Was ist MITRE ATT&CK?
MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) ist ein Framework, das eine Reihe von Datenmatrizen und ein Assessment-Tool umfasst. Es wurde 2013 von der MITRE Corporation entwickelt, um Unternehmen dabei zu unterstützen, ihre Sicherheitsreife einzuschätzen und Schwachstellen in ihrer Abwehr aufzudecken.
Das MITRE ATT&CK-Framework nutzt Beobachtungen aus der Praxis, um spezifische Angriffsmethoden, -taktiken und -techniken zu dokumentieren. Neu entdeckte Schwachstellen und Angriffsflächen werden dem ATT&CK-Framework hinzugefügt. Es entwickelt sich also ständig weiter. In den letzten Jahren haben sich das MITRE ATT&CK-Framework und die dazugehörigen Matrizen in puncto Angreiferverhalten zu einem Branchenstandard für Wissens- und Remediation-Tools entwickelt.

Aktuelle MITRE Engenuity ATT&CK® Evaluation: Umfassende Endpunkt- und Netzwerktransparenz durch VMware

MITRE ATT&CK-Arbeitsbuch
Wer verwendet MITRE ATT&CK und warum?
ATT&CK-Matrizen werden von einer Vielzahl von IT- und Sicherheitsexperten verwendet, darunter Red Teamer, die die Rolle von Angreifern oder Mitbewerbern spielen, Threat Hunter, Entwickler von Sicherheitsprodukten, Threat Intelligence-Teams und Risikomanagementexperten.
Red Teamer verwenden das MITRE ATT&CK-Framework als Blueprint, um Angriffsflächen und Schwachstellen in Unternehmenssystemen und -geräten aufzudecken und die Fähigkeit zu verbessern, Angriffe mit neu erlernten Informationen abzuwehren. Zu den gewonnenen Erkenntnissen gehören u.a., wie Angreifer Zugriff erlangt haben, wie sie sich innerhalb des betroffenen Netzwerks bewegen und mit welchen Methoden sie sich der Entdeckung entziehen. Mit diesen Tools erhalten Unternehmen einen besseren Überblick über ihren allgemeinen Sicherheitsstatus, können Sicherheitslücken identifizieren und testen sowie potenzielle Sicherheitslücken basierend auf ihrem Risiko für das Unternehmen priorisieren.
Threat Hunter decken mithilfe des ATT&CK-Frameworks Zusammenhänge zwischen den spezifischen Methoden auf, die Angreifer zur Abwehrumgehung nutzen. Sie gewinnen zudem Erkenntnisse über die Sichtbarkeit von Angriffen, die sowohl an Endpunkten als auch im gesamten Netzwerkperimeter auf ihre Abwehrmaßnahmen abzielen.
Entwickler und Techniker von Sicherheitsplattformen bewerten mit MITRE ATT&CK die Effektivität ihrer Produkte, decken bisher unbekannte Schwachstellen auf und modellieren, wie sich ihre Produkte während des Lebenszyklus eines Cyberangriffs verhalten werden.
Was ist das MITRE ATT&CK-Framework?
MITRE ATT&CK ist die Abkürzung von MITRE Adversarial Tactics, Techniques und Common Knowledge. Das MITRE ATT&CK-Framework ist ein kuratiertes Repository mit Matrizen, die ein Modell für das Verhalten von Cyberangriffen bereitstellen. Die Darstellung erfolgt in der Regel in Tabellenform. Dabei enthalten die Spalten die Taktiken (oder gewünschten Ergebnisse) während eines Angriffs und die Zeilen die Techniken, mit denen die taktischen Ziele erreicht werden. Im Framework werden auch die Techniknutzung und sonstige mit den einzelnen Techniken verknüpfte Metadaten dokumentiert.
Das MITRE ATT&CK Framework ist aus einem MITRE-Experiment hervorgegangen, bei dem sowohl Angreifer als auch Verteidiger emuliert wurden. Das Ziel bestand darin, den Ablauf von Angriffen zu verstehen und die Erkennung eines erfolgten Angriffs mithilfe von Telemetrieerkennung und Verhaltensanalysen zu optimieren. Um besser einzuschätzen, wie gut die Branche dokumentiertes Angreiferverhalten erkennt, wurde das ATT&CK-Framework als Tool zum Kategorisieren dieser Verhaltensweisen entwickelt.
Was enthält die MITRE ATT&CK-Matrix?
Das ATT&CK-Framework besteht derzeit aus vier Hauptmatrizen. PRE-ATT&CK und ATT&CK for Enterprise beziehen sich beide auf Angriffe auf die Unternehmensinfrastruktur.
PRE-ATT&CK: Viele der Aktivitäten von Angreifern (z.B. Aufklärung und Ressourcenentwicklung), die im Vorfeld eines Angriffs durchgeführt werden, sind für die betroffenen Unternehmen nicht sichtbar. Daher ist es äußerst schwierig, diese Taktiken und Techniken der Angriffsvorbereitung zu erkennen. Cyber-Angreifer können beispielsweise frei verfügbare Informationen im Internet, Beziehungen des Unternehmens zu anderen bereits kompromittierten Unternehmen oder andere Methoden für den Zugriff nutzen. Mit PRE-ATT&CK können Unternehmen diese Angriffsvorbereitungen, die außerhalb ihres Netzwerkperimeters stattfinden, besser überwachen und verstehen.
ATT&CK for Enterprise: ATT&CK for Enterprise beschreibt in einem Modell detailliert die Aktionen, mit denen Cyber-Angreifer ein Unternehmensnetzwerk kompromittieren und ihre Aktivitäten dort ausführen. Die Matrix enthält spezifische Taktiken und Techniken für eine Vielzahl von Plattformen wie Windows, macOS, Linux, Azure AD, Office 365, Google Workspace, SaaS, IaaS, Netzwerke und Container. Die PRE-ATT&CK-Matrix war ursprünglich Teil von ATT&CK for Enterprise, da sie sich ebenfalls auf Versuche konzentriert, die Unternehmensinfrastruktur zu kompromittieren. Das Enterprise-Framework unterstützt Unternehmen dabei, ihre Netzwerkverteidigung zu priorisieren, um sich auf das für sie größte Risiko zu konzentrieren.
ATT&CK for Mobile: Die Matrix „ATT&CK for Mobile“ beschreibt Taktiken und Techniken, mit denen sowohl iOS- als auch Android-Mobilgeräte kompromittiert werden. ATT&CK for Mobile baut dabei auf dem NIST-Katalog der Bedrohungen für Mobilgeräte auf und katalogisiert derzeit ein Dutzend Taktiken und über 100 Techniken, mit denen Angreifer Mobilgeräte beeinträchtigen, um ihre bösartigen Ziele umzusetzen. Darüber hinaus listet ATT&CK for Mobile netzwerkbasierte Effekte auf – Taktiken und Techniken, die ohne Zugriff auf das eigentliche Gerät eingesetzt werden können.
ATT&CK for ICS: MITRE ATT&CK for Industrial Control Systems (ICS) ist die neueste Matrix der ATT&CK-Produktreihe. Sie ähnelt ATT&CK for Enterprise, ist jedoch speziell auf industrielle Steuerungssysteme wie Stromnetze, Fabriken und andere Unternehmen ausgerichtet, die auf vernetzte Maschinen, Geräte, Sensoren und Netzwerke angewiesen sind.
Alle Matrizen enthalten detaillierte technische Beschreibungen der Techniken, die während des gesamten Lebenszyklus eines Adversarial-Angriffs für die einzelnen Taktiken verwendet werden. Sie informieren über Ressourcen und Systeme, auf die die Techniken abzielen, über Ansätze für die jeweilige Risikominderung und Gegenmaßnahmen sowie über Erkennungsanalysen, mit denen die Techniken aufgedeckt werden. Zudem werden Nutzungsbeispiele aus der Praxis angeführt.
In den Matrizen werden die Taktiken linear dargestellt und beschreiben den Angriffslebenszyklus von der Ausspähung bis zum angestrebten Ziel. Letzteres kann darin bestehen, Informationen zu exfiltrieren und/oder Dateien für Ransomware-Zwecke zu verschlüsseln, oder eine andere bösartige Aktion sein.
Welche Vorteile bietet das MITRE ATT&CK-Framework?
Der Hauptvorteil des ATT&CK-Frameworks besteht darin, dass Unternehmen nachvollziehen können, wie Angreifer vorgehen. Sie wissen, welche Schritte Angreifer möglicherweise planen, um ersten Zugriff zu erlangen, das System zu erkunden, sich lateral zu bewegen und Daten zu exfiltrieren. Das Framework erlaubt es Teams, Aktivitäten aus der Perspektive des Angreifers zu betrachten und dessen Beweggründe und Taktiken besser zu verstehen. Letztlich können Unternehmen dieses Wissen nutzen, um Lücken in ihrem Sicherheitsstatus zu identifizieren und die Erkennung von Bedrohungen sowie die Reaktion darauf zu verbessern. Dazu prognostizieren die Teams die nächsten Schritte des Angreifers und beschleunigen so die Remediation. Im Sport heißt es oft, „Angriff ist die beste Verteidigung“. Auch im Bereich Cyber-Security führt die Kenntnis der vom Angreifer genutzten Mittel dazu, dass Netzwerk, Geräte und Anwender wesentlich besser geschützt werden.
Darüber hinaus unterstützen die Frameworks in der aktuellen Arbeitsumgebung, in der es einen gravierenden Fachkräftemangel im Bereich Cyber-Security gibt, Nachwuchskräfte oder neu eingestellte Sicherheitsmitarbeiter. Sie erhalten Zugang zum kollektiven Wissen aller Sicherheitsexperten, die vor ihnen an den Matrizen des MITRE ATT&CK-Frameworks mitgewirkt haben, und zu den Recherche-Tools, die sie für eine schnelle Reaktion auf Bedrohungen jeder Art benötigen.
Welche Herausforderungen ergeben sich bei der Verwendung des MITRE ATT&CK-Frameworks?
Mit zunehmender Anzahl und Größe werden ATT&CK-Matrizen auch immer komplexer. Die Anzahl der Kombinationen und Permutationen von Taktiken und Techniken im Framework ist zwar äußerst detailliert dargestellt, kann jedoch aufgrund der schieren zu verarbeitenden Datenmenge überwältigend sein.
Für die 14 Taktiken, die in ATT&CK for Enterprise beschrieben werden, sind derzeit beispielsweise über 400 verschiedene Techniken oder Angriffsmuster aufgelistet. Viele dieser Techniken enthalten auch Untertechniken, wodurch die Anzahl der Permutationen weiter erhöht wird. Viele Unternehmen haben die Zuordnung all dieser Daten zu ihrer aktuellen Sicherheitsinfrastruktur nicht automatisiert, was eine erhebliche Aufgabe sein kann.
Laut einer kürzlich von der University of California, Berkeley durchgeführten Studie verwenden nahezu alle Unternehmen das Framework, um Netzwerkereignisse mit verschiedenen Sicherheitsprodukten zu taggen. Jedoch hat nicht einmal die Hälfte der Befragten die im Framework angegebenen Änderungen der Sicherheitsrichtlinien automatisiert.
Zu den weiteren Herausforderungen zählen Schwierigkeiten beim Korrelieren von Cloud-basierten und On-Premises-Ereignissen oder die Unfähigkeit, Ereignisse von mobilen Geräten und Endpunkten zu korrelieren.
Wie verwenden Sie das MITRE ATT&CK-Framework?
Ein kürzlich veröffentlichter Report der US-amerikanischen Center for Cybersecurity and Infrastructure Security Agency (CISA) enthält Best Practices, mit denen Unternehmen das MITRE ATT&CK-Framework nutzen können, um Remediation- und Schutztechniken für Angriffe zuzuordnen. Die Studie ergab zwar, dass große Unternehmen das Framework einführen, doch die Mehrheit der Anwender bezweifelt, dass ihre aktuellen Sicherheitsprodukte alle in den ATT&CK-Matrizen aufgeführten Bedrohungen für ihre Infrastruktur erkennen können.
Wie nutzt VMware das MITRE ATT&CK-Framework?
Unternehmen profitieren von der Skalierbarkeit und Wirtschaftlichkeit der Cloud. Die Verlagerung von Anwendungen und Daten aus dem Rechenzentrum in Multi-Cloud-Umgebungen hat jedoch die Angriffsfläche erheblich vergrößert und setzt so Unternehmen einem erhöhten Risiko aus, Opfer eines verheerenden Ransomware-Angriffs zu werden. Darüber hinaus bestehen moderne Anwendungen aus Zehntausenden von Komponenten. Um sich gegen die immer raffinierteren und schädlicheren Ransomware-Angriffe von heute zu verteidigen, müssen Unternehmen über herkömmliche Firewalls der nächsten Generation am Perimeter und die Segmentierung innerhalb des Rechenzentrums hinausgehen. In der folgenden Session wird ein realer Ransomware-Angriff nach dem MITRE ATT&CK Framework analysiert und Sie erfahren, wie VMware-Innovationen in der Cloud in Kombination mit Cloud-to-Cloud-Sicherheit die stärkste Verteidigung in der Branche bieten: – Innovationen bei der Abwehr von Ransomware-Angriffen in modernen Multi-Cloud-Umgebungen
Unternehmen erkennen Lücken in ihren Abwehrmaßnahmen und verbessern ihre Fähigkeit, Netzwerkbedrohungen zu verhindern, zu erkennen und abzuwehren, indem sie ihre Netzwerksicherheitskontrollen MITRE ATT&CK zuordnen. In dieser Session wird erläutert, welche Vorteile die Zuordnung von Netzwerksicherheitskontrollen zu MITRE ATT&CK für Unternehmen bietet. Eine Übersicht zeigt, wie Sie Ihre Netzwerksicherheitskontrollen den Bewegungen der Angreifer in den MITRE ATT&CK-Taktiken und -Techniken zuordnen. Außerdem werden kritische Unterschiede in der MITRE ATT&CK-Abdeckung durch die NSX Defined Firewall, Intrusion Prevention-Systeme, Netzwerk-Sandbox und Netzwerkdatenverkehr hervorgehoben. – Zuordnen von NSX Firewall-Kontrollen zum MITRE ATT&CK-Framework
Nutzen Sie die MITRE ATT&CK-Matrix, um Sicherheitslücken zu erkennen, bevor ein Angreifer sie entdeckt. Erfahren Sie, wie Sie verschiedene Ausgangspunkte für eine effektivere Bedrohungsbekämpfung entwickeln und dadurch Ihren Sicherheitsstatus verbessern. Informieren Sie sich über die neueste Carbanak+FIN7-Evaluierung von MITRE sowie über die grundlegenden Schritte, um Ihr Programm zur Bedrohungsbekämpfung mit VMware Carbon Black Cloud und VMware NSX Advanced Threat Prevention zu verbessern. – Weiterentwicklung Ihres SOC mit dem MITRE ATT&CK-Framework
Zugehörige Lösungen und Produkte
NSX Network Detection and Response
KI-gestützte Korrelation von Ereignissen über mehrere Erkennungs-Engines hinweg
Carbon Black Cloud
Transformieren Sie Ihre Sicherheit mit intelligentem Endpunkt- und Workload-Schutz, der sich an Ihre Anforderungen anpassen lässt.
NSX Distributed Firewall
Interne Layer 7-Firewall