MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) ist ein Framework, das eine Reihe von Datenmatrizen und ein Assessment-Tool umfasst. Es wurde 2013 von der MITRE Corporation entwickelt, um Unternehmen dabei zu unterstützen, ihre Sicherheitsreife einzuschätzen und Schwachstellen in ihrer Abwehr aufzudecken.

Das MITRE ATT&CK-Framework nutzt Beobachtungen aus der Praxis, um spezifische Angriffsmethoden, -taktiken und -techniken zu dokumentieren. Neu entdeckte Schwachstellen und Angriffsflächen werden dem ATT&CK-Framework hinzugefügt. Es entwickelt sich also ständig weiter. In den letzten Jahren haben sich das MITRE ATT&CK-Framework und die dazugehörigen Matrizen in puncto Angreiferverhalten zu einem Branchenstandard für Wissens- und Remediation-Tools entwickelt.

ATT&CK-Matrizen werden von einer Vielzahl von IT- und Sicherheitsexperten verwendet, darunter Red Teamer, die die Rolle von Angreifern oder Mitbewerbern spielen, Threat Hunter, Entwickler von Sicherheitsprodukten, Threat Intelligence-Teams und Risikomanagementexperten.

Red Teamer verwenden das MITRE ATT&CK-Framework als Blueprint, um Angriffsflächen und Schwachstellen in Unternehmenssystemen und -geräten aufzudecken und die Fähigkeit zu verbessern, Angriffe mit neu erlernten Informationen abzuwehren. Zu den gewonnenen Erkenntnissen gehören u.a., wie Angreifer Zugriff erlangt haben, wie sie sich innerhalb des betroffenen Netzwerks bewegen und mit welchen Methoden sie sich der Entdeckung entziehen. Mit diesen Tools erhalten Unternehmen einen besseren Überblick über ihren allgemeinen Sicherheitsstatus, können Sicherheitslücken identifizieren und testen sowie potenzielle Sicherheitslücken basierend auf ihrem Risiko für das Unternehmen priorisieren.

Threat Hunter decken mithilfe des ATT&CK-Frameworks Zusammenhänge zwischen den spezifischen Methoden auf, die Angreifer zur Abwehrumgehung nutzen. Sie gewinnen zudem Erkenntnisse über die Sichtbarkeit von Angriffen, die sowohl an Endpunkten als auch im gesamten Netzwerkperimeter auf ihre Abwehrmaßnahmen abzielen.

Entwickler und Techniker von Sicherheitsplattformen bewerten mit MITRE ATT&CK die Effektivität ihrer Produkte, decken bisher unbekannte Schwachstellen auf und modellieren, wie sich ihre Produkte während des Lebenszyklus eines Cyberangriffs verhalten werden.

MITRE ATT&CK ist die Abkürzung von MITRE Adversarial Tactics, Techniques und Common Knowledge. Das MITRE ATT&CK-Framework ist ein kuratiertes Repository mit Matrizen, die ein Modell für das Verhalten von Cyberangriffen bereitstellen. Die Darstellung erfolgt in der Regel in Tabellenform. Dabei enthalten die Spalten die Taktiken (oder gewünschten Ergebnisse) während eines Angriffs und die Zeilen die Techniken, mit denen die taktischen Ziele erreicht werden. Im Framework werden auch die Techniknutzung und sonstige mit den einzelnen Techniken verknüpfte Metadaten dokumentiert.

Das MITRE ATT&CK Framework ist aus einem MITRE-Experiment hervorgegangen, bei dem sowohl Angreifer als auch Verteidiger emuliert wurden. Das Ziel bestand darin, den Ablauf von Angriffen zu verstehen und die Erkennung eines erfolgten Angriffs mithilfe von Telemetrieerkennung und Verhaltensanalysen zu optimieren. Um besser einzuschätzen, wie gut die Branche dokumentiertes Angreiferverhalten erkennt, wurde das ATT&CK-Framework als Tool zum Kategorisieren dieser Verhaltensweisen entwickelt.

Das ATT&CK-Framework besteht derzeit aus vier Hauptmatrizen. PRE-ATT&CK und ATT&CK for Enterprise beziehen sich beide auf Angriffe auf die Unternehmensinfrastruktur.

PRE-ATT&CK: Viele der Aktivitäten von Angreifern (z.B. Aufklärung und Ressourcenentwicklung), die im Vorfeld eines Angriffs durchgeführt werden, sind für die betroffenen Unternehmen nicht sichtbar. Daher ist es äußerst schwierig, diese Taktiken und Techniken der Angriffsvorbereitung zu erkennen. Cyber-Angreifer können beispielsweise frei verfügbare Informationen im Internet, Beziehungen des Unternehmens zu anderen bereits kompromittierten Unternehmen oder andere Methoden für den Zugriff nutzen. Mit PRE-ATT&CK können Unternehmen diese Angriffsvorbereitungen, die außerhalb ihres Netzwerkperimeters stattfinden, besser überwachen und verstehen.

ATT&CK for Enterprise: ATT&CK for Enterprise beschreibt in einem Modell detailliert die Aktionen, mit denen Cyber-Angreifer ein Unternehmensnetzwerk kompromittieren und ihre Aktivitäten dort ausführen. Die Matrix enthält spezifische Taktiken und Techniken für eine Vielzahl von Plattformen wie Windows, macOS, Linux, Azure AD, Office 365, Google Workspace, SaaS, IaaS, Netzwerke und Container. Die PRE-ATT&CK-Matrix war ursprünglich Teil von ATT&CK for Enterprise, da sie sich ebenfalls auf Versuche konzentriert, die Unternehmensinfrastruktur zu kompromittieren. Das Enterprise-Framework unterstützt Unternehmen dabei, ihre Netzwerkverteidigung zu priorisieren, um sich auf das für sie größte Risiko zu konzentrieren.

ATT&CK for Mobile: Die Matrix „ATT&CK for Mobile“ beschreibt Taktiken und Techniken, mit denen sowohl iOS- als auch Android-Mobilgeräte kompromittiert werden. ATT&CK for Mobile baut dabei auf dem NIST-Katalog der Bedrohungen für Mobilgeräte auf und katalogisiert derzeit ein Dutzend Taktiken und über 100 Techniken, mit denen Angreifer Mobilgeräte beeinträchtigen, um ihre bösartigen Ziele umzusetzen. Darüber hinaus listet ATT&CK for Mobile netzwerkbasierte Effekte auf – Taktiken und Techniken, die ohne Zugriff auf das eigentliche Gerät eingesetzt werden können.

ATT&CK for ICS: MITRE ATT&CK for Industrial Control Systems (ICS) ist die neueste Matrix der ATT&CK-Produktreihe. Sie ähnelt ATT&CK for Enterprise, ist jedoch speziell auf industrielle Steuerungssysteme wie Stromnetze, Fabriken und andere Unternehmen ausgerichtet, die auf vernetzte Maschinen, Geräte, Sensoren und Netzwerke angewiesen sind.

Alle Matrizen enthalten detaillierte technische Beschreibungen der Techniken, die während des gesamten Lebenszyklus eines Adversarial-Angriffs für die einzelnen Taktiken verwendet werden. Sie informieren über Ressourcen und Systeme, auf die die Techniken abzielen, über Ansätze für die jeweilige Risikominderung und Gegenmaßnahmen sowie über Erkennungsanalysen, mit denen die Techniken aufgedeckt werden. Zudem werden Nutzungsbeispiele aus der Praxis angeführt.

In den Matrizen werden die Taktiken linear dargestellt und beschreiben den Angriffslebenszyklus von der Aufklärung bis zum angestrebten Ziel. Letzteres kann darin bestehen, Informationen zu exfiltrieren und/oder Dateien für Ransomware-Zwecke zu verschlüsseln, oder eine andere bösartige Aktion sein.

Der Hauptvorteil des ATT&CK-Frameworks besteht darin, dass Unternehmen nachvollziehen können, wie Angreifer vorgehen. Sie wissen, welche Schritte Angreifer möglicherweise planen, um ersten Zugriff zu erlangen, das System zu erkunden, sich lateral zu bewegen und Daten zu exfiltrieren. Das Framework erlaubt es Teams, Aktivitäten aus der Perspektive des Angreifers zu betrachten und dessen Beweggründe und Taktiken besser zu verstehen. Letztlich können Unternehmen dieses Wissen nutzen, um Lücken in ihrem Sicherheitsstatus zu identifizieren und die Erkennung von Bedrohungen sowie die Reaktion darauf zu verbessern. Dazu prognostizieren die Teams die nächsten Schritte des Angreifers und beschleunigen so die Remediation. Im Sport heißt es oft, „Angriff ist die beste Verteidigung“. Auch im Bereich Cyber-Security führt die Kenntnis der vom Angreifer genutzten Mittel dazu, dass Netzwerk, Geräte und Anwender wesentlich besser geschützt werden.

Darüber hinaus unterstützen die Frameworks in der aktuellen Arbeitsumgebung, in der es einen gravierenden Fachkräftemangel im Bereich Cyber-Security gibt, Nachwuchskräfte oder neu eingestellte Sicherheitsmitarbeiter. Sie erhalten Zugang zum kollektiven Wissen aller Sicherheitsexperten, die vor ihnen an den Matrizen des MITRE ATT&CK-Frameworks mitgewirkt haben, und zu den Recherche-Tools, die sie für eine schnelle Reaktion auf Bedrohungen jeder Art benötigen.

Mit zunehmender Anzahl und Größe werden ATT&CK-Matrizen auch immer komplexer. Die Anzahl der Kombinationen und Permutationen von Taktiken und Techniken im Framework ist zwar äußerst detailliert dargestellt, kann jedoch aufgrund der schieren zu verarbeitenden Datenmenge überwältigend sein.

Für die 14 Taktiken, die in ATT&CK for Enterprise beschrieben werden, sind derzeit beispielsweise über 400 verschiedene Techniken oder Angriffsmuster aufgelistet. Viele dieser Techniken enthalten auch Untertechniken, wodurch die Anzahl der Permutationen weiter erhöht wird. Viele Unternehmen haben die Zuordnung all dieser Daten zu ihrer aktuellen Sicherheitsinfrastruktur nicht automatisiert, was eine erhebliche Aufgabe sein kann.

Laut einer kürzlich von der University of California, Berkeley durchgeführten Studie verwenden nahezu alle Unternehmen das Framework, um Netzwerkereignisse mit verschiedenen Sicherheitsprodukten zu taggen. Jedoch hat nicht einmal die Hälfte der Befragten die im Framework angegebenen Änderungen der Sicherheitsrichtlinien automatisiert.

Zu den weiteren Herausforderungen zählen Schwierigkeiten beim Korrelieren von Cloud-basierten und On-Premises-Ereignissen oder die Unfähigkeit, Ereignisse von mobilen Geräten und Endpunkten zu korrelieren.

Ein kürzlich veröffentlichter Report der US-amerikanischen Center for Cybersecurity and Infrastructure Security Agency (CISA) enthält Best Practices, mit denen Unternehmen das MITRE ATT&CK-Framework nutzen können, um Remediation- und Schutztechniken für Angriffe zuzuordnen. Die Studie ergab zwar, dass große Unternehmen das Framework einführen, doch die Mehrheit der Anwender bezweifelt, dass ihre aktuellen Sicherheitsprodukte alle in den ATT&CK-Matrizen aufgeführten Bedrohungen für ihre Infrastruktur erkennen können.