
MITRE ATT@CK®: Was es ist und wie es die Security verbessert
Vielleicht haben Sie den Begriff „MITRE ATT@CK“ im Zusammenhang mit Cybersecurity schon einmal gehört oder gelesen und sich gefragt, worum es sich dabei handelt. Kurz gesagt handelt es sich um ein leistungsstarkes neues Framework zur Kategorisierung von Cyberangriffstaktiken und -methoden, um die Bewertung und Minderung von Risiken zu verbessern und die Kommunikation über Bedrohungen zu standardisieren.
Lassen Sie uns zunächst einen Blick auf die grundlegende Terminologie werfen. MITRE ist eine gemeinnützige Forschungsorganisation, die 1958 vom Massachusetts Institute of Technology (MIT) ausgegliedert wurde. Sie umfasst eine Reihe von Unterorganisationen, die staatliche Mittel für die Durchführung einer Vielzahl von Forschungs- und Entwicklungsprojekten erhalten. Der Name ist kurioserweise kein Akronym für MIT Research and Engineering oder Ähnliches; einer der Gründer hielt ihn einfach für einen einprägsamen Namen.
ATT@CK hingegen ist ein Akronym für „Adversarial tactics, techniques, and common knowledge“, also feindliche Taktiken, Methoden und gemeinsames Wissen. Es handelt sich dabei um eine öffentlich zugängliche Wissensdatenbank zu Taktiken und Methoden, die von Cyberkriminellen eingesetzt werden. Diese sind in drei Verzeichnissen angeordnet:
- Enterprise ATT@CK – die von Angreifern ergriffenen Maßnahmen, um in Unternehmensnetze einzudringen und dort zu operieren
- PRE-ATT@CK – die von Angreifern zur Vorbereitung eines Angriffs ergriffenen Maßnahmen, wie z. B. die Erkundung und die Auswahl von Einstiegspunkten
- Mobile ATT@CK – eine Zusammenstellung von Angriffsmethoden und -taktiken, die gegen mobile Geräte eingesetzt werden
Lassen Sie uns etwas genauer auf die Terminologie eingehen. „Taktik“ bezieht sich auf übergeordnete Aktionen oder Ziele. Zurzeit enthält die Enterprise ATT@CK-Matrix 14 Taktiken:
- Erkundung
- Entwicklung von Ressourcen
- Erstzugang
- Ausführung
- Persistenz
- Rechte-Ausweitung
- Umgehung von Abwehr
- Zugriff auf Zugangsdaten
- Discovery
- Laterale Bewegungen
- Befehl und Kontrolle
- Sammlung
- Datenextraktion
- Auswirkungen
Jede dieser Taktiken ist wiederum mit einer Reihe von „Methoden“ verknüpft. In der Enterprise ATT@CK-Matrix wird beispielsweise Taktik 3, der Erstzugang, zurzeit mit neun Methoden in Verbindung gebracht, darunter Drive-by-Kompromittierung, Phishing, Lieferketten-Kompromittierung usw. Und mehrere dieser Methoden enthalten untergeordnete Methoden. Zu Phishing gehören beispielsweise drei untergeordnete Methoden (Spearphishing-Anhang, Spearphishing-Link und Spearphishing über Service). Zum Zeitpunkt der Verfassung dieses Artikels listet die Enterprise ATT@CK-Matrix 185 Methoden und 367 untergeordnete Methoden auf, aber MITRE fügt weitere hinzu, sobald sie entdeckt werden. Und jede Methode und untergeordnete Methode hat eine eindeutige numerische ID. Spearphishing Link hat beispielsweise die ID: T1566.002.
Zweck und Nutzen
Vor der Entwicklung von ATT@CK wurden Strategien und Technologien für Cybersecurity um das Ziel herum organisiert, Indikatoren für die Kompromittierung (IOC) zu ermitteln. Das heißt, das Ziel war, Signale und Ereignisse zu kategorisieren, die anzeigen, dass ein System oder ein Datenspeicher kompromittiert wurde.
Ein großer Nachteil dieses Ansatzes ist, dass er vor allem reaktiv ist – sobald man einen IOC entdeckt, ist der Angriff bereits in vollem Gange, wenn nicht sogar schon abgeschlossen. Angesichts der Vielfalt von Systemen und Technologien, die für Kompromittierung anfällig sind und der enormen Anzahl potenzieller Indikatoren, die auf eine Kompromittierung eines Systems hindeuten, ist die Führung eines zuverlässigen Katalogs von IOCs nicht praktikabel. Natürlich ist es immer noch wichtig, IOCs entdecken zu können, aber das ist nicht mehr das Hauptziel eines modernen Cybersecurity-Systems.
Der ATT@CK-Rahmen bietet dagegen eine viel besser zu verwaltende Liste von feindlichen Aktivitäten. Und durch die Konzentration auf die Erkennung von Methoden und Taktiken ist es wahrscheinlicher, dass Security-Systeme einen Angriff, der gerade stattfindet, identifizieren können, bevor Schaden verursacht wurde. Damit wird auch ein Framework zur Bewertung und Behebung der Schwachstellen einer Organisation gegenüber bestimmten Methoden im Vorfeld erstellt, um Risiken zu verringern.
Anwendung
Für IT-Security-Experten ist MITRE ATT@CK ein leistungsfähiges Tool mit zahlreichen praktischen Anwendungsmöglichkeiten. Bei der Durchführung von Tabletop-Übungen dient es als Leitfaden für die Erstellung spezifischer simulierter Angriffe und das Üben von Reaktionen darauf. Für Security-Audits und Risikobewertung ist es ein Framework, das die systematische Bewertung der Schwachstellen Ihrer Organisation gegenüber bestimmten Taktiken und Methoden vereinfacht.Da es eine gemeinsame, klar definierte Terminologie bietet, kann es auch Unklarheiten bei der Kommunikation über Schwachstellen und Security-Funktionen beseitigen, zum Beispiel zwischen Security- und DevOps-Teams, zwischen Teams, die an Penetrationstests teilnehmen, und zwischen Käufern und Anbietern von Security-Lösungen.
Bei Barracuda ist MITRE ATT@CK ein Schlüsselinstrument für die Planung und Entwicklung neuer technologischer Fähigkeiten und für die Anpassung effektiver Lösungspakete an die spezifischen Kundenbedürfnisse. Darüber hinaus unterstützt es uns dabei, in Zusammenarbeit mit den Kunden ein gemeinsames Verständnis darüber zu entwickeln, wie Risiken und Schwachstellen zu betrachten und zu priorisieren sind und wie man sie am wirksamsten behandelt.
Video: Eingehende Behandlung der neuesten Erkenntnisse zu Sicherheitsbedrohungen und Trends

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.