beebright - stock.adobe.com
Wie können Unternehmen das MITRE ATT&CK Framework nutzen?
Wenn Unternehmen im Detail verstehen, wie Angreifer vorgehen und welche Taktiken sie einsetzen, kann dies die Abwehr stärken. Ein Tool hilft dabei, dies gezielt umzusetzen.
Red-Team-Experten, Incident Responder und Cyber-Threat-Intelligence-Analysten haben eine genaue Vorstellung vom MITRE ATT&CK Framework, andere Teams und Manager hingegen oftmals nicht. Mit Hilfe einer Analogie sollte aber klar werden, was mit diesem Framework gemacht werden kann und vor allem welchen Nutzen Unternehmen davon haben.
ATT&CK ist ein von MITRE entwickeltes Bedrohungsanalyse-Framework, das ein strukturiertes Verständnis der einzelnen Angriffsphasen (Taktiken), die mögliche Methodologie, die für jede Phase genutzten Tools (Techniken) sowie die Erkennungs- und Behebungsfunktionen (Vorgehensweisen) für jede dieser Techniken liefert. Bei dieser Beschreibung, kann man sich gut vorstellen, weshalb der Zweck und der Wert von MITRE ATT&CK nicht für jeden offensichtlich ist.
Was leistet das Framework?
Aus Sicht eines Bundesligatrainers wird die Funktion und der Nutzen des Frameworks vermutlich verständlicher: MITRE ATT&CK ist ein Tool, das ein strukturiertes und detailliertes Verständnis für die Spieltaktik der Gegner vermittelt. Durch die ausführliche Darstellung von Techniken (Bewegungen der Spieler) und Taktiken (aufeinanderfolgende Spielphasen von der Verteidigung bis zur Schussposition) bietet es auch Echtzeit-Erkennungsfunktionen für alle Spielphasen sowie Gegenmaßnahmen, die in jeder Phase gegen die Bewegungen eines jeden Spielers angewandt werden können. So kann ein erfolgreicher Torschuss verhindert werden.
Als Trainer würde man dieses Tool mit hoher Wahrscheinlichkeit für die zwei folgenden Ziele einsetzen:
- Spielvorbereitung: Wenn die Mannschaft in zwei Wochen gegen Real Madrid spielen würde, wäre es wahrscheinlich, dass der Trainer sich den gesamten MITRE ATT&CK-Datensatz zu Real Madrid herunterladen und mithilfe von MITRE ATT&CK als strukturierter Sprache ein spezielles Trainingsprogramm und einen speziellen Spielplan für sein Team aufstellen würde – in einer für jeden verständlichen Sprache. Wenn alle Spieler in der Lage sind, das Spiel von Real Madrid in Echtzeit wie ein offenes Buch zu „lesen“, kann das Team jede Angriffsphase identifizieren und verstehen sowie die Durchführung des Angriffs verhindern. Wenn es nicht gelingt, die Angreifer in der Anfangsphase zu stoppen, ist auf Basis der Positionen der Feldspieler allerdings klar, welcher Spielzug als nächstes zu erwarten ist. Wenn diese Verteidigungsstrategie konsequent angewandt wird, würde es Real Madrid niemals über die Mittellinie schaffen, geschweige denn in Schussposition gelangen.
- Abwehr stärken: Alle bisherigen Spiele und die dazugehörigen Informationen können hierfür in den MITRE ATT&CK Framework hochgeladen werden, um gegebenenfalls eine für das Team nützliche Analyse des bisherigen Verhaltens zu erstellen. Immer wiederkehrende Fehler und bestehende Schwächen können eingegrenzt werden, wenn erkannt wird, wann und wie ein Angriff des Gegners erfolgreich ist. Die Reduktion solcher Schwächen und ihre Umwandlung in Techniken und Taktiken würden einen sehr einfachen Trainingsplan für das Team liefern.
Und genau das ist die Aufgabe von MITRE ATT&CK in Bezug auf die Cybersecurity.
Vorbereitung auf die nächste große Bedrohung
Sollte das nationales CERT einen Bericht zu einer besonders aggressiven Angriffskampagne gegen eine für das Unternehmen relevante Branche veröffentlichen, ermöglicht die Aufnahme dieses Berichts in das MITRE ATT&CK Framework den Sicherheitsteams auch, diese Bedrohungsinformationen sofort in Maßnahmen umzuwandeln.
„Wenn alle Abteilungen über die passenden Gegenmaßnahmen informiert sind, und dafür die gemeinsame, strukturierte Sprache des ATT&CK Frameworks nutzen, ist ein Unternehmen in der Lage, einen einheitlichen Plan zu erstellen und Prioritäten für alle Abteilungen festzulegen.
Markus Auer, ThreatQuotient
Fragen in Bezug auf die Anfälligkeit der Infrastruktur und den entsprechend nötigen Anpassungen, den Implementierungsbedarf im SOC und Perimeter-SECOPS können so ebenfalls beantwortet werden. Das Unternehmen und die verantwortlichen Teams sind auf die nächste Bedrohung besser vorbereitet. Sollte doch eine Infiltrierung stattgefunden haben, ist sofort klar, in welcher Phase sich der Angriff aktuell befindet und welche Maßnahmen ergriffen werden müssen, um diesen zu stoppen.
An Schwächen arbeiten
Überträgt man das Beispiel der Informationen über frühere Spiele auf die Angriffshistorie der Unternehmens-IT, können vergangene Sicherheitsvorfälle (mit den dazugehörigen Artefakten) und die letzten Sichtungen des SOC (auch wenn diese, als sie auftraten, nicht zu Vorfällen führten) ebenfalls zur Durchführung einer Analyse über MITRE ATT&CK genutzt werden. Wiederkehrende und besonders effektive Taktiken und Techniken werden sofort hervorgehoben.
Mit diesem Wissen ist es den SOCs möglich, einen einfachen Plan zur Verbesserung der unternehmensweiten Abwehr zu erarbeiten. Wenn alle Abteilungen über die passenden Gegenmaßnahmen informiert sind, die im Falle eines Cyberangriffs zu ergreifen sind, und dafür die gemeinsame, strukturierte Sprache des ATT&CK Frameworks nutzen, ist ein Unternehmen in der Lage, einen einheitlichen Plan zu erstellen und Prioritäten für alle Abteilungen festzulegen (SOC, Incident Response, SECOPS, Risikomanagement, und so weiter).
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.