beebright - stock.adobe.com

Tipp

5 Open-Source-Tools für das Mitre ATT&CK-Framework

Sicherheitsteams, die das Mitre ATT&CK-Framework verwenden, sollten den Einsatz dieser Open-Source-Tools in Erwägung ziehen, um Angriffstechniken besser zu identifizieren.

Ashwin Krishnan
von
Zuletzt aktualisiert:30 Dez. 2024

Das Mitre ATT&CK-Framework ist eine weltweit anerkannte Wissensbasis, die die Taktiken, Techniken und Verfahren kategorisiert und beschreibt, die Angreifer einsetzen, um Systeme, Netzwerke und Daten zu kompromittieren. Es bietet eine gemeinsame Sprache und Struktur, um Sicherheitsteams dabei zu helfen, das Verhalten von Angreifern zu verstehen und zu analysieren, damit sie Bedrohungen besser erkennen, verhindern und darauf reagieren können.

Die Verwendung des Frameworks ermöglicht es Sicherheitsexperten, einschließlich Incident Response Teams, Red Teams, SOC-Teams (Security Operations Center), Threat Hunter, Threat-Intelligence-Analysten und Risikomanagement-Teams, Systeme und Prozesse zu testen und die Netzwerkverteidigungsmaßnahmen zu verbessern.

Trotz seiner Nützlichkeit erweist sich die Umsetzung des Frameworks manchmal als schwierig. Organisationen, darunter The Mitre Corporation, haben Tools entwickelt, die das Framework ergänzen und seine Anwendbarkeit verbessern.

Im Folgenden werden fünf Open-Source-Tools für das Mitre ATT&CK Framework vorgestellt, die das Framework zur gezielten Abwehr von Angreifern nutzen.

Anmerkung der Redaktion: Diese nicht bewertete Liste von Tools basiert auf den gründlichen Recherchen des Autors und seinen Kenntnissen der Branche aus erster Hand.

1. Mitre ATT&CK Navigator

Der von Mitre entwickelte ATT&CK Navigator unterstützt Sicherheitsteams bei der Visualisierung und Navigation von ATT&CK-Matrizen. Das webbasierte Tool umfasst interaktive ATT&CK-Visualisierungen, lässt sich mit anderen Mitre-Tools und -Ressourcen integrieren und verfügt über Datenexportfunktionen für weitere Analysen und Schulungszwecke.

Sicherheitsexperten können ATT&CK Navigator verwenden, um den Umfang eines Vorfalls zu verstehen, potenzielle Angriffsvektoren zu identifizieren und Reaktionsstrategien zu planen. Mit ATT&CK Navigator können Sicherheitsanalysten und Reaktionsteams das Verhalten von Angreifern besser verstehen und analysieren, welche spezifischen Taktiken, Techniken und Verfahren (TTPs, Tactics, Techniques and Procedures) auf ihre Organisationen abzielen könnten.

2. CISA Decider

Decider wurde von der CISA in Zusammenarbeit mit dem Homeland Security Systems Engineering and Development Institute und Mitre entwickelt und ist eine Webanwendung für die Zuordnung von Angreifertechniken zum ATT&CK-Framework. Die CISA hat Decider so konzipiert, dass es mit anderen Tools zusammenarbeitet; so ermöglicht es Sicherheitsexperten beispielsweise, die Daten und Ergebnisse des ATT&CK Navigators zu visualisieren.

Decider stellt eine Reihe von Fragen, die Sicherheitsexperten dabei helfen, die TTPs der Angreifer dem ATT&CK-Framework zuzuordnen. Sicherheitsteams können dann Analysen und Daten zur Erkennung von Angriffstechniken sammeln, Angriffsabwehrmaßnahmen erstellen und Bedrohungsabwehrpläne entwickeln. Decider enthält eine Suchfunktion für den Fall, dass die gestellten Fragen nicht die richtige Technik im Arbeitsablauf ergeben oder wenn der Benutzer zu einer bestimmten Technik oder Untertechnik springen möchte.

3. Atomic Red Team

Atomic Red Team wurde vom Anbieter für Bedrohungserkennung und -bekämpfung (Threat Detection and Response) Red Canary entwickelt und wird von Freiwilligen gepflegt. Es handelt sich um eine Bibliothek mit vorgefertigten Tests, die bestimmten ATT&CK-Techniken zugeordnet sind. Jeder Test dauert etwa fünf Minuten.

Mit Atomic Red Team können Sicherheitsteams Folgendes tun:

  • Simulieren Sie gegnerische TTPs.
  • Testen Sie Sicherheitskontrollen und Verteidigungsmaßnahmen, sowohl einmalig als auch kontinuierlich.
  • Überprüfung der Erkennungs- und Reaktionsmöglichkeiten.
  • Bewertung der operativen Bemühungen und Kenntnisse des Sicherheitsteams.

Atomic Red Team umfasst die folgenden Funktionen:

  • Chain Reactor ermöglicht es Teams, mehrere Tests zu kombinieren, um komplexere Angriffe durchzuführen.
  • Invoke-Atomic ist ein PowerShell-basiertes Framework, mit dem Teams Tests erstellen und Angriffe über Plattformen und Netzwerkverbindungen hinweg simulieren können.
  • AtomicTestHarnesses ist ein PowerShell-Modul zum gleichzeitigen Testen mehrerer Varianten einer einzelnen Angriffsmethode.

4. Mitre Caldera

Caldera ist eine von Mitre entwickelte Plattform, die das ATT&CK-Framework für die Durchführung und Automatisierung von Red-Team-Aufgaben nutzt. Zu den Anwendungsfällen von Caldera gehören die folgenden:

  • Automatisieren Sie die Emulation von Angreifern. Red Teams können Angreiferprofile erstellen, um die TTPs von Angreifern zu automatisieren und Schwachstellen in der Sicherheitskontrolle zu identifizieren.
  • Testen Sie Sicherheits-Tools. Durch automatisierte Tests von Plattformen zur Erkennung und Abwehr von Bedrohungen können Teams überwachen, ob die Tools Warnungen erzeugen, autonome Schadensbegrenzung betreiben und vieles mehr.
  • Durchführung von Red-Team-Bewertungen. Sicherheitsteams können Caldera in Verbindung mit vorhandenen Tools zur Durchführung manueller Bewertungen verwenden.
  • Testen Sie rote und blaue Teams. Unternehmen können Cyberangriffe und andere Lernmöglichkeiten durchführen, um Teams beim Üben und Verwalten von Cybersicherheits-Tools und -Verteidigungsmaßnahmen zu unterstützen.

Das Mitre-Tool verwendet außerdem Plug-ins, um zusätzliche Fähigkeiten und Funktionen zu aktivieren. Dazu gehören die Unterstützung von Protokollen der Betriebstechnologie, wie Building Automation and Control Networks, Distributed Network Protocol 3 und Modbus, Reverse-Engineering-Funktionen, die Integration mit Atomic Red Team und Metasploit und vieles mehr.

5. ATT&CK in STIX

Structured Threat Information eXpression (STIX), das von Mitre für das US-Heimatschutzministerium entwickelt und von der Open-Source-Standardisierungsorganisation OASIS gepflegt wird, ist eine Sprache und ein Serialisierungsformat für den Austausch von Bedrohungsdaten in einem standardisierten Format.

Die Bedrohungsdaten werden visuell dargestellt oder als JSON-Datei gespeichert. Die Verwendung von ATT&CK-Daten im STIX-Format ermöglicht die Interoperabilität zwischen Sicherheitstools und -plattformen für den Austausch von Daten über Cyberbedrohungen. STIX funktioniert mit mehreren strukturierten Sprachen, darunter Cyber Observable eXpression von OASIS und Malware Attribute Enumeration and Characterization sowie Common Attack Pattern Enumeration and Classification von Mitre.

STIX bietet eine einheitliche Architektur, die es Sicherheitsteams ermöglicht, die folgenden Informationen über Cyberbedrohungen zu sammeln, zu erfassen und weiterzugeben:

  • Allgemeine Informationen über Bedrohungen.
  • Indicator of Compromise (IOC).
  • Aktionen der Angreifer.
  • TTPs der Angreifer.
  • Gezielte Anfälligkeiten und Schwachstellen.
  • Maßnahmen zur Reaktion auf Vorfälle.
  • Identifizierung von Bedrohungsakteuren und Kampagnen.

Mit Daten im STIX-Format können Sicherheitsexperten Bedrohungsdaten innerhalb ihrer eigenen Organisation sowie mit externen Parteien, einschließlich Anbietern und Partnern, austauschen.

Erfahren Sie mehr über Bedrohungen