Das MITRE ATT&CK Framework

Das Framework ist weithin als Autorität anerkannt, wenn es darum geht, die Verhaltensweisen und Techniken zu verstehen, die Hacker heute gegen Unternehmen einsetzen.

XDR & SIEM Lösung

Inhaltsübersicht

Was ist das MITRE ATT&CK Framework?

Das MITRE ATT&CK Framework wurde 2013 von MITRE geschaffen, um Angriffstaktiken und -verfahren auf der Grundlage von realen Beobachtungen zu dokumentieren. Dieser Index entwickelt sich passend zum Bedrohungsumfeld weiter und ist zu einer anerkannten Wissensbasis für die Industrie geworden, um Angriffsmodelle, Methoden und Risikominderung zu verstehen.

Aufschlüsselung des MITRE ATT&CK Frameworks

Eine erfolgreiche und umfassende Bedrohungserkennung erfordert das Verständnis geläufiger feindlicher Ansätze, welche eine besondere Bedrohung für Ihr Unternehmen darstellen könnten und wie diese Angriffe erkannt und gemindert werden können. Jedoch gilt auch, dass das Volumen und die Breite der Angriffstaktiken es Unternehmen fast unmöglich machen, alle Angriffstypen zu überwachen, von der Katalogisierung und Interpretierung dieser Erkenntnisse auf eine Weise, dass auch Außenstehende sie verstehen, mal ganz abgesehen.

Aus diesen Gründen hat MITRE das ATT&CK Framework entwickelt. ATT&CK, kurz für Adversarial Tactics, Techniques und Common Knowledge, ist eine Wissensbasis von feindlichen Taktiken und Vorgehensweisen. Diese Vorgehensweisen werden indiziert und schlüsseln bis ins Detail auf, wie Hacker vorgehen. So können Teams die Handlungen verstehen, die gegen eine bestimmte Plattform angewendet werden können. Weiterhin beinhaltet MITRE auch Cyber-Bedrohungs-Intelligence, die die Verhaltensprofile der Angreifer dokumentiert, um festzuhalten, welche Angreifergruppierungen welche Verfahren einsetzen.

Die ATT&CK Matrix Struktur ähnelt einem Periodensystem mit Spaltenköpfen, die die Phasen in der Angriffskette (vom ersten Zugriff bis hin zum vollen Angriff) beschreiben. Die folgenden Zeilen schildern bestimmte Vorgehensweisen. Framework-Nutzer können die Vorgehensweisen weiter untersuchen, um mehr über die Taktik, die befallenen Plattformen, Verfahrensbeispiele, Risikominderung und Erkennung zu erfahren. 

Mitre Angriff Matrix-Aufschlüsselung

Wie kann das MITRE ATT&CK Framework einem Unternehmen helfen?

Das ATT&CK Framework ist weitläufig als Referenzwerk anerkannt, das das Verhalten und die Vorgehensweisen erklärt, die Hacker aktuell gegen Unternehmen einsetzen. Es beseitigt die Mehrdeutigkeit und liefert Branchenfachkräften ein einheitliches Vokabular, um sich über diese feindlichen Methoden auszutauschen und an deren Bekämpfung zusammenzuarbeiten. Zudem bietet es Sicherheitsteams auch praktische Anwendungsbeispiele. 

Zu den wichtigsten Anwendungsfällen für das MITRE ATT&CK Framework zählen:

Nutzung des MITRE ATT&CK Frameworks

Einige der wichtigsten Use Cases

Priosierung der erkannten Angriffe je nach der Umgebung des jeweiligen Unternehmens.

Selbst die am besten ausgestatteten Teams können nicht gleichermaßen gegen alle Angriffsvektoren vorgehen. Das ATT&CK Framework kann Teams eine Blaupause bieten, anhand derer sie ihre Erkennungsbemühungen fokussieren können. So können viele Teams beispielsweise damit beginnen, Bedrohungen früher in der Angriffskette zu priorisieren. Andere Teams können bestimmte Erkennungen auf der Grundlage von Verfahren priorisieren, die von Angreifergruppierungen eingesetzt werden, die bestimmte Branchen gezielt ins Auge fassen. Indem sie sich die Verfahren, anvisierten Plattformen und Risiken genauer ansehen, können Teams sich informieren, um ihren Sicherheitsplan weiter auszubauen, und dann das MITRE ATT&CK Framework einsetzen, um mit der Zeit Fortschritte zu beobachten.

Bewertung aktueller Abwehrmaßnahmen

Das MITRE ATT&CK Framework kann auch für die Bewertung aktueller Tools und die Detailliertheit der Berichterstattung über bedeutende Angriffsweisen von Nutzen sein. Es gibt verschiedene Telemetriestufen, die auf einzelne Erkennungsfälle angewendet werden können. In einigen Bereichen entscheiden sich Teams möglicherweise, dass die Erkennungstiefe eine wichtige Rolle spielt, in anderen Bereichen jedoch eine oberflächigere Erkennung durchaus genügt. Durch die Benennung der Bedrohungen, die in der Organisation Priorität haben, können Teams bestimmen, inwieweit ihre aktuellen Maßnahmen ausreichen. Dies kann besonders für Red-Teaming-Aktivitäten nützlich sein, denn hier kann die Matrix zur Definierung des Umfangs der Red-Teaming-Übung oder des Pentests verwendet werden, und dann als Wertungsliste während und nach dem Test.

Verfolgung von Angreifergruppierungen

Viele Unternehmen möchten die Verhaltensweisen bestimmter feindlicher Gruppen priorisieren, die für ihre Branche oder Vertikale eine besondere Bedrohung darstellen. Das ATT&CK Framework ist kein statisches Dokument. MITRE entwickelt sich mit der sich wandelnden Bedrohungslage weiter, was es zu einer nützlichen Informationsquelle macht, um das Vorgehen von Hacker-Gruppen und deren Verfahren zu verfolgen und zu verstehen.

Erfahren Sie mehr über MITRE ATT&CK Frameworks

Wie Rapid7s XDR-Lösung auf MITRE ATT&ACK ausgerichtet ist

MITRE ATT&CK Framework-Insights aus dem Rapid7 Blog

Neueste Folgen vom [THE LOST BOTS] Security Podcast

Verwandte Themen

Zero-Trust-Sicherheit

Detection & Response
Lesen

Was ist SIEM und wie funktioniert es?

Detection & Response
Lesen

Network Detection and Response (NDR)

Detection & Response
Lesen

Kompromittierungsindikatoren (Indicators of Compromise, IOCs)

Detection & Response
Lesen

User and Entity Behavior Analytics (UEBA)

Detection & Response
Lesen

Incident Response

Detection & Response
Lesen

Threat Detection

Detection & Response
Lesen

Threat Intelligence

Detection & Response
Lesen

Extended Detection and Response (XDR)

Detection & Response
Lesen

Analyse des Netzwerkverkehrs

Detection & Response
Lesen

Gartner Magic Quadrant für SIEM

Detection & Response
Lesen
Weitere Themen anzeigen Weitere Themen anzeigen