Das ATT&CK Framework von MITRE: Ein umfassender Leitfaden für IT-Sicherheit

Das ATT&CK Framework von MITRE: Ein umfassender Leitfaden für IT-Sicherheit

Das ATT&CK Framework von MITRE hat sich als eine essenzielle Wissensdatenbank für TTPs (Taktiken, Techniken und Prozeduren) in der IT-Sicherheitsbranche etabliert. Es bietet eine detaillierte Beschreibung der Methoden, die Angreifer bei Cyberattacken nutzen. Dieser Artikel erklärt, wie die Wissensdatenbank funktioniert und wie sie zur Stärkung der IT-Infrastruktur eingesetzt werden kann.

Die Struktur der Matrix

Die MITRE Corporation, eine amerikanische Non-Profit-Organisation, gründete das Projekt „Adversarial Tactics, Techniques & Common Knowledge“ (ATT&CK) im Jahr 2013, ursprünglich zur Beratung der US-Regierung. Zwei Jahre später wurde die Wissensdatenbank der Öffentlichkeit zugänglich gemacht. Die ATT&CK Matrix kategorisiert die verschiedenen Taktiken, Techniken und Prozeduren (TTPs) von Cyberangreifern:

Angreifer-Taktiken: Diese repräsentieren das „Warum“ hinter einer Technik und bieten Kontext zum Verhalten der Angreifer. Zum Beispiel dient Reconnaissance der Sammlung von Informationen, die in späteren Phasen des Angriffs verwendet werden.

Angreifer-Techniken: Diese beschreiben das „Wie“ – also die Methoden, die Angreifer verwenden, um ihre Ziele zu erreichen. Ein Beispiel wäre, wie gestohlene Anmeldedaten genutzt werden, um auf ein System zuzugreifen.

Angreifer-Prozeduren: Diese erklären die spezifische Umsetzung einer Technik. Zum Beispiel könnte beschrieben werden, wie ein Angreifer PowerShell verwendet, um Anmeldedaten aus dem Arbeitsspeicher eines Systems zu extrahieren.

Kategorien der ATT&CK Matrix

Die Matrix umfasst inzwischen drei Hauptbereiche, jeweils mit mehreren Unterkategorien:

• Enterprise (PRE, Windows, macOS, Linux, Cloud, Network, Containers)
• Mobile (Android, iOS)
• Industrial Control Systems

Dieser Artikel fokussiert sich auf die Methoden für Angriffe auf Enterprise-Umgebungen und zeigt, wie die einzelnen Angriffsphasen im Framework abgebildet werden.

Die Angriffsphasen im ATT&CK Framework

Ähnlich der Cyber-Kill-Chain ist die ATT&CK Matrix in 14 Kategorien unterteilt. Hier sind die Phasen mit Beispielen:

1. Reconnaissance: Angreifer sammeln Informationen für die nachfolgenden Phasen.
2. Resource Development: Angreifer beschaffen sich Ressourcen, wie z.B. Zugangsdaten.
3. Initial Access: Angreifer verschaffen sich Zugang zum Zielsystem oder -netzwerk.
4. Execution: Schadcode wird auf einem übernommenen System ausgeführt.
5. Persistence: Techniken werden verwendet, um später wieder Zugriff auf ein System zu erlangen.
6. Privilege Escalation: Angreifer verschaffen sich erhöhte Rechte, um sich weiter auszubreiten.
7. Defense Evasion: Techniken zur Umgehung oder Deaktivierung von Sicherheitsmaßnahmen werden eingesetzt.
8. Credential Access: Weitere Zugangsdaten werden gestohlen.
9. Discovery: Angreifer erkunden das Netzwerk, um weitere Ziele zu identifizieren.
10. Lateral Movement: Remote-Techniken werden verwendet, um sich im Netzwerk zu bewegen.
11. Collection: Wertvolle Daten werden gesammelt.
12. Command and Control: Kommunikation und Kontrolle über die übernommenen Systeme.
13. Exfiltration: Daten werden aus dem Netzwerk herausgeschleust.
14. Impact: Systeme werden manipuliert oder zerstört.

Jede Phase enthält mehrere Techniken, die in der Matrix detailliert beschrieben werden. Diese Beschreibungen beinhalten Beispiele, Angreifer Gruppen, die diese Techniken nutzen, sowie entsprechende Schutzmaßnahmen.

MITRE ATT&CK am Beispiel „Phishing“

Phishing, eine weitverbreitete Methode, wird im ATT&CK Framework als Teil der Reconnaissance-Phase beschrieben. Das Framework erläutert, wie Phishing-Nachrichten verwendet werden, um sensible Daten zu erlangen. Es gibt Beispiele dokumentierter Phishing-Angriffe und die Angreifer Gruppen, die diese Methode verwendet haben, wie z.B. die Gruppe „APT28“ (auch bekannt als „Fancy Bear“).

Das ATT&CK Framework bietet zudem Maßnahmen zur Prävention, wie Awareness-Schulungen gegen Social Engineering, und zeigt, wie solche Angriffe erkannt werden können, z.B. durch Logging oder Netzwerküberwachung.

Cyber Threat Intelligence mit MITRE ATT&CK

Die eindeutige Zuordnung aller Informationen im ATT&CK Framework ist besonders nützlich für Cyber Threat Intelligence (CTI). Das Framework bietet eine Übersicht über bekannte Angreifer Grüppen und deren Methoden. Diese Informationen helfen, das Verhalten der Angreifer zu verstehen und entsprechende Verteidigungsmaßnahmen zu ergreifen.

Stärkung der eigenen IT-Umgebung mit MITRE ATT&CK

Unter dem Abschnitt „Defenses“ sind verschiedene Maßnahmen zur Abwehr von Angriffen beschrieben, die auf die entsprechenden Angriffsmuster abgestimmt sind. Diese umfassen präventive Maßnahmen wie Audits und die Verwendung von Sensoren und Logging zur Angriffserkennung. Unternehmen können anhand des Frameworks ihre bestehenden Schutzmaßnahmen überprüfen und gegebenenfalls ergänzen.

Zusammengefasst bietet das MITRE ATT&CK Framework eine umfassende Wissensbasis für die Erkennung und Abwehr von Cyberangriffen, die sowohl für die IT-Sicherheit als auch für das aktive Threat Hunting äußerst wertvoll ist.

Bildrechte: Copyright: Balbix Inc. 3031 Tisch Way, Ste. 800, San Jose, CA 95128 / What is the MITRE ATT&CK Framework? | Balbix