Barracuda full logo

MITRE ATT@CK®: Was es ist und wie es die Security verbessert

Themen:
28. Jan.. 2022
|
Tony Burgess

Vielleicht haben Sie den Begriff „MITRE ATT@CK“ im Zusammenhang mit Cybersecurity schon einmal gehört oder gelesen und sich gefragt, worum es sich dabei handelt. Kurz gesagt handelt es sich um ein leistungsstarkes neues Framework zur Kategorisierung von Cyberangriffstaktiken und -methoden, um die Bewertung und Minderung von Risiken zu verbessern und die Kommunikation über Bedrohungen zu standardisieren.

Lassen Sie uns zunächst einen Blick auf die grundlegende Terminologie werfen. MITRE ist eine gemeinnützige Forschungsorganisation, die 1958 vom Massachusetts Institute of Technology (MIT) ausgegliedert wurde. Sie umfasst eine Reihe von Unterorganisationen, die staatliche Mittel für die Durchführung einer Vielzahl von Forschungs- und Entwicklungsprojekten erhalten. Der Name ist kurioserweise kein Akronym für MIT Research and Engineering oder Ähnliches; einer der Gründer hielt ihn einfach für einen einprägsamen Namen.

ATT@CK hingegen ist ein Akronym für „Adversarial tactics, techniques, and common knowledge“, also feindliche Taktiken, Methoden und gemeinsames Wissen. Es handelt sich dabei um eine öffentlich zugängliche Wissensdatenbank zu Taktiken und Methoden, die von Cyberkriminellen eingesetzt werden. Diese sind in drei Verzeichnissen angeordnet:


  • Enterprise ATT@CK – die von Angreifern ergriffenen Maßnahmen, um in Unternehmensnetze einzudringen und dort zu operieren

  • PRE-ATT@CK – die von Angreifern zur Vorbereitung eines Angriffs ergriffenen Maßnahmen, wie z. B. die Erkundung und die Auswahl von Einstiegspunkten

  • Mobile ATT@CK – eine Zusammenstellung von Angriffsmethoden und -taktiken, die gegen mobile Geräte eingesetzt werden


Lassen Sie uns etwas genauer auf die Terminologie eingehen. „Taktik“ bezieht sich auf übergeordnete Aktionen oder Ziele. Zurzeit enthält die Enterprise ATT@CK-Matrix 14 Taktiken:

  1. Erkundung

  2. Entwicklung von Ressourcen

  3. Erstzugang

  4. Ausführung

  5. Persistenz

  6. Rechte-Ausweitung

  7. Umgehung von Abwehr

  8. Zugriff auf Zugangsdaten

  9. Discovery

  10. Laterale Bewegungen

  11. Befehl und Kontrolle

  12. Sammlung

  13. Datenextraktion

  14. Auswirkungen


Jede dieser Taktiken ist wiederum mit einer Reihe von „Methoden“ verknüpft. In der Enterprise ATT@CK-Matrix wird beispielsweise Taktik 3, der Erstzugang, zurzeit mit neun Methoden in Verbindung gebracht, darunter Drive-by-Kompromittierung, Phishing, Lieferketten-Kompromittierung usw. Und mehrere dieser Methoden enthalten untergeordnete Methoden. Zu Phishing gehören beispielsweise drei untergeordnete Methoden (Spearphishing-Anhang, Spearphishing-Link und Spearphishing über Service). Zum Zeitpunkt der Verfassung dieses Artikels listet die Enterprise ATT@CK-Matrix 185 Methoden und 367  untergeordnete Methoden auf, aber MITRE fügt weitere hinzu, sobald sie entdeckt werden. Und jede Methode und untergeordnete Methode hat eine eindeutige numerische ID. Spearphishing Link hat beispielsweise die ID: T1566.002.

Zweck und Nutzen


Vor der Entwicklung von ATT@CK wurden Strategien und Technologien für Cybersecurity um das Ziel herum organisiert, Indikatoren für die Kompromittierung (IOC) zu ermitteln. Das heißt, das Ziel war, Signale und Ereignisse zu kategorisieren, die anzeigen, dass ein System oder ein Datenspeicher kompromittiert wurde.

Ein großer Nachteil dieses Ansatzes ist, dass er vor allem reaktiv ist – sobald man einen IOC entdeckt, ist der Angriff bereits in vollem Gange, wenn nicht sogar schon abgeschlossen. Angesichts der Vielfalt von Systemen und Technologien, die für Kompromittierung anfällig sind und der enormen Anzahl potenzieller Indikatoren, die auf eine Kompromittierung eines Systems hindeuten, ist die Führung eines zuverlässigen Katalogs von IOCs nicht praktikabel. Natürlich ist es immer noch wichtig, IOCs entdecken zu können, aber das ist nicht mehr das Hauptziel eines modernen Cybersecurity-Systems.

Der ATT@CK-Rahmen bietet dagegen eine viel besser zu verwaltende Liste von feindlichen Aktivitäten. Und durch die Konzentration auf die Erkennung von Methoden und Taktiken ist es wahrscheinlicher, dass Security-Systeme einen Angriff, der gerade stattfindet, identifizieren können, bevor Schaden verursacht wurde. Damit wird auch ein Framework zur Bewertung und Behebung der Schwachstellen einer Organisation gegenüber bestimmten Methoden im Vorfeld erstellt, um Risiken zu verringern.

Anwendung

Für IT-Security-Experten ist MITRE ATT@CK ein leistungsfähiges Tool mit zahlreichen praktischen Anwendungsmöglichkeiten. Bei der Durchführung von Tabletop-Übungen dient es als Leitfaden für die Erstellung spezifischer simulierter Angriffe und das Üben von Reaktionen darauf. Für Security-Audits und Risikobewertung ist es ein Framework, das die systematische Bewertung der Schwachstellen Ihrer Organisation gegenüber bestimmten Taktiken und Methoden vereinfacht.

Da es eine gemeinsame, klar definierte Terminologie bietet, kann es auch Unklarheiten bei der Kommunikation über Schwachstellen und Security-Funktionen beseitigen, zum Beispiel zwischen Security- und DevOps-Teams, zwischen Teams, die an Penetrationstests teilnehmen, und zwischen Käufern und Anbietern von Security-Lösungen.

Bei Barracuda ist MITRE ATT@CK ein Schlüsselinstrument für die Planung und Entwicklung neuer technologischer Fähigkeiten und für die Anpassung effektiver Lösungspakete an die spezifischen Kundenbedürfnisse. Darüber hinaus unterstützt es uns dabei, in Zusammenarbeit mit den Kunden ein gemeinsames Verständnis darüber zu entwickeln, wie Risiken und Schwachstellen zu betrachten und zu priorisieren sind und wie man sie am wirksamsten behandelt.

Video: Eingehende Behandlung der neuesten Erkenntnisse zu Sicherheitsbedrohungen und Trends

Tony Burgess

Der Veteran Tony Burgess ist seit zwanzig Jahren in der IT-Sicherheitsbranche tätig und Senior Copywriter von Barracuda für Content und Customer Marketing. In dieser Funktion beschäftigt er sich mit komplexen technischen Themen und fasst seine Erkenntnisse in verständlicher, nützlicher und von Menschen lesbarer Prosa zusammen.

Hier können Sie sich auf LinkedIn mit Tony vernetzen.

Verwandte Beiträge:
Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
 Zurück zur Schule, zurück zu Betrug
Zurück zur Schule, zurück zu Betrug
 Threat Spotlight: Geteilte und verschachtelte QR-Codes befeuern eine neue Generation von „Quishing“-Angriffen
Threat Spotlight: Geteilte und verschachtelte QR-Codes befeuern eine neue Generation von „Quishing“-Angriffen
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.