Was ist das MITRE ATT&CK Framework?
2024 MITRE ATT&CK Evaluation: Trend Vision One™ gibt Angreifern keine Chance, sich zu verstecken
MITRE ATT&CK Framework
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) ist eine öffentlich zugängliche Wissensdatenbank zu gegnerischen Taktiken und Techniken. Sie dient als Grundlage für die Entwicklung spezifischer Modelle und Methoden von Cyberbedrohungen.
Diese Wissensdatenbank wurde auf der Grundlage der folgenden drei Konzepte entwickelt:
Sie bewahrt die Perspektive des Gegners.
Sie orientiert sich an der realen Nutzung von Aktivitäten anhand empirischer Anwendungsbeispiele.
Der Abstraktionsgrad ist so gewählt, dass offensive Maßnahmen mit möglichen defensiven verbunden werden können.
MITRE ATT&CK hilft der Branche dabei, die Vorgehensweise von Angreifern zu definieren und zu standardisieren. Es sammelt und kategorisiert häufige Taktiken, Techniken und Verfahren (TTPs) von Angriffen und organisiert diese Informationen in einem Framework.
Das dritte Konzept ist besonders wichtig, wenn man die Struktur von ATT&CK versteht. Es erfordert einen angemessenen Abstraktionsgrad, um eine Brücke zwischen der Angriffsmethode und den Gegenmaßnahmen zu schlagen, die auf der Verteidigungsseite umgesetzt werden können. Informationen werden als Daten mit einem hohen Abstraktionsgrad organisiert, nicht als individuelle/spezifische Daten wie IP-Adressen, URL und Signaturinformationen von Malware.
Das Konzept der Faktoren basiert auf der Analyse von Angriffen anhand sogenannter Taktiken, Techniken und Verfahren (TTP). Hauptsächlich werden Kenntnisse über Techniken erworben und strukturiert.
Taktik: das kurzfristige Ziel eines Angreifers
Technik: die Mittel, mit denen ein Angreifer ein Ziel erreichen kann
Verfahren (Procedure): die spezifische Methode, wie ein Angreifer Techniken nutzen kann
Dieses Gerüst kann herangezogen werden, um zu erklären, wie sich Gegner verhalten, was sie zu erreichen versuchen und wie sie dabei vorgehen.
Eine gemeinsame Sprache und ein gemeinsamer Rahmen sind wichtig, wenn es darum geht, so effizient und effektiv wie möglich zu kommunizieren, zu verstehen und auf Bedrohungen zu reagieren.
MITRE ATT&CK hat sich zu einer wichtigen Wissensdatenbank für Fachleute im Bereich Cybersicherheit entwickelt. Letztlich verbessert diese Datenbank die Sicherheitseffizienz und die Reaktionszeiten. Die jährliche MITRE-Auswertung vergleicht branchenweite Innovationen. Ziel ist es, die Lösungen zu ermitteln, die für die Erkennung und Bekämpfung der dynamischen Bedrohungslandschaft erforderlich sind.
Die Originalquelle finden Sie hier.
Diese Art von Framework ist für Fachleute im Bereich Informationssicherheit äußerst nützlich. Es hilft ihnen, über neue Angriffstechniken auf dem Laufenden zu bleiben und Angriffe von vornherein zu verhindern.
Unternehmen nutzen ATT&CK mit dem Ziel, Community-Gespräche, Verteidigungstests und Produkt-/Servicebewertungen zu standardisieren.
MITRE ATT&CK Bewertungen
Die MITRE ATT&CK-Auswertung bietet Kunden Transparenz und reale Angriffsszenarien. Das sorgt dafür, dass Kunden Sicherheitsprodukte aktiv bewerten können, um sich vor den neuesten Angriffen zu schützen, und zwar genau dort, wo sie es am meisten brauchen. Die Auswertung nutzt eine Emulation von Angreifern, um sicherzustellen, dass Kunden den heutigen Bedrohungen standhalten können. Dazu werden Techniken, Tools, Methoden und Ziele eingesetzt, die denen eines Angreifers nachempfunden sind.
Die Simulationen werden in einer kontrollierten Laborumgebung durchgeführt, um faire und genaue Tests zu gewährleisten. Die Techniken der Angreifer werden in logischen Schritten nacheinander angewendet, um die Bandbreite der ATT&CK-Abdeckung zu erfassen.
Die Auswertungen sind keine Wettbewerbsanalyse. Es gibt keine Punktestände, Ranglisten oder Bewertungslisten. Stattdessen zeigen sie, wie jeder Anbieter die Bedrohungserkennung im Kontext der ATT&CK-Wissensdatenbank angeht.
Die Auswertung bietet Käufern und Kunden von Cybersicherheitslösungen eine objektive Möglichkeit, Sicherheitsprodukte zu bewerten. Damit können sie sich entsprechend ihren größten Bedarfsbereichen gegen die neuesten Angriffe schützen.
Beispiel: Im Jahr 2022 wurden bei der Auswertung die operativen Abläufe von Wizard Spider und Sandworm nachgebildet. Ziel war es, Angriffe zu simulieren, die dem Verhalten dieser Gruppen in der Praxis ähneln. Nach Abschluss der Simulation wurden die Ergebnisse verarbeitet und veröffentlicht, einschließlich der Methodik.
MITRE ATT&CK Matrizen
Das MITRE ATT&CK-Framework ist in mehrere Matrizen unterteilt. Jede Matrix ist auf bestimmte Umgebungen zugeschnitten, in denen Cyberbedrohungen auftreten. Diese Matrizen kategorisieren Taktiken, Techniken und Verfahren (TTPs), die von Angreifern verwendet werden, und helfen Sicherheitsteams dabei, ihre Verteidigungsstrategien zu verbessern.
Unternehmens-Matrix
Die umfassendste Matrix deckt Bedrohungen in Windows-, macOS-, Linux- und Cloud-Umgebungen ab. Dazu gehören Techniken wie die Ausnutzung von Privilegien (Privilege Escalation), laterale Bewegung und Datenexfiltration.
Mobile Matrix
Der Schwerpunkt liegt auf Bedrohungen für iOS- und Android-Geräte. Diese Matrix beschreibt Angriffstechniken wie den Diebstahl von Anmeldedaten, die Ausnutzung von Netzwerken und die Persistenz mobiler Malware.
Matrix für industrielle Steuerungssysteme (ICS)
Im Fokus stehen Cyberbedrohungen, die speziell in industriellen Umgebungen auftreten, zum Beispiel bei SCADA-Systemen. Die Matrix beleuchtet Techniken, die zur Störung kritischer Infrastrukturen eingesetzt werden, darunter die Ausführung nicht autorisierter Befehle und die Manipulation von Firmware.
MITRE ATT&CK Taktiken
Die Grundlagen von ATT&CK sind eine Reihe von Techniken, die Aktionen eines Angreifers darstellen, durch die er ein Ziel erreichen will. Ziele werden als Taktiken klassifiziert.
Die Taktik steht für das Warum der Technik. Sie ist der Grund, warum ein Angreifer eine Aktion ausführt. Eine Technik ist das Mittel, mit dem ein Angreifer ein Ziel erreicht, indem er eine Aktion ausführt. Sie stellt auch dar, was der Angreifer dabei erlangt.
Nimmt man den Bereich Unternehmen als Analogie, lautet die Taktik wie folgt:
Initialer Zugriff: Methoden, mit denen Angreifer in ein Netzwerk eindringen, wie Phishing, Kompromittierung der Lieferkette und Ausnutzung öffentlich zugänglicher Anwendungen
Ausführung: Techniken, die schädlichen Code auf einem System ausführen, darunter die Ausführung von Befehlszeilen, Skripting und die Ausnutzung von Schwachstellen für die clientseitige Ausführung
Persistenz: Methoden, mit denen Angreifer nach der ersten Kompromittierung den Zugriff aufrechterhalten, darunter das Erstellen neuer Benutzerkonten, Änderungen an der Registrierung und geplante Aufgaben
Ausweitung von Privilegien: Methoden, mit denen Angreifer höhere Berechtigungen erlangen, etwa durch Ausnutzen von Schwachstellen, Abgreifen von Anmeldedaten und Manipulation von Zugriffstoken
Umgehung der Abwehr: Techniken zur Umgehung von Sicherheitsmaßnahmen, darunter die Deaktivierung von Sicherheitstools, die Verschleierung von Dateien und die Prozessinjektion
Zugang zu Anmeldedaten: Methoden zum Diebstahl von Anmeldedaten, wie Keylogging, Brute-Force-Angriffe und Credential Dumping
Entdeckung: Taktiken zur Erfassung von Informationen über ein System oder Netzwerk, wie Netzwerkscans und Account-Enumeration
Laterale Bewegung: Techniken zum systemübergreifenden Zugriff, wie Remote Desktop Protocol (RDP) und Pass-the-Hash-Angriffe
Sammlung: Methoden zur Erfassung sensibler Daten, darunter Screenshots, Keylogging und Daten aus lokalen Datenbanken
Exfiltration: Methoden, gestohlene Daten aus einem Netzwerk zu übertragen, beispielsweise verschlüsselte Exfiltration und Missbrauch von Cloud-Speichern
Auswirkung: Techniken, die darauf abzielen, den Betrieb zu unterbrechen, darunter der Einsatz von Ransomware, Datenvernichtung und Denial-of-Service-Angriffe
MITRE ATT&CK Techniken
Das MITRE ATT&CK-Framework kategorisiert gegnerische Techniken, die bei Cyberangriffen verwendet werden. Zu den wichtigsten Techniken gehören:
Initialer Zugriff – Methoden wie Phishing und das Ausnutzen öffentlicher Anwendungen, um sich Zugang zu verschaffen
Ausführung – Ausführung von bösartigem Code über die Befehlszeile oder Skripting
Persistenz – Aufrechterhaltung des Zugriffs durch Änderungen in der Registrierung oder geplante Aufgaben
Ausweitung von Privilegien – Erlangung höherer Berechtigungen durch Ausnutzen von Sicherheitslücken oder Credential Dumping
Umgehung der Abwehr – Umgehung der Sicherheit durch Verschleierung oder Deaktivierung von Tools
Laterale Bewegung – Verbreitung über Netzwerke durch RDP oder Pass-the-Hash
Exfiltration – Diebstahl von Daten durch Missbrauch der Cloud oder verschlüsselte Übertragungen
Unternehmen, die diese Techniken verstehen, können ihre Sicherheitsvorkehrungen verbessern.
Anatomie des MITRE ATT&CK Framework
Taktiken beschreiben, was Angreifer erreichen wollen.
Taktiken sind vergleichbar mit einem Kapitel eines Buches. Ein CISO skizziert eine Geschichte, die er erzählen möchte. Dabei greift er auf die allgemeinen Taktiken zurück, die bei einem Angriff zum Einsatz kommen. Anschließend verweist er auf die Techniken, um zu schildern, wie der Angriff durchgeführt wurde, und liefert so zusätzliche Details.
Beispiel Story: Aufbau einer Angriffsgeschichte in einer gemeinsamen Sprache
Ziel des Angreifers war es, sich initialen Zugriff auf das Netzwerk zu verschaffen. Mithilfe einer Drive-by-Kompromittierung über einen Spear-Phishing-Link und eine Vertrauensbeziehung verschaffte sich der Angreifer mit dieser Technik initialen Zugriff.
Hinweis: Das Framework listet alle bekannten Möglichkeiten auf, wie ein Angreifer initialen Zugriff erlangen kann.
Wie hilft eine Cybersicherheitslösung?
Die Lösung ordnet die Produkte dem ATT&CK-Framework zu. Sie zeigt Taktiken und Techniken zur Erkennung auf, die verdeutlichen, wie Trend Micro Ihnen bei der Erkennung und Abwehr von Bedrohungen helfen kann.
Was ist mit Prävention?
Präventive Kontrollen sind ein wichtiger Bestandteil einer Strategie zur Abwehr von Bedrohungen, da sie die Resilienz gegenüber Angriffen erhöhen. In der letzten Runde wurden präventive Kontrollen getestet, mit denen Risiken frühzeitig abgewehrt werden können. Dadurch können Unternehmen mehr Zeit für komplexere Sicherheitsprobleme aufwenden.
MITRE ATT&CK im Vergleich zur Cyber-Kill-Kette
MITRE ATT&CK wurde dafür konzipiert, eine detailliertere Beschreibung der möglichen Ereignisse während eines Angriffs zu ermöglichen. Damit stellt es einen Fortschritt gegenüber der Cyber Kill Chain dar.
In der Cyber Kill Chain gibt es sieben Schritte:
Aufklärung
Eindringen
Ausbeutung
Privileg-Ausführung
Laterale Bewegung
Verschleierung/Antiforensik
Denial of Service
Exfiltration
MITRE ATT&CK Anwendungsfälle
Mit MITRE ATT&CK können Sie Technologien aus der Sicht des Angreifers organisieren und auf Gegenmaßnahmen auf der Verteidigungsseite verweisen. Daher werden die folgenden Anwendungsfälle beschrieben.
Gegnerische Emulation
Es gilt, einen Angreifer zu emulieren. Extrahieren Sie aus den Gruppen in der Datenbank die von einem bestimmten Angreifer verwendeten Techniken und Angriffsszenarien. Identifizieren Sie eine Reihe von Angriffen und überprüfen Sie, ob es Abwehrmaßnahmen gegen diese Angriffe gibt.
Rotes Teaming
Erstellen Sie Angriffsszenarien für Cyberübungen. Das rote Team spielt die Rolle des Angreifers, das blaue Team die der Verteidigung und das weiße Team die der Kontroll- und Beurteilungsinstanz.
Entwicklung von Verhaltensanalysen
Verwenden Sie anstelle von IoC und bekannten Bedrohungsinformationen die Wissensdatenbank von ATT&CK. Analysieren Sie unbekannte Techniken und Handlungsmuster, um neue Gegenmaßnahmen zu entwickeln.
Beurteilung des Verteidigungsspalts
Identifizieren Sie, was bei den bestehenden Gegenmaßnahmen einer Organisation fehlt. Legen Sie Prioritäten für Investitionen fest.
Bewertung der SOC-Reife
Bestimmen Sie, wie effektiv Erkennung, Analyse und Reaktion durch das SOC sind.
Anreicherung von Cyber Threat Intelligence
Ein Analyst kann die Handlungen einer Angreifergruppe genau nachvollziehen und darüber Bericht erstatten. Anhand der Daten aus der Datenbank lässt sich eindeutig feststellen, welche Tools eine bestimmte Gruppe verwendet hat. Außerdem kann ermittelt werden, welche Technologie und welche Vorgehensweise die Gruppe bei der Durchführung von Angriffen verwendet hat.
Obwohl es sich um einen professionellen Bereich handelt, bietet die Website von MITRE ATT&CK auch eine Anwendung namens ATT&CK-Navigator. Mit dieser Anwendung können Sie eine Matrix entsprechend den oben beschriebenen Zwecken erstellen.
MITRE ATT&CK 2024 Ergebnisse für Unternehmenssicherheit
100 % Erkennung aller wichtigen Angriffsschritte
Im Jahr 2024 legte MITRE Engenuity noch einmal nach und simulierte die bislang realistischsten modernen Angriffstechniken. Zu sagen, dass Trend Micro die Aufgabe mit Bravour gemeistert hat, wäre eine glatte Untertreibung.
Die unglaubliche Leistung in den MITRE Engenuity ATTCK Evaluations im Jahr 2024 ist die fünfte in Folge für Trend Micro. Sie umfasst einige der höchsten Bewertungen, die jemals ein Anbieter erzielt hat.
Bei über 161 Milliarden abgewehrten Bedrohungen im Jahr 2023 – ein Anstieg von 10 % gegenüber 2022 – ist eine bessere Risikotransparenz entscheidend. Nur so lassen sich selbst die raffiniertesten Angriffe proaktiv abwehren.
Die diesjährigen Auswertungen konzentrierten sich auf die Taktiken, Techniken und Verfahren (TTPs) von DPRK, CL0P und LockBit. Diese drei sind die raffiniertesten und gefährlichsten Ransomware-Bedrohungen, die es derzeit gibt.