Was ist MITRE ATT&CK?

Es wird oft gesagt, dass man zum Schutz vor Cyberangriffen wie ein Cyberangreifer denken muss. Aber wie denken die Cyberangreifer eigentlich? Hier ist das MITRE ATT&CK-Tool von großem Nutzen.

MITRE ATT&CK ist eine Art gegnerbasiertes Framework - ein Framework, das Sicherheitsteams helfen soll zu verstehen, wie Angriffe verübt werden, indem sie aus der Sicht eines Cyberkriminellen beschrieben werden. Angreifer-basierte Frameworks helfen Sicherheitsteams, die Situation während des gesamten Lebenszyklus eines Angriffs aus der Sicht des "Bösewichts" zu erfassen und dann Daten aus ihrer eigenen E-Mail-Sicherheit, Netzwerküberwachung und anderen Tools anzuwenden, um Bedrohungsmodelle und Cybersicherheitsmethoden zu entwickeln. 

Wie im Bericht von Mimecast State of Email Security 2022 (SOES) berichtet, war 2021 das schlechteste Jahr in Bezug auf die Cybersicherheit mit durchschnittlichen Kosten von mehr als 4 Millionen US-Dollar für eine Datenverletzung. Unternehmen können das MITRE ATT&CK-Framework nutzen, um sicherzustellen, dass sie die richtigen Schutzmaßnahmen ergriffen haben - seien es Menschen, Technologien oder Prozesse. 

MITRE ATT&CK: Das Innere der Matrix

Das Akronym ATT&CK in MITRE ATT&CK steht für "adversarial tactics, techniques, and common knowledge". Die MITRE ATT&CK-Wissensdatenbank macht ihrem Namen alle Ehre, indem sie die Schritte, die APT-Gruppen (Advanced Persistent Threats) bei der Durchführung von Cyberangriffen unternehmen, anhand von Beobachtungen aus der Praxis detailliert aufschlüsselt. 

MITRE, eine gemeinnützige Organisation, die nationale Sicherheitslösungen für US-Regierungsbehörden entwickelt, veröffentlichte 2013 das ATT&CK Framework. Es handelt sich um ein offenes, kostenloses und weltweit zugängliches Framework, das die selbst beschriebene Mission von MITRE erfüllt, "Probleme für eine sicherere Welt zu lösen, indem Gemeinschaften zusammengebracht werden, um eine effektivere Cybersicherheit zu entwickeln".[1] 

Das MITRE ATT&CK-Modell ist als Matrix aufgebaut, wobei angepasste Matrizen für Windows, MacOS, Linux, PRE, Azure AD, Office 365, Google Workspace, SaaS, IaaS, Netzwerke und Container verfügbar sind. Jede umfassende Matrix umfasst Taktiken, Techniken und Verfahren für alle Phasen eines Angriffs, von der Aufklärung bis zur Wirkung. 

• Taktik beschreibt das "Warum" eines Angriffs: die Gründe, warum ein Cyberkrimineller eine bestimmte Aktion durchführen würde. Ein Cyberkrimineller führt zum Beispiel Aufklärungsarbeit durch, um Informationen zu sammeln, die für künftige Operationen genutzt werden können. Die MITRE ATT&CK-Matrix spezifiziert Taktiken für Unternehmen, mobile und industrielle Kontrollsysteme (ICS). 
• Die Techniken erklären die allgemeinen Vorgehensweisen bei einem Angriff. Die Techniken, die auch nach Unternehmen, mobilen Geräten und ICS kategorisiert sind, beschreiben die Aktionen, die ein Angreifer durchführen kann, um ein taktisches Ziel zu erreichen. Die Matrix enthält auch Untertechniken. So enthält die Matrix beispielsweise 10 Aufklärungsmethoden, einschließlich des aktiven Scannens, bei dem Angreifer Informationen sammeln, die sie zum Anvisieren von Opfern verwenden können. Unter der Technik des aktiven Scannens beschreibt die Matrix Untertechniken, wie z. B. das Scannen von Schwachstellen (Durchsicht von Anwendungskonfigurationen, um festzustellen, ob diese mit verfügbaren Exploits übereinstimmen).
• Unter werden die Verfahren beschrieben, mit denen Cyberkriminelle Techniken und Untertechniken einsetzen, und es werden spezifische Tools und Malware sowie die Gruppen genannt, die sie eingesetzt haben. In der Matrix ist unter der Teiltechnik des Schwachstellen-Scannens beispielsweise vermerkt, dass die in China ansässige Bedrohungsgruppe Aquatic Panda öffentlich zugängliche DNS-Protokollierungsdienste verwendet hat, um Server zu identifizieren, die für Log4j-Exploits anfällig sind.[2]

MITRE ATT&CK vs. Cyber Kill Chain

MITRE ATT&CK ist nicht das einzige gegnerische System auf dem Markt. Das 2011 eingeführte Lockheed Martin Cyber Kill Chain Framework beschreibt die sieben Phasen eines Angriffs, während das MITRE ATT&CK Framework 14 Taktiken zusammen mit Techniken, Untertechniken und Verfahren umfasst.[3]

Der vom SANS-Institute zertifizierte Ausbilder Jorge Orchilles merkte in einem Blog an, dass das übergeordnete Cyber-Kill-Chain-Modell nützlich sein kann, wenn man mit Nicht-Sicherheitsexperten darüber spricht, wie es zu einem bestimmten Angriff kam, aber nicht so umfassend ist wie MITRE ATT&CK.[4] Er fügte hinzu, dass MITRE ATT&CK der "derzeitige Industriestandard und der am häufigsten verwendete Rahmen für das Verständnis und die Kommunikation der Funktionsweise von Angriffen" ist. 

Wie kann das MITRE ATT&CK Framework einem Unternehmen helfen?

Der Hauptzweck des MITRE ATT&CK-Frameworks besteht darin, Unternehmen bei der Entwicklung von Bedrohungsmodellen und -methoden zu unterstützen, aber es bietet noch weitere Vorteile. Unternehmen können das Modell nutzen, um:

• Identifizierung von Sicherheitslücken. Mit diesem Wissen über das Wie und Warum von Angriffen können Unternehmen feststellen, ob sie über die richtigen Mitarbeiter, Produkte und Prozesse verfügen, um Angriffe abzuwehren oder sogar zu verhindern. Da Spear-Phishing eine Technik ist, die Angreifer nutzen, um sich Zugang zu Systemen zu verschaffen, sollten Unternehmen sicherstellen, dass sie über geeignete Schutzmaßnahmen verfügen, wie z. B. ein sicheres E-Mail-Gateway .
• Informieren Sie sich über Schulungen zur Cybersicherheit. Die Erkenntnisse aus den ATT&CK-Matrizen helfen Unternehmen, ihre laufenden Initiativen zur Sensibilisierung für Cybersicherheit zu verfeinern, da Cyberkriminelle ihre Methoden weiterentwickeln. Das Security Awareness Training von Mimecast ist auch auf das MITRE ATT&CK-Framework abgestimmt, um das Benutzerrisiko auf der Grundlage realer Angriffe zu messen. 
• Verbesserung von Penetrationstests und Bedrohungssuche. Das ATT&CK-Framework bietet ein besseres Verständnis der Bedrohungslandschaft, das Pen-Tester und Bedrohungsjäger nutzen können, um Angriffe zu simulieren oder zu antizipieren. 
• Bleiben Sie auf dem Laufenden. Das Framework liefert aktuelle Informationen über Bedrohungsakteure, Tools und Ziele, die Unternehmen dabei helfen können, spezifische Schwachstellen zu identifizieren.

Bewährte Praktiken für die Verwendung von MITRE ATT&CK

Da der MITRE ATT&CK-Rahmen so umfassend ist, kann er einschüchternd wirken. Es gibt jedoch Ressourcen, die dabei helfen, den MITRE ATT&CK-Rahmen möglichst effektiv und effizient zu nutzen.

• MITRE bietet einen Leitfaden für Erstanwender des Frameworks.[5] 
• Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) bietet Best Practices für die Zuordnung von gegnerischem Verhalten zu MITRE ATT&CK-Techniken.[6]
• Der ATT&CK Navigator von MITRE ist ein webbasiertes Tool zur Kommentierung und Erkundung spezifischer Taktiken und Techniken.[7]

Die Quintessenz

Das MITRE ATT&CK-Framework ermöglicht es Organisationen des privaten und öffentlichen Sektors über alle Branchen und Unternehmensgrößen hinweg zu verstehen, wie und warum Angriffe aus der Sicht des Angreifers verübt werden. Unternehmen können das Framework nutzen, um ihre eigenen Cyberbedrohungsdaten mit dem realen Angriffsverhalten abzugleichen, Lücken in der Sicherheitsabdeckung zu identifizieren und die Sicherheitsstrategie und -tools an die aktuelle Bedrohungslage anzupassen. Besuchen Sie Mimecast's Threat Intelligence Hub, der auch MITRE ATT&CK unter den vielen Threat Intelligence-Tools enthält, mit denen Kunden Cyberangriffskampagnen analysieren, sich entwickelnde Bedrohungslandschaften überwachen und die Cybersicherheitsabwehr verbessern können.

[1] "MITRE ATT&CK," MITRE

[2] "MITRE ATT&CK Active Scanning: Schwachstellen-Scanning," MITRE

[3] "Cyber Kill Chain," Lockheed Martin

[4] "Cyber Kill Chain, MITRE ATT&CK und Purple Team," SANS Institute

[5] "Erste Schritte mit ATT&CK," MITRE

[6] "Best Practices for MITRE ATT&CK Mapping," CISA

[7] "MITRE ATT&CK Navigator," MITRE