Mitre ATT&CK Framework

Anwendungsfälle für das MITRE ATT&CK Framework

Zwei breite Anwendungsbereiche für das Framework sind Penetrationstests und die Bewertung von Cybersicherheitsdiensten. Bei Pentests setzen Unternehmen ein Red Team ein - ähnlich wie Mitre in seinem Forschungsprojekt Fort Meade eXperiment (FMX) -, um Verhalten zu simulieren und Schwachstellen zu finden. Pentester können mit Mitre lernen, wie sie Verhaltensweisen genau simulieren können, um schließlich präzise Abwehrmaßnahmen zu entwickeln.

Auch Anbieter von Security-Produkten können die Bewertungen von Mitre nutzen, um die Qualität ihrer Produkte und Dienstleistungen zu ermitteln. Die Bewertungen bieten objektive Einblicke in die Nutzung spezifischer kommerzieller Sicherheitsprodukte, bieten eine transparente Analyse der Fähigkeiten eines bestimmten Produkts. Die Informationen stärken die Cybersicherheitsgemeinschaft als Ganzes, indem sie Anbieter dabei unterstützen, die Produkte entwickeln, die für die Sicherheit der Kunden in vielen Branchen verantwortlich sind.

Zu den weiteren Anwendungsfällen gehören die Bewertung von Sicherheitslücken, die Beurteilung des Reifegrads von Sicherheitsabläufen, die Analyse des Benutzer- und Unternehmensverhaltens sowie die Erkennung von Bedrohungen und Bedrohungsdaten. Die Anwendungsfälle von Mitre ATT&CK werden ständig weiterentwickelt.

Vorteile des Mitre ATT&CK Frameworks

Zu den allgemeinen Vorteilen des Frameworks gehören die folgenden:

• Eine konkretere Darstellung der Verhaltensweisen von Angreifern.
• Ein Überblick nicht nur über Bedrohungsindikatoren, sondern auch über Bedrohungsgruppen. Unternehmen können mit Mitre nicht nur Verhaltensweisen erkennen, sondern auch fundierte Vermutungen darüber anstellen, wer sie ausführt, und Verhaltensweisen über verschiedene Angreifergruppen hinweg verfolgen. Die Attacken-Seite bietet gruppenbezogene Informationen.
• In vielen Branchen eingesetzt und anerkannt, mit branchenspezifischen Informationen zu Bedrohungen.
• Verfolgt einen einheitlichen Ansatz bei der Meldung von Bedrohungen, der sicherstellt, dass die Informationen aktuell sind und sowohl von der Öffentlichkeit als auch von Mitre überprüft werden.

Mit Hilfe dieses Frameworks kann ein Unternehmen Folgendes tun:

• das Angriffsverhalten verschiedenen Gruppen zuzuordnen;
• sein Netzwerk einem Pentest zu unterziehen;
• Schwachstellen in seinem Netz zu finden und ATT&CK-Methoden den Bedrohungen zuzuordnen;
• Netzwerkfehlkonfigurationen zu entdecken;
• ihr Wissen im Bereich der Cybersicherheit mit der breiteren Öffentlichkeit zu teilen und
• Standardisierung unterschiedlicher Sicherheitstools und -techniken, um eine kohärentere Sicherheitsstrategie zu schaffen.

Wie das Mitre ATT&CK Framework angewendet wird

Es gibt eine Reihe von Möglichkeiten, wie ein Unternehmen seine Cybersicherheitsstrategien mit Mitre ATT&CK stärken kann:

• Anhand der Bedrohungsmatrix über die Taktiken und Techniken der Angreifer informiert bleiben.
• Strategien zur Schadensbegrenzung nach einem Angriff lernen.
• Erfahren, wie man ein Netzwerk vor einem Angriff vorbereitet.
• Beobachtungen teilen, um das Verständnis der Gemeinschaft insgesamt zu verbessern.
• Security-Produkte und -dienstleistungen mithilfe der verschiedenen nicht wettbewerbsorientierten Evaluierungsmethoden von Mitre bewerten. Diese Funktion ist hauptsächlich für Anbieter von Cybersicherheitsprodukten gedacht.

Alle diese Ressourcen sind auf der ATT&CK-Website frei verfügbar. Weitere Informationen erhalten Unternehmen, wenn sie sich direkt an Mitre wenden.

Taktiken und Techniken

Taktik und Technik sind zwei verschiedene Arten, wie Mitre das Verhalten von Angreifern kategorisiert. Nach der Definition von Mitre beschreibt eine Technik, wie die Angreifer ihr Ziel erreichen und manchmal auch, was sie aus dem Erreichen dieses Ziels gewinnen. Eine Taktik beschreibt das Ziel beziehungsweise den Grund für die Durchführung des Angriffs. Um ein taktisches Ziel zu erreichen, können mehrere Techniken eingesetzt werden.

ATT&CK Enterprise Matrix

Die ATT&CK Enterprise Matrix ist eine Visualisierung der Beziehung zwischen Angreifertaktiken und Angreifertechniken. Es handelt sich im Wesentlichen um eine große Tabelle oder Matrix, die auf der Mitre-ATT&CK-Website verfügbar ist. Jede Taktik oder Technik ist anklickbar und führt zu detaillierteren Erklärungen des Begriffs. Mit Hilfe dieser Matrix kann ein Unternehmen dank der von Mitre verwendeten einheitlichen Terminologie zur Kategorisierung von Bedrohungen genau das Verhalten des Angreifers bestimmen, über das es zu Verteidigungszwecken mehr erfahren möchte.

Da mehrere Techniken eingesetzt werden können, um ein bestimmtes Ergebnis zu erzielen, enthält die Enterprise Matrix mehrere Techniken in jeder Taktikkategorie. Die Taktiken sind auf der x-Achse und die Techniken auf der y-Achse aufgeführt.

Eine Beispielkombination ist die folgende:

• Taktik = Erstzugang (Initial Access). Das Ziel des Angreifers bei dieser Taktik ist es, Zugang zum Netzwerk zu erhalten.
• Techniken = Drive-by-Kompromittierung, Spear-Phishing-Link und vertrauenswürdige Beziehung, um nur einige zu nennen. Die Matrix listet alle bekannten Möglichkeiten auf, wie sich ein Angreifer einen ersten Zugang verschaffen kann.

Der Benutzer kann auf eine der Techniken unter der Kategorie „Initial Access“ klicken, um zu erfahren, wie ein Angreifer die einzelnen Techniken einsetzen würde, um einen Erstzugang zu erhalten.

Die Geschichte von Mitre ATT&CK

ATT&CK wurde 2013 von Mitre ins Leben gerufen, um gängige Taktiken, Techniken und Verfahren zu dokumentieren, die fortschrittliche, hartnäckige Bedrohungen gegen Windows-Unternehmensnetzwerke einsetzen. Es begann als Versuch, diese Daten für ein Forschungsprojekt zur Erkennung von Bedrohungen in Unternehmensnetzwerken nach dem Einbruch zu sammeln.

Das FMX-Projekt umfasste die genaue Beobachtung von über 200 Hosts in einem streng überwachten Netzwerksegment. Mitre führte in diesem Netzwerk Red-Team-Operationen durch, das heißt, es wurden Teams eingesetzt, die sich wie Angreifer verhielten und bekannte Techniken zum Eindringen in das Netzwerk verwendeten. Ein blaues Team versuchte dann, diese simulierten Angriffe zu erkennen und zu entschärfen.

Durch die Simulation der gesamten Cybersicherheitslandschaft sowohl aus der Sicht des Angreifers als auch des Verteidigers konnte Mitre mehrere wichtige Erkenntnisse formulieren, die als Grundlage für das ATT&CK-Framework dienen sollten. Diese Erkenntnisse waren die folgenden:

• Die Konzentration auf das Verhalten von Angreifern ermöglicht es Mitre, Verhaltensanalysen und bessere Abwehrtechniken zu entwickeln.
• Viele bestehende Lebenszyklusmodelle für die Cybersicherheit waren zu abstrakt und nicht in der Lage, neue Bedrohungen effizient zu erkennen.
• Um zu funktionieren, müssen Verhalten und Taktik der Bedrohung auf realen Beobachtungen des gegnerischen Verhaltens in der Vergangenheit beruhen.
• Die Terminologie zur Beschreibung der Taktiken muss für die verschiedenen gegnerischen Gruppen einheitlich sein, damit die Unternehmen sie vergleichen und gegenüberstellen können.

Durch die Anwendung dieser Prinzipien in einer kontrollierten Forschungsumgebung konnte Mitre nachweisen, dass ihre Befolgung die Fähigkeiten zur Erkennung von Bedrohungen in der Netzwerkabwehr messbar verbessert.

Angesichts des Erfolgs des Projekts beschloss Mitre im Jahr 2015, das Framework für die Öffentlichkeit freizugeben. Seitdem wurde das Framework erweitert und umfasst nun auch Bedrohungen für Mac OS X, Linux und Mobilgeräte-Betriebssysteme.