Das MITRE ATT&CK Framework (MITRE ATT&CK) ist eine universell zugängliche, kontinuierlich aktualisierte Wissensbasis zur Modellierung, Erkennung, Verhinderung und Bekämpfung von Cybersicherheitsbedrohungen, die auf den bekannten Verhaltensweisen von Cyberkriminellen basiert. Das ATT&CK in MITRE ATT&CK steht für Adversarial Tactics, Techniques & Common Knowledge (Taktiken, Techniken und allgemeines Wissen zu Angriffen).
MITRE ATT&CK katalogisiert die Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures; TTPs) von Cyberkriminellen in jeder Lebenszyklusphase eines Cyberangriffs – von der ersten Informationsbeschaffung und dem Planungsverhalten eines Angreifers bis hin zur endgültigen Ausführung des Angriffs. Die Informationen in MITRE ATT&CK können Sicherheitsteams dabei unterstützen:
Cyberangriffe genau zu simulieren, um Cyber-Abwehrmaßnahmen zu testen
Effektivere Sicherheitsrichtlinien, Sicherheitskontrollen und Incident-Response-Pläne zu erstellen
Sicherheitstechnologien auszuwählen und zu konfigurieren, um Cyberbedrohungen besser zu erkennen, zu verhindern und zu bekämpfen
Darüber hinaus bietet die MITRE ATT&CK-Taxonomie der Taktiken, Techniken und Untertechniken von Angreifern (siehe unten) eine gemeinsame Sprache, mit der Sicherheitsspezialisten Informationen über Cyberbedrohungen austauschen und bei der Bedrohungsabwehr zusammenarbeiten können.
MITRE ATT&CK ist keine Software per se. Aber viele Sicherheitssoftwarelösungen für Unternehmen – wie User and Entity Behavior Analytics (UEBA), Extended Detection and Response (XDR), Security Orchestration, Automation and Response (SOAR) und Security Information and Event Management (SIEM) – können die Bedrohungsinformationen von MITRE ATT&CKs nutzen, um ihre Fähigkeiten zur Erkennung und Reaktion auf Bedrohungen zu aktualisieren und zu verbessern.
MITRE ATT&CK wurde von der MITRE Corporation, einer gemeinnützigen Organisation, entwickelt. Sie pflegt das Framework mit Beiträgen einer weltweiten Community von Cybersicherheitsexperten.
MITRE ATT&CK organisiert die Taktiken, Techniken und Untertechniken von Angreifern in Matrizen. Jede Matrix enthält Taktiken und Techniken, die Angriffen auf bestimmte Domänen entsprechen:
Die Enterprise Matrix umfasst alle Techniken, die bei Angriffen auf die Unternehmensinfrastruktur zum Einsatz kommen. Diese Matrix enthält Untermatrizen für Windows-, MacOS- und Linux-Plattformen sowie für Netzwerkinfrastrukturen, Cloud-Plattformen und Container-Technologien. Sie enthält auch eine PRE-Matrix von Vorbereitungstechniken, die im Vorfeld eines Angriffs angewendet werden.
Die Mobile Matrix umfasst Techniken, die bei direkten Angriffen auf mobile Geräte und bei netzwerkbasierten mobilen Angriffen verwendet werden, die keinen Zugriff auf ein mobiles Gerät erfordern. Diese Matrix enthält Untermatrizen für die mobilen iOS- und Android-Plattformen.
Die ICX Matrix umfasst Techniken, die bei Angriffen auf industrielle Steuersysteme verwendet werden – insbesondere auf Maschinen, Geräte, Sensoren und Netze, die zur Steuerung oder Automatisierung von Abläufen in Fabriken, Versorgungsunternehmen, Transportsystemen und anderen wichtigen Dienstleistern verwendet werden.
Jede MITRE ATT&CK-Taktik hat ein bestimmtes schädliches Ziel – etwas, das der Angreifer zu einem bestimmten Zeitpunkt erreichen möchte. Für jede Phase eines Cyberangriffs gibt es bestimmte ATT&CK-Taktiken. Zu den von der Enterprise Matrix abgedeckten ATT&CK-Taktiken gehören beispielsweise:
Ausspähung: Sammeln von Informationen für die Planung eines Angriffs
Ressourcenentwicklung: Schaffen von Ressourcen zur Unterstützung von Angriffsoperationen
Erstzugriff: Eindringen in das Zielsystem oder -netz
Ausführung: Ausführen von Malware oder schädlichem Programmcode auf dem gefährdeten System
Beharrlichkeit: Aufrechterhaltung des Zugriffs auf das kompromittierte System (im Falle eines Systemabschlusses oder einer Neukonfigurierung)
Rechteausweitung: Erlangung höherer Zugriffsrechte oder Berechtigungen (z. B. Wechsel von Benutzer- zu Administratorrechten)
Umgehung von Schutzmaßnahmen: Vermeiden, dass man entdeckt wird, wenn man sich in einem System befindet
Zugriff auf Anmeldeinformationen: Diebstahl von Benutzernamen, Kennwörtern und anderen Anmeldeinformationen
Erkundung: Auskundschaften der Zielumgebung, um herauszufinden, auf welche Ressourcen zugegriffen werden kann oder welche Ressourcen kontrolliert werden können, um einen geplanten Angriff zu unterstützen
Lateralausbreitung: Zugriff auf zusätzliche Ressourcen innerhalb des Systems
Datenerfassung: Erfassung von Daten im Zusammenhang mit dem Angriffsziel (z. B. Daten, die im Rahmen eines Ransomware-Angriffs verschlüsselt oder übertragen werden sollen)
Command and Control: Aufbau einer verdeckten/unauffindbaren Kommunikation, die es dem Angreifer ermöglicht, das System zu kontrollieren
Exfiltration: Diebstahl von Daten aus dem System
Folgen des Angriffs: Unterbrechung, Beschädigung, Deaktivierung oder Zerstörung von Daten oder Geschäftsprozessen.
Auch hier variieren die Taktiken und Techniken von Matrix zu Matrix (und von Submatrix zu Submatrix). So enthält die Mobile Matrix beispielsweise keine Ausspähungs- und Ressourcenentwicklungs-Taktiken, dafür aber andere Taktiken (Auswirkungen auf das Netz und Auswirkungen auf die Remote-Services), die in der Enterprise Matrix nicht enthalten sind.
Die MITRE ATT&CK-Taktiken stellen dar, was Angreifer erreichen wollen. Die MITRE ATT&CK-Techniken stellen hingegen dar, wie sie es erreichen wollen. Drive-by-Downloads und Spear-Phishing sind beispielsweise Arten von Erstzugriffstechniken, und die Verwendung von dateiloser Speicherung ist ein Beispiel für eine Technik zur Umgehung von Schutzmaßnahmen.
Die Wissensbasis enthält die folgenden Informationen zu jeder Technik:
Eine Beschreibung und ein Überblick über die Technik.
Alle bekannten Untertechniken, die mit dieser Technik verbunden sind. Die Phishing-Untertechniken umfassen beispielsweise Spear-Phishing-Anhänge, Spear-Phishing-Links und Spear-Phishing via Service. Bis jetzt hat MITRE ATT&CK 196 verschiedene Techniken und 411 Untertechniken dokumentiert.
Beispiele für verwandte Verfahren. Dazu gehören die Art und Weise, wie Angreifergruppen die Technik einsetzen, oder die Arten von Schadsoftware, die zur Ausführung der Technik verwendet werden.
Abhilfemaßnahmen. Sicherheitsverfahren (z. B. Benutzerschulungen) oder -software (z. B Antivirensoftware, Intrusion-Prevention-Systeme), die die Technik blockieren oder abwenden können.
Erkennungsmethoden. In der Regel handelt es sich dabei um Protokolldaten oder Systemdatenquellen, die Sicherheitsteams oder Sicherheitssoftware überwachen können, um Beweise für den Einsatz der Technik zu finden.
MITRE ATT&CK bietet noch mehrere andere Möglichkeiten, um die Wissensbasis einzusehen und damit zu arbeiten. Anstatt bestimmte Taktiken und Techniken anhand der Matrizen zu recherchieren, können Benutzer für ihre Recherche folgende Grundlagen verwenden:
Datenquellen – Ein Index aller Protokolldaten oder Systemdatenquellen und Datenkomponenten, die Sicherheitsteams oder Sicherheitssoftware überwachen können, um Beweise für versuchte Angriffstechniken zu finden.
Abhilfemaßnahmen – Ein Index aller Abhilfemaßnahmen, auf die in der Wissensbasis verwiesen wird. Benutzer können einen Drilldown durchführen, um zu erfahren, auf welche Techniken eine bestimmte Maßnahme abzielt.
Gruppen – Ein Index der Angreifergruppen und der von ihnen verwendeten Angriffstaktiken und -techniken. Bis jetzt hat MITRE ATT&CK 138 Gruppen dokumentiert.
Software – Ein Index der Schadsoftware oder der schädlichen Dienste (aktuell sind es 740), die Angreifer zur Ausführung bestimmter Techniken verwenden können.
Kampagnen – Im Wesentlichen eine Datenbank mit Cyberangriffs- oder Cyberspionagekampagnen, einschließlich Informationen über die Gruppen, die sie gestartet haben, sowie über die verwendeten Techniken und Software.
Der MITRE ATT&CK-Navigator ist ein Open-Source-Tool zum Suchen, Filtern, Annotieren und Darstellen von Daten aus der Wissensbasis. Sicherheitsteams können den MITRE ATT&CK-Navigator verwenden, um von bestimmten Angreifergruppen verwendete Taktiken und Techniken schnell zu erkennen und zu vergleichen, um Software zu identifizieren, die zur Ausführung einer bestimmten Technik verwendet wird, um Abhilfemaßnahmen für bestimmte Techniken zu finden und vieles mehr.
Der ATT&CK-Navigator kann Ergebnisse im JSON-, Excel- oder SVG-Format (für Präsentationen) exportieren. Sicherheitsteams können ihn online verwenden (gehostet auf GitHub) oder auf einen lokalen Computer herunterladen.
MITRE ATT&CK unterstützt eine Reihe von Aktivitäten und Technologien, die Unternehmen zur Optimierung ihrer Sicherheitsabläufe und zur Verbesserung ihrer allgemeinen Sicherheitslage einsetzen.
Alert-Triage; Erkennung und Reaktion auf Bedrohungen. Die Informationen in MITRE ATT&CK sind äußerst wertvoll, um die Flut von sicherheitsrelevanten Alerts, die von Software und Geräten in einem typischen Unternehmensnetz erzeugt werden, durchzugehen und zu priorisieren. Tatsächlich können viele Sicherheitslösungen für Unternehmen – einschließlich SIEM (Security Information and Event Management), UEBA (User and Entity Behavior Analytics), EDR (Endpoint Detection and Response) und XDR (Extended Detection and Response) – Informationen von MITRE ATT&CK aufnehmen und zur Triage von Alerts, zur Anreicherung von Informationen über Cyberbedrohungen aus anderen Quellen, zur Verwendung von Incident-Response-Playbooks oder zur Auslösung von automatisierten Reaktionen auf Sicherheitsbedrohungen verwenden.
Bedrohungsjagd. Eine Bedrohungsjagd ist eine proaktive Sicherheitsübung, bei der Sicherheitsanalysten ihr Netz nach Bedrohungen durchsuchen, die bestehende Cybersicherheitsmaßnahmen nicht erkannt haben. Das MITRE ATT&CK Framework zu den Taktiken, Techniken und Verfahren von Angreifern bieten Hunderte von Informationen über den Beginn oder die Durchführung von Bedrohungsjagden.
Red Teaming/Adversary Emulation. Sicherheitsteams können die Informationen in MITRE ATT&CK nutzen, um Cyberangriffe realistisch zu simulieren. Diese Simulationen können die Wirksamkeit vorhandener Sicherheitsrichtlinien, -praktiken und -lösungen testen und dabei helfen, Schwachstellen zu erkennen, die behoben werden müssen.
Analyse von Sicherheitslücken und Bewertung der SOC-Reife. Bei der Sicherheitslückenanalyse werden die bestehenden Cybersicherheitspraktiken und -technologien eines Unternehmens mit dem aktuellen Industriestandard verglichen. Bei einer SOC-Reifebewertung wird der Reifegrad des Security Operations Center (SOC ) eines Unternehmens bewertet, und zwar basierend darauf, wie gut es Cyberbedrohungen oder Cyberangriffe mit minimalen oder gar keinen manuellen Eingriffen konsequent abwehren oder entschärfen kann. In jedem Fall können MITRE ATT&CK-Daten Unternehmen dabei helfen, diese Bewertungen unter Verwendung der neuesten Daten zu den Taktiken, Techniken und Abwehrmaßnahmen im Zusammenhang mit Cyberbedrohungen durchzuführen.
Wie MITRE ATT&CK modelliert auch die Cyber Kill Chain von Lockheed Martin Cyberangriffe als eine Reihe von Angriffstaktiken. Manche der Taktiken haben sogar die gleichen Namen. Doch hier enden die Gemeinsamkeiten auch schon.
Die Cyber Kill Chain ist eher ein deskriptives Framework und keine Wissensbasis. Sie ist deutlich weniger umfangreich als MITRE ATT&CK und deckt nur sieben (7) Taktiken ab: Ausspähung, Bewaffnung, Malware Delivery, Ausnutzung von Schwachstellen, Installation, Command and Control, Aktionen auf Ziele (zum Vergleich: MITRE ATT&CK umfasst 18 Taktiken, einschließlich mobiler und reiner ICS-Taktiken). Sie bietet keine eigenständigen Modelle für Angriffe auf Mobil- oder ICS-Plattformen. Der Umfang der Cyber Kill Chain reicht nicht an die detaillierten Informationen zu den Taktiken, Techniken und Verfahren in MITRE ATT&CK heran.
Ein weiterer wichtiger Unterschied: Die Cyber Kill Chain basiert auf der Annahme, dass jeder Cyberangriff die Taktiken nacheinander ausführen muss, um erfolgreich zu sein, und dass die Blockierung einer der Taktiken die Cyber-Angriffskette „unterbricht“ und den Angreifer daran hindert, sein Endziel zu erreichen. MITRE ATT&CK verfolgt diesen Ansatz nicht. Das Framework konzentriert sich darauf, Sicherheitsexperten dabei zu helfen, einzelne Angriffstaktiken und -techniken zu identifizieren und zu blockieren oder zu entschärfen, unabhängig davon, in welchem Kontext sie auftauchen.
Angriffe clever verhindern mit einer vernetzten, modernisierten Sicherheitssuite. Das QRadar-Portfolio ist mit auf Unternehmen abgestimmter KI ausgestattet und bietet integrierte Produkte für Endpunktsicherheit, Protokollmanagement, SIEM und SOAR – mit einer gemeinsamen Benutzeroberfläche, gemeinsamen Erkenntnissen und vernetzten Workflows.
Proaktive Bedrohungssuche, kontinuierliche Überwachung und eine gründliche Untersuchung von Bedrohungen sind nur einige der Prioritäten, mit denen eine ohnehin schon ausgelastete IT-Abteilung konfrontiert ist. Ein vertrauenswürdiges Vorfallsreaktionsteam in Bereitschaft kann Ihre Reaktionszeit verkürzen, die Auswirkungen eines Cyberangriffs minimieren und Ihnen dabei helfen, sich schneller zu erholen.
Um modernen Ransomware-Bedrohungen vorzubeugen und gegen sie vorzugehen, nutzt IBM Erkenntnisse, die aus 800 TB an Bedrohungsdaten, Informationen über mehr als 17 Millionen Spam- und Phishing-Angriffe sowie Reputationsdaten zu fast eine Million bösartiger IP-Adressen aus einem Netzwerk mit 270 Millionen Endpunkten gewonnen wurden.
Cyberangriffe sind unerwünschte Versuche, Informationen durch unbefugten Zugriff auf Computersysteme zu stehlen, offenzulegen, zu ändern, zu inaktivieren oder zu löschen.
Das Sicherheitsinformations- und -ereignismanagement (SIEM) ermöglicht die Überwachung und Analyse von Ereignissen in Echtzeit sowie die Nachverfolgung und Protokollierung von Sicherheitsdaten zu Compliance- oder Protokollierungszwecken.
Die Bedrohungsjagd ist ein proaktiver Ansatz zur Identifizierung unbekannter oder laufender, nicht beseitigter Bedrohungen im Netz eines Unternehmens.