sicherer-zu-machen/

https://www.anomali.com/resources/what-mitre-attck-is-and-how-it-is-useful

https://attack.mitre.org/

 

Die letzten Beiträge:

bw digitronik in Liquidation / wichtige Informationen für Kunden / important information for customers
Incident Response Retainer vs. Incident Support Service
Inside bw digitronik - Heute: Toby

bw digitronik ag | Uster West 30 | CH-8610 Uster
Telefon +41 44 905 48 48 | Fax +41 44 905 48 88 | Mail

Unsere verlässlichen Partner:

bw-digitronik – IT-Security Lösungen für die Schweiz

Anmelden

Datenschutz

powered by webpresso