Alle Grundlagen

Das MITRE ATT&CK Framework

Verstehen Sie die Verhaltensweisen und Techniken, die Angreifer gegen Unternehmen einsetzen.

SIEM-Lösung entdecken

Was ist das MITRE ATT&CK Framework?

Das MITRE ATT&CK Framework ist ein globaler Index zur Sammlung von Dokumentationen über Angreifertaktiken, -techniken und -verfahren (TTPs), die alle auf realen Beobachtungen basieren. ATT&CK steht für „Adversarial Tactics, Techniques, & Common Knowledge“ (Gegnerische Taktiken, Techniken und Allgemeinwissen).

Dieser Index wurde 2013 von MITRE erstellt und entwickelt sich passend zum Bedrohungsumfeld weiter und ist zu einer anerkannten Wissensbasis für die Industrie geworden, um Angriffsmodelle, Methoden und Risikominderung zu verstehen. 

Umfassende Threat Detection und Angriffsabwehr erfordert das Verständnis gängiger gegnerischer Techniken, insbesondere solcher, die eine Bedrohung für ein Security Operations Center (SOC) darstellen. Vor diesem Hintergrund machen das Volumen und die Breite der Angriffsarten es für eine einzelne Organisation fast unmöglich, jeden einzelnen Angriffstyp zu überwachen und zu katalogisieren. 

Die Wissensdatenbank von ATT&CK zu gegnerischen Taktiken und Techniken wird indexiert und detailliert aufgeschlüsselt, wobei die Schritte und Methoden der Angreifer dokumentiert werden. Um noch einen Schritt weiter zu gehen, integriert MITRE auch Cyber-Threat Intelligence, die Verhaltensprofile von Gegnergruppen dokumentieren. 

Die ATT&CK-Matrixstruktur ähnelt einem Periodensystem, wobei die Spaltenüberschriften die Phasen der Angriffskette beschreiben – vom „ersten Zugriff“ bis zur „Auswirkung“. 

MITRE ATT&CK-Framework vs. Cyber Kill Chain

Sowohl das MITRE ATT&CK Framework als auch die Cyber Kill Chain konzentrieren sich darauf, Teams dabei zu unterstützen, das Angreiferverhalten zu verstehen und Maßnahmen zu ergreifen, um einen Angriff so schnell wie möglich zu unterbinden. Lassen Sie uns zunächst einige Hintergrundinformationen zu dem letztgenannten Konzept besprechen.

Das Cyber-Kill-Chain-Framework wurde vom Verteidigungsunternehmen Lockheed Martin entwickelt, um Schwachstellen und Verstöße zu identifizieren, die Wirksamkeit bestehender Kontrollen zu prüfen und die Schritte zu bestimmen, die Gegner unternehmen müssen, um das von ihnen oder ihrer Organisation festgelegte Ziel zu erreichen.

Der grundlegende Unterschied zwischen dem MITRE ATT&CK Framework und der Cyber Kill Chain besteht darin, dass ersteres ein Wissensarchiv ist, das eine Vielzahl von Angreifermethoden enthält, die auf bestimmte Plattformen abzielen, während letztere im Wesentlichen eine allgemeinere Reihe vordefinierter Schritte darstellt, von denen man nicht abweichen sollte. Die Cyber Kill Chain besteht aus sieben Phasen und wird allgemein als eine vereinfachte – und zudem sehr effektive – Methode angesehen, um einen Angriff zu stoppen.

Eine dritte Kill Chain-Methode ist als Unified Kill Chain bekannt. Es versucht, die Einschränkungen des Anwendungsbereichs und die zeitunabhängige Natur sowohl von MITRE ATT&CK als auch der Cyber Kill Chain zu lösen. Einer der größten Vorteile der Unified Kill Chain ist, dass sie das nuancierte Verhalten von Angreifern präziser erfasst. Die Unified Kill Chain beschreibt satte 18 spezifische Angriffsphasen, was je nach Benutzer und Anwendungsfall etwas viel sein könnte.

Geschichte des MITRE ATT&CK Framework

Das Framework wurde 2013 aus dem Bedürfnis heraus entwickelt, Unternehmen und ihren Cybersecurity-Teams dabei zu helfen, die Methoden von Angreifern besser zu verstehen und so gegen den Vormarsch von Bedrohungsakteuren auf der ganzen Welt vorzugehen. Auf der Website von MITRE ATT&CK heißt es:

"MITRE startete ATT&CK im Jahr 2013, um gängige Taktiken, Techniken und Verfahren (TTPs) zu dokumentieren, die persistente Bedrohungen gegen Windows-Unternehmensnetzwerke auslösten. Es wurde aus dem Bedürfnis heraus entwickelt, das Verhalten von Angreifern für die Verwendung im Rahmen eines MITRE-Forschungsprojekts namens FMX zu dokumentieren. Das Ziel von FMX war es, die Verwendung von Endpunkt-Telemetriedaten und -analysen zu untersuchen, um die Erkennung von Angreifern, die in Unternehmensnetzwerken operieren, nach der Kompromittierung zu verbessern. ATT&CK wurde als Grundlage für die Prüfung der Wirksamkeit der Sensoren und Analysen im Rahmen von FMX verwendet und diente als gemeinsame Sprache, mit der sich sowohl die Offensive als auch die Defensive im Laufe der Zeit verbessern konnten."

MITRE präsentiert einen Index – oder eine Matrix – für einzelne Anwendungsfälle, wie die unten detailliert beschriebenen: 

  • Matrix für industrielle Steuerungssysteme (ICS): Die Taktiken, mit denen ein Angreifer einen Verstoß begehen könnte. 
  • Enterprise-Matrix: Die Taktiken, mit denen ein Angreifer in Unternehmenssysteme eindringen könnte. 
  • Mobile-Matrix: Die Taktiken, mit denen ein Angreifer mobile Geräte kompromittieren könnte. 

MITRE ATT&CK-Matrix 

Lassen Sie uns etwas tiefer in das eintauchen, was genau eine MITRE ATT&CK „Matrix“ ausmacht. Es ist hilfreich, die Angreiferstandards über Anwendungsfälle hinweg zu definieren, wie sie im vorherigen Abschnitt besprochen wurden. Die Matrix kategorisiert im Wesentlichen TTPs und präsentiert sie so, dass sie leicht über spezifische Plattformen wie Betriebssysteme oder Unternehmenssoftwareplattformen indiziert werden können.

Laut der MITRE ATT&CK-Website gibt es 14 gängige Taktiken, mit denen Angreifer versuchen, ihre Ziele zu erreichen:

  • "Aufklärung: Der Gegner versucht, Informationen zu sammeln, die er für die Planung zukünftiger Operationen nutzen kann. 
  • Ressourcenentwicklung: Der Gegner versucht, Ressourcen zu etablieren, die er zum Support siner Aktivitäten nutzen kann. 
  • Erster Zugriff: Der Gegner versucht, in Ihr Netzwerk einzudringen. 
  • Ausführung: Der Angreifer versucht, bösartigen Code auszuführen. 
  • Persistenz: Der Gegner versucht, seine Stellung zu halten. 
  • Privilegieneskalation: Der Angreifer versucht, höhere Berechtigungen zu erlangen. 
  • Umgehung der Verteidigung: Der Gegner versucht, einer Entdeckung zu entgehen. 
  • Zugriff auf Zugangsdaten: Der Angreifer versucht, Kontonamen und Passwörter zu stehlen. 
  • Erkundung: Der Gegner versucht, Ihre Umgebung zu verstehen. 
  • Lateral Movement: Der Angreifer versucht, sich durch Ihre Umgebung zu bewegen. 
  • Sammlung: Der Gegner versucht, Daten zu sammeln, die für sein Ziel von Interesse sind. 
  • Command and Control: Der Gegner versucht, mit kompromittierten Systemen zu kommunizieren, um sie zu kontrollieren. 
  • Exfiltration: Der Angreifer versucht, Daten zu entwenden. 
  • Auswirkung: Der Gegner versucht, Ihre Systeme und Daten zu manipulieren, zu unterbrechen oder zu zerstören.“ 

Anwendungsfälle für das MITRE ATT&CK-Framework

Das ATT&CK Framework ist weitläufig als Referenzwerk anerkannt, das das Verhalten und die Vorgehensweisen erklärt, die Hacker aktuell gegen Unternehmen einsetzen. Es beseitigt die Mehrdeutigkeit und liefert Branchenfachkräften ein einheitliches Vokabular, um sich über diese feindlichen Methoden auszutauschen und an deren Bekämpfung zusammenzuarbeiten. Zudem bietet es Sicherheitsteams auch praktische Anwendungsbeispiele. 

Priorisierung von Erkennungen auf der Grundlage einer einzigartigen Umgebung

Selbst die am besten ausgestatteten Teams können nicht gleichermaßen gegen alle Angriffsvektoren vorgehen. Das ATT&CK Framework kann Teams eine Blaupause bieten, anhand derer sie ihre Erkennungsbemühungen fokussieren können. So können viele Teams beispielsweise damit beginnen, Bedrohungen früher in der Angriffskette zu priorisieren. Andere Teams können bestimmte Erkennungen auf der Grundlage von Verfahren priorisieren, die von Angreifergruppierungen eingesetzt werden, die bestimmte Branchen gezielt ins Auge fassen.

Indem sie sich die Verfahren, anvisierten Plattformen und Risiken genauer ansehen, können Teams sich informieren, um ihren Sicherheitsplan weiter auszubauen, und dann das MITRE ATT&CK Framework einsetzen, um mit der Zeit Fortschritte zu beobachten.

Evaluierung von aktuellen Abwehrmaßnahmen

Das Framework kann auch für die Bewertung aktueller Tools und die Detailliertheit der Berichterstattung über bedeutende Angriffsweisen von Nutzen sein. Es gibt verschiedene Telemetriestufen, die auf einzelne Erkennungsfälle angewendet werden können. In einigen Bereichen entscheiden sich Teams möglicherweise, dass die Erkennungstiefe eine wichtige Rolle spielt, in anderen Bereichen jedoch eine oberflächigere Erkennung durchaus genügt.

Durch die Definition und Priorisierung von Bedrohungen für das Unternehmen können Teams bestimmen, inwieweit ihre aktuellen Maßnahmen ausreichen. Dies kann auch bei Penetrationstests (Pentesting) als Scorecard während und nach einem Test nützlich sein. 

Verfolgen von Angreifergruppen

Viele Unternehmen möchten die Verhaltensweisen bestimmter feindlicher Gruppen priorisieren, die für ihre Branche oder Vertikale eine besondere Bedrohung darstellen. Das ATT&CK-Framework ist kein statisches Dokument, da MITRE das Framework ständig weiterentwickelt, wenn Bedrohungen auftauchen und sich weiterentwickeln. Dieser Prozess macht es zu einer nützlichen Quelle der Wahrheit, um die Bewegungen von Angreifergruppen und die von ihnen verwendeten Techniken zu verfolgen und zu verstehen.

Mehr erfahren

Mitre-Angriffsframework: Neueste Rapid7-Blogbeiträge

Advanced Threat Protection (ATP)

Thema lesen

Network Detection and Response (NDR)

Thema lesen

Detection Surface

Thema lesen