Das Mitre ATT&CK-Framework ist eine weltweit anerkannte Wissensbasis, die die Taktiken, Techniken und Verfahren kategorisiert und beschreibt, die Angreifer einsetzen, um Systeme, Netzwerke und Daten zu kompromittieren. Es bietet eine gemeinsame Sprache und Struktur, um Sicherheitsteams dabei zu helfen, das Verhalten von Angreifern zu verstehen und zu analysieren, damit sie Bedrohungen besser erkennen, verhindern und darauf reagieren können.

Die Verwendung des Frameworks ermöglicht es Sicherheitsexperten, einschließlich Incident Response Teams, Red Teams, SOC-Teams (Security Operations Center), Threat Hunter, Threat-Intelligence-Analysten und Risikomanagement-Teams, Systeme und Prozesse zu testen und die Netzwerkverteidigungsmaßnahmen zu verbessern.

Trotz seiner Nützlichkeit erweist sich die Umsetzung des Frameworks manchmal als schwierig. Organisationen, darunter The Mitre Corporation, haben Tools entwickelt, die das Framework ergänzen und seine Anwendbarkeit verbessern.

Im Folgenden werden fünf Open-Source-Tools für das Mitre ATT&CK Framework vorgestellt, die das Framework zur gezielten Abwehr von Angreifern nutzen.

Anmerkung der Redaktion: Diese nicht bewertete Liste von Tools basiert auf den gründlichen Recherchen des Autors und seinen Kenntnissen der Branche aus erster Hand.

2. CISA Decider

Decider wurde von der CISA in Zusammenarbeit mit dem Homeland Security Systems Engineering and Development Institute und Mitre entwickelt und ist eine Webanwendung für die Zuordnung von Angreifertechniken zum ATT&CK-Framework. Die CISA hat Decider so konzipiert, dass es mit anderen Tools zusammenarbeitet; so ermöglicht es Sicherheitsexperten beispielsweise, die Daten und Ergebnisse des ATT&CK Navigators zu visualisieren.

Decider stellt eine Reihe von Fragen, die Sicherheitsexperten dabei helfen, die TTPs der Angreifer dem ATT&CK-Framework zuzuordnen. Sicherheitsteams können dann Analysen und Daten zur Erkennung von Angriffstechniken sammeln, Angriffsabwehrmaßnahmen erstellen und Bedrohungsabwehrpläne entwickeln. Decider enthält eine Suchfunktion für den Fall, dass die gestellten Fragen nicht die richtige Technik im Arbeitsablauf ergeben oder wenn der Benutzer zu einer bestimmten Technik oder Untertechnik springen möchte.