Framework Mitre Attack

MITRE ATT&ACK®: Was es ist und wie es die Sicherheit verbessert

Druckfreundlich, PDF & E-Mail

Vielleicht haben Sie den Begriff „MITRE ATT@CK“ im Zusammenhang mit Cybersecurity schon einmal gehört oder gelesen und sich gefragt, worum es sich dabei handelt. Kurz gesagt handelt es sich um ein leistungsstarkes neues Rahmenwerk zur Kategorisierung von Cyberangriffstaktiken und -methoden, um die Bewertung und Minderung von Risiken zu verbessern und die Kommunikation über Bedrohungen zu standardisieren.

Lassen Sie uns zunächst einen Blick auf die grundlegende Terminologie werfen. MITRE ist eine gemeinnützige Forschungsorganisation, die 1958 vom Massachusetts Institute of Technology (MIT) ausgegliedert wurde. Sie umfasst eine Reihe von Unterorganisationen, die staatliche Mittel für die Durchführung einer Vielzahl von Forschungs- und Entwicklungsprojekten erhalten. Der Name ist kurioserweise kein Akronym für MIT Research and Engineering oder Ähnliches; einer der Gründer hielt ihn einfach für einen einprägsamen Namen.

ATT@CK hingegen ist ein Akronym für „Adversarial tactics, techniques, and common knowledge“, also feindliche Taktiken, Methoden und gemeinsames Wissen. Es handelt sich dabei um eine öffentlich zugängliche Wissensdatenbank zu Taktiken und Methoden, die von Cyberkriminellen eingesetzt werden. Diese sind in drei Verzeichnissen angeordnet:

  • Enterprise ATT@CK – die von Angreifern ergriffenen Maßnahmen, um in Unternehmensnetze einzudringen und dort zu operieren
  • PRE-ATT@CK – die von Angreifern zur Vorbereitung eines Angriffs ergriffenen Maßnahmen, wie z. B. die Erkundung und die Auswahl von Einstiegspunkten
  • Mobile ATT@CK – eine Zusammenstellung von Angriffsmethoden und -taktiken, die gegen mobile Geräte eingesetzt werden

Lassen Sie uns etwas genauer auf die Terminologie eingehen. „Taktik“ bezieht sich auf übergeordnete Aktionen oder Ziele. Zurzeit enthält die Enterprise ATT@CK-Matrix 14 Taktiken:

  1. Erkundung
  2. Entwicklung von Ressourcen
  3. Erstzugang
  4. Ausführung
  5. Persistenz
  6. Rechte-Ausweitung
  7. Umgehung von Abwehr
  8. Zugriff auf Zugangsdaten
  9. Discovery
  10. Laterale Bewegungen
  11. Befehl und Kontrolle
  12. Sammlung
  13. Datenextraktion
  14. Auswirkungen

Jede dieser Taktiken ist wiederum mit einer Reihe von „Methoden“ verknüpft. In der Enterprise ATT@CK-Matrix wird beispielsweise Taktik 3, der Erstzugang, zurzeit mit neun Methoden in Verbindung gebracht, darunter Drive-by-Compromise, Phishing, Supply Chain Compromise usw. Und mehrere dieser Methoden enthalten untergeordnete Methoden. Zu Phishing gehören beispielsweise drei untergeordnete Methoden (Spearphishing-Anhang, Spearphishing-Link und Spearphishing über Service). Zum Zeitpunkt der Verfassung dieses Artikels listet die Enterprise ATT@CK-Matrix 185 Methoden und 367 untergeordnete Methoden auf, aber MITRE fügt weitere hinzu, sobald sie entdeckt werden. Und jede Methode und untergeordnete Methode hat eine eindeutige numerische ID. Spearphishing-Link hat beispielsweise die ID-Nr.: T1566.002.

Zweck und Nutzen

Vor der Entwicklung von ATT@CK wurden Strategien und Technologien für Cybersecurity um das Ziel herum organisiert, Indikatoren für die Kompromittierung (IOC) zu ermitteln. Das heißt, das Ziel war, Signale und Ereignisse zu kategorisieren, die anzeigen, dass ein System oder ein Datenspeicher kompromittiert wurde.

Ein großer Nachteil dieses Ansatzes ist, dass er vor allem reaktiv ist – sobald man einen IOC entdeckt, ist der Angriff bereits in vollem Gange, wenn nicht sogar schon abgeschlossen. Angesichts der Vielfalt von Systemen und Technologien, die für Kompromittierung anfällig sind, und der enormen Anzahl potenzieller Indikatoren, die auf eine Kompromittierung eines Systems hindeuten, ist die Führung eines zuverlässigen Katalogs von IOCs nicht praktikabel. Natürlich ist es immer noch wichtig, IOCs aufspüren zu können, aber das ist nicht mehr das Hauptziel eines modernen Cybersecurity-Systems.

Der ATT@CK-Rahmen bietet dagegen eine viel besser zu verwaltende Liste von feindlichen Aktivitäten. Und durch die Konzentration auf die Erkennung von Methoden und Taktiken ist es wahrscheinlicher, dass Sicherheitssysteme einen Angriff, der gerade stattfindet, identifizieren können, bevor vor Schaden verursacht wurde. Damit wird auch ein Rahmenwerk geschaffen, um die Schwachstellen einer Organisation gegenüber bestimmten Methoden im Vorfeld von Angriffen zu bewerten und zu beheben, um das Risiko zu verringern.

Anwendung

Für IT-Sicherheitsexperten ist MITRE ATT@CK ein leistungsfähiges Tool mit zahlreichen praktischen Anwendungsmöglichkeiten. Bei der Durchführung von Tabletop-Übungen dient es als Leitfaden für die Erstellung spezifischer simulierter Angriffe und das Üben von Reaktionen darauf. Für Sicherheitsaudits und Risikobewertung ist es ein Rahmenwerk, das die systematische Bewertung der Schwachstellen Ihres Unternehmens gegenüber bestimmten Taktiken und Methoden vereinfacht.

Da es eine gemeinsame, klar definierte Terminologie bietet, kann es auch Unklarheiten bei der Kommunikation über Schwachstellen und Sicherheitsfunktionen beseitigen, zum Beispiel zwischen Sicherheits- und DevOps-Teams, zwischen Teams, die an Penetrationstests teilnehmen, und zwischen Käufern und Anbietern von Sicherheitslösungen.

Bei Barracuda ist MITRE ATT@CK ein Schlüsselinstrument für die Planung und Entwicklung neuer technologischer Fähigkeiten und für die Anpassung effektiver Lösungspakete an die spezifischen Kundenbedürfnisse. Darüber hinaus unterstützt es uns dabei, in Zusammenarbeit mit den Kunden ein gemeinsames Verständnis darüber zu entwickeln, wie Risiken und Schwachstellen zu betrachten und zu priorisieren sind und wie man am wirksamsten dagegen angehen kann.

Video: Eingehende Behandlung der neuesten Erkenntnisse zu Sicherheitsbedrohungen und Trends

Nach oben scrollen
Twittern
Teilen
Teilen