Das MITRE ATT&CK Framework

Was ist das MITRE ATT&CK Framework?

Das MITRE ATT&CK Framework wurde 2013 von MITRE geschaffen, um Angriffstaktiken und -verfahren auf der Grundlage von realen Beobachtungen zu dokumentieren. Dieser Index entwickelt sich passend zum Bedrohungsumfeld weiter und ist zu einer anerkannten Wissensbasis für die Industrie geworden, um Angriffsmodelle, Methoden und Risikominderung zu verstehen.

Aufschlüsselung des MITRE ATT&CK Frameworks

Eine erfolgreiche und umfassende Bedrohungserkennung erfordert das Verständnis geläufiger feindlicher Ansätze, welche eine besondere Bedrohung für Ihr Unternehmen darstellen könnten und wie diese Angriffe erkannt und gemindert werden können. Jedoch gilt auch, dass das Volumen und die Breite der Angriffstaktiken es Unternehmen fast unmöglich machen, alle Angriffstypen zu überwachen, von der Katalogisierung und Interpretierung dieser Erkenntnisse auf eine Weise, dass auch Außenstehende sie verstehen, mal ganz abgesehen.

Aus diesen Gründen hat MITRE das ATT&CK Framework entwickelt. ATT&CK, kurz für Adversarial Tactics, Techniques und Common Knowledge, ist eine Wissensbasis von feindlichen Taktiken und Vorgehensweisen. Diese Vorgehensweisen werden indiziert und schlüsseln bis ins Detail auf, wie Hacker vorgehen. So können Teams die Handlungen verstehen, die gegen eine bestimmte Plattform angewendet werden können. Weiterhin beinhaltet MITRE auch Cyber-Bedrohungs-Intelligence, die die Verhaltensprofile der Angreifer dokumentiert, um festzuhalten, welche Angreifergruppierungen welche Verfahren einsetzen.

Die ATT&CK Matrix Struktur ähnelt einem Periodensystem mit Spaltenköpfen, die die Phasen in der Angriffskette (vom ersten Zugriff bis hin zum vollen Angriff) beschreiben. Die folgenden Zeilen schildern bestimmte Vorgehensweisen. Framework-Nutzer können die Vorgehensweisen weiter untersuchen, um mehr über die Taktik, die befallenen Plattformen, Verfahrensbeispiele, Risikominderung und Erkennung zu erfahren. 

Mitre Angriff Matrix-Aufschlüsselung

Wie kann das MITRE ATT&CK Framework einem Unternehmen helfen?

Das ATT&CK Framework ist weitläufig als Referenzwerk anerkannt, das das Verhalten und die Vorgehensweisen erklärt, die Hacker aktuell gegen Unternehmen einsetzen. Es beseitigt die Mehrdeutigkeit und liefert Branchenfachkräften ein einheitliches Vokabular, um sich über diese feindlichen Methoden auszutauschen und an deren Bekämpfung zusammenzuarbeiten. Zudem bietet es Sicherheitsteams auch praktische Anwendungsbeispiele. 

Zu den wichtigsten Anwendungsfällen für das MITRE ATT&CK Framework zählen:

Nutzung des MITRE ATT&CK Frameworks zur Priosierung der erkannten Angriffe je nach der Umgebung des jeweiligen Unternehmens.

Selbst die am besten ausgestatteten Teams können nicht gleichermaßen gegen alle Angriffsvektoren vorgehen. Das ATT&CK Framework kann Teams eine Blaupause bieten, anhand derer sie ihre Erkennungsbemühungen fokussieren können. So können viele Teams beispielsweise damit beginnen, Bedrohungen früher in der Angriffskette zu priorisieren. Andere Teams können bestimmte Erkennungen auf der Grundlage von Verfahren priorisieren, die von Angreifergruppierungen eingesetzt werden, die bestimmte Branchen gezielt ins Auge fassen. Indem sie sich die Verfahren, anvisierten Plattformen und Risiken genauer ansehen, können Teams sich informieren, um ihren Sicherheitsplan weiter auszubauen, und dann das MITRE ATT&CK Framework einsetzen, um mit der Zeit Fortschritte zu beobachten.

Nutzung des MITRE ATT&CK Frameworks zur Bewertung aktueller Abwehrmaßnahmen

Das MITRE ATT&CK Framework kann auch für die Bewertung aktueller Tools und die Detailliertheit der Berichterstattung über bedeutende Angriffsweisen von Nutzen sein. Es gibt verschiedene Telemetriestufen, die auf einzelne Erkennungsfälle angewendet werden können. In einigen Bereichen entscheiden sich Teams möglicherweise, dass die Erkennungstiefe eine wichtige Rolle spielt, in anderen Bereichen jedoch eine oberflächigere Erkennung durchaus genügt. Durch die Benennung der Bedrohungen, die in der Organisation Priorität haben, können Teams bestimmen, inwieweit ihre aktuellen Maßnahmen ausreichen. Dies kann besonders für Red-Teaming-Aktivitäten nützlich sein, denn hier kann die Matrix zur Definierung des Umfangs der Red-Teaming-Übung oder des Pentests verwendet werden, und dann als Wertungsliste während und nach dem Test.

Nutzung des MITRE ATT&CK Frameworks zur Verfolgung von Angreifergruppierungen

Viele Unternehmen möchten die Verhaltensweisen bestimmter feindlicher Gruppen priorisieren, die für ihre Branche oder Vertikale eine besondere Bedrohung darstellen. Das ATT&CK Framework ist kein statisches Dokument. MITRE entwickelt sich mit der sich wandelnden Bedrohungslage weiter, was es zu einer nützlichen Informationsquelle macht, um das Vorgehen von Hacker-Gruppen und deren Verfahren zu verfolgen und zu verstehen.