MITRE ATT&CK Framework: Security Software vergleichen und bewerten

25. September, 2024

Das MITRE ATT&CK Framework (Adversarial Tactics, Techniques, and Common Knowledge) ist ein besonders umfassendes und weit verbreitetes Cybersecurity-Modell, das Cyberbedrohungen und Angriffsmethoden beschreibt. Es kategorisiert die Taktiken (übergeordnete Angriffsziele) und Techniken (konkrete Methoden), die Cyberkriminelle in verschiedenen Phasen eines Angriffs verwenden.

Verglichen mit dem Konzept der Cyber Kill Chain, die den typischen Ablauf eines Cyberangriffs in sieben Phasen darstellt, bietet das MITRE ATT&CK Framework eine weitaus detailliertere Analyse der einzelnen Angriffsphasen und der spezifischen Techniken, die in jeder Phase genutzt werden können.

Was ist das MITRE ATT&CK Framework?

Das von der Non-Profit-Organisation MITRE Corporation entwickelte Framework bietet Sicherheitsanalysten und Unternehmen eine systematische und strukturierte Methode, um Cyberangriffe zu klassifizieren, zu analysieren und abzuwehren. Es wurde 2010 aus der Notwendigkeit heraus entwickelt, das Verhalten in Cyberattacken systematisch zu kategorisieren und zu dokumentieren. [1]

Das MITRE ATT&CK Framework ist öffentlich zugänglich und wird ständig weiterentwickelt und aktualisiert, um neuen Bedrohungen und Angriffstechniken gerecht zu werden. Es visualisiert die verschiedenen Phasen eines Angriffs in Form einer Matrix, wobei jede Phase als „Taktik“ dargestellt wird – von der initialen Erkundung bis zur Datenexfiltration. Jede dieser Taktiken umfasst spezifische „Techniken“, die Angreifer*innen nutzen, um ihre Ziele in den jeweiligen Phasen zu erreichen.

Bedrohungsmodelle für Enterprise, Mobile und ICS

Das MITRE ATT&CK Framework ist auf drei technische Bereiche ausgerichtet, um unterschiedliche Szenarien gezielt abzudecken:

  1. Enterprise: Fokussiert auf typische Unternehmensumgebungen mit Windows- und Linux-Systemen, sowohl lokal als auch in der Cloud. Es umfasst 14 Taktiken und etwa 200 Techniken.
  2. Mobile: Ausgerichtet auf mobile Endgeräte wie Android und iOS. In diesem Bereich sind 14 Taktiken und rund 70 Techniken enthalten.
  3. ICS (Industrial Control Systems): Speziell für industrielle Steuerungssysteme entwickelt, deckt es IoT- und OT-Bereiche (Operational Technology) ab. Hier sind 12 Taktiken und etwa 80 Techniken integriert.

Der Fokus des Frameworks liegt darauf, eine detaillierte und umfassende Darstellung der Angriffsphasen zu bieten, die Angreifer*innen in verschiedenen Umgebungen durchlaufen. Mit den entsprechenden Taktiken und Techniken hilft es, bekannte und auch noch unbekannte Bedrohungsmethoden zu identifizieren und Sicherheitsmaßnahmen gezielt zu verbessern.

Kernkonzepte des MITRE ATT&CK Frameworks

Taktiken/Phasen: Taktiken beschreiben die übergeordneten Ziele oder Absichten, die ein Angreifer in einer bestimmten Phase eines Angriffs erreichen will. Beispiele für Taktiken sind Reconnaissance (Erkundung und Informationssammlung), Privilege Escalation (Erhöhung der Benutzerrechte), Persistence (Aufrechterhaltung des Zugangs) oder Exfiltration (Datenabfluss). Jede Taktik stellt das „Was“ eines Angriffs dar – das Ziel, das der Angreifer anstrebt.

Techniken: Techniken beschreiben die konkreten Methoden, die Angreifer verwenden, um eine bestimmte Taktik zu realisieren. Sie beantworten das „Wie“ des Angriffs. So könnte ein Angreifer zur Taktik „Persistence“ die Technik „Scheduled Task/Job“ einsetzen, um dauerhaft Zugang zum Zielsystem zu erhalten. Techniken sind vielfältig und oft flexibel einsetzbar, abhängig vom spezifischen Ziel und der Umgebung.

Untertechniken: Untertechniken sind detailliertere Varianten einer Technik, die spezifische Ausprägungen dieser Methode näher beschreiben. So könnte die Technik „Phishing“ etwa Untertechniken wie „Spearphishing Attachment“ (bösartige Anhänge in E-Mails) oder „Spearphishing Link“ (bösartige Links) umfassen. Untertechniken bieten eine noch präzisere Analyse, wie genau Angreifer*innen eine bestimmte Technik ausführen.

Darstellung in Matrizen: Die ATT&CK-Matrix ist eine visuelle Übersicht, die Taktiken als Spalten und Techniken als Zeilen anordnet. Dies ermöglicht einen klaren Überblick über mögliche Angriffswege und Abfolgen von Techniken, die Angreifer in einem Angriffsszenario verwenden könnten. Die Matrix wird oft genutzt, um Angriffswege zu identifizieren und Sicherheitslücken zu erkennen, indem sie zeigt, welche Taktiken und Techniken in verschiedenen Phasen eines Angriffs eingesetzt werden können.

Ziele und Nutzen des MITRE ATT&CK Frameworks

Dank seiner strukturierten Aufbereitung und umfassenden Abdeckung ist das MITRE ATT&CK Framework ein wertvolles Werkzeug für Sicherheitsanalysten und IT-Teams. Es deckt alle Phasen eines Sicherheitszyklus ab:

  • Vorbereitung: Identifizierung potenzieller Bedrohungsszenarien und Schwachstellen basierend auf bekannten Angriffstaktiken.
  • Analyse: Untersuchung von Angriffsmustern und Verhaltensweisen, um zu verstehen, welche Techniken Angreifer verwenden könnten.
  • Erkennung: Verbesserung der Erkennungsmechanismen durch die Ausrichtung auf spezifische Techniken, die in realen Angriffen genutzt werden.
  • Dokumentation: Strukturierte Erfassung und Aufzeichnung von Angriffen und Vorfällen zur späteren Analyse und Optimierung von Abwehrstrategien.

Jede Phase wird durch spezifische Bereiche des Modells unterstützt, die eine umfassende Anwendung ermöglichen.

Anwendungsfälle des MITRE ATT&CK Frameworks

  1. Bedrohungsanalyse und Identifikation:
  2. In der Praxis werden für die Bedrohungsanalyse und -erkennung vor allem Threat Intelligence-Plattformen und EDR-Systeme (Endpoint Detection and Response) eingesetzt. Diese Werkzeuge können Sicherheitsanalysten dabei unterstützen, Angriffe zu kategorisieren und Bedrohungen auf Basis realer Angriffstechniken zu identifizieren und mit den über 152 dokumentierten kriminellen Gruppen zu korrelieren. Bedrohungsinformationen werden auf der Grundlage des Frameworks gesammelt, analysiert und strukturiert, um Angriffe genau zu verfolgen und mögliche nächste Schritte der Angreifer vorherzusagen.
  3. Erkennungs- und Reaktionstests: Erkennungs- und Reaktionstests werden in der Regel mit SIEM-Systemen (Security Information and Event Management) durchgeführt, die Protokolldaten aus einer Vielzahl von Quellen sammeln und analysieren. Diese Systeme korrelieren sicherheitsrelevante Ereignisse mit Angriffstechniken aus dem MITRE ATT&CK Framework, um Schwachstellen in der Verteidigung zu identifizieren und die Wirksamkeit bestehender Erkennungssysteme zu testen. SOAR-Plattformen (Security Orchestration, Automation and Response) unterstützen die Automatisierung von Reaktionsprozessen, indem sie auf Basis des Frameworks automatisierte Verteidigungs-Playbooks erstellen.
  4. Red Teaming und Penetrationstests: Das Framework bietet eine strukturierte Grundlage für Red-Teaming-Aktivitäten und Penetrationstests, indem reale Angriffstechniken, die im MITRE ATT&CK Framework beschrieben sind, simuliert werden. Unternehmen können gezielt Schwachstellen in der IT-Infrastruktur testen und die Effektivität ihrer Sicherheitsmaßnahmen validieren.
  5. Bedrohungsinformationsaustausch: Der Austausch von Bedrohungsinformationen wird durch die standardisierte Terminologie des ATT&CK Frameworks erleichtert, die in den meisten Threat Intelligence Plattformen und SIEM-Systemen integriert ist. Diese Tools fördern den Austausch aktueller Bedrohungsinformationen zwischen Organisationen, indem sie Bedrohungsdaten in einer gemeinsamen Sprache bereitstellen und die Zusammenarbeit in der Cybersicherheitsbranche verbessern.

Zusätzlich zu diesen praktischen Anwendungsbereichen bietet das MITRE ATT&CK Framework eine umfassende Datenbank mit relevanten Zusatzinformationen. Dazu gehören Informationen über cyberkriminelle Gruppen und deren Angriffstechniken, Definitionen von Datenquellen, um Sicherheitsereignisse zu korrelieren, Assets und Verteidigungsoptionen für verschiedene Angriffsszenarien sowie Hinweise auf verwendete Softwarepakete und deren mögliche Abwehrmethoden. Bis heute wurden etwa 30 kriminelle Kampagnen dokumentiert, die Sicherheitsexperten bei der Überwachung der Aktivitäten von Bedrohungsakteuren unterstützen.

MITRE ATT&CK Evaluations

Die MITRE ATT&CK Evaluations nutzen das Framework, um die Wirksamkeit von Sicherheitslösungen anhand der im Framework beschriebenen Taktiken und Techniken zu messen. Produkte wie z. B. Endpoint Detection and Response (EDR)-Lösungen werden getestet, indem sie realistische Angriffsszenarien durchspielen, die auf den im Framework beschriebenen Techniken basieren. Dabei wird geprüft, wie gut eine Lösung diese Angriffe erkennt, meldet und darauf reagiert.

Ziele dieser Tests der MITRE Corporation sind eine neutrale und unabhängige Bewertung von Sicherheitslösungen, basierend auf standardisierten Angriffsmethoden. Sie ermöglichen einen objektiven Vergleich der Leistungsfähigkeit der teilnehmenden Sicherheitsprodukte. Außerdem helfen die Evaluierungen Sicherheitsanbietern, Schwachstellen in ihren Produkten zu identifizieren und gezielte Verbesserungen vorzunehmen.

Das könnte Sie auch interessieren:

EDR: Wieso ein Virenschutz allein nicht mehr reicht

Bedrohungsmodellierung: ein praxisnaher Leitfaden

Threat Intelligence effektiv in die Cyber-Abwehr integrieren

[1] https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf

HarfangLab Guard
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren
Gefahren durch vertrauenswürdige Services
Threat Intelligence
SQL Injection
SMTP Smuggling
Cyber-Risiken in der Ferienzeit

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download