5 typische Anwendungsfälle für das Mitre ATT&CK Framework

Was ist das Mitre ATT&CK Framework?

Das 2013 entwickelte ATT&CK Framework - kurz für Adversarial Tactics, Techniques and Common Knowledge - definiert die Ziele und Methoden von Angreifern, um die Sicherheitskontrollen von Windows-Netzwerken zu durchbrechen. Es konzentrierte sich auf die folgenden vier Hauptherausforderungen:

• Verhalten der Angreifer.
• Veraltete und nicht mehr zeitgemäße Lebenszyklusmodelle.
• Relevanz für tatsächliche Produktionsumgebungen.
• Standardisierte Taxonomie.

Im Laufe der Jahre hat sich das Framework weiterentwickelt, da sich die Organisationen und die Bedrohungslandschaft verändert und vergrößert haben.

Mitre bietet jetzt eine Anleitung, wie man auf verschiedene Cyberangriffstaktiken und -techniken reagieren kann, und gibt Ratschläge für die Verwendung seines Frameworks. Mitre ATT&CK zeigt auch, wie man Angriffsszenarien nachstellt und Schwachstellenanalysen durchführt, um Schwachstellen genau zu bewerten und den Reifegrad des Security Operations Center (SOC) zu beurteilen.

Anwendungsfälle von Mitre ATT&CK

Sicherheitsteams, die mit dem Framework arbeiten wollen, sollten die folgenden fünf Hauptanwendungsfälle berücksichtigen.

1. Red Teaming

Red Teaming ist eine Technik der Cybersicherheit, bei der Offensivteams die Sicherheitsvorkehrungen von Unternehmen testen, indem sie sie angreifen. Rote Teams simulieren Angreifer, die nach Schwachstellen in der Sicherheitsinfrastruktur, den Verfahren und Prozessen suchen. Sicherheitsteams sollten Red-Team-Bewertungen durchführen, ohne zuvor Informationen über die Infrastruktur des Zielunternehmens zu haben.

Die mit dem Mitre ATT&CK Framework verbundene Übung des roten Teams umfasst die folgenden Ziele:

• Um übersehene Schwachstellen zu identifizieren.
• Bewertung, ob die derzeitigen Schutzmaßnahmen wie vorgesehen funktionieren.
• Auffinden unkonventioneller Angriffsmöglichkeiten.
• Entdeckung vernachlässigter Cybersicherheitsstrategien.

2. Den Reifegrad des SOC (Security Operations Center) kontrollieren

SOC-Analysten sind der Schlüssel zur Unterscheidung von harmlosen Anomalien und ernsthaften Bedrohungen. Zu diesem Zweck müssen sie Daten aus verschiedenen Quellen analysieren und korrelieren, was Zeit und Mühe kostet. Wenn ein SOC (Security Operations Center) nicht in der Lage ist, Sicherheitsvorfälle schnell zu erkennen und darauf zu reagieren, können sich Angreifer leicht Zugang zu Unternehmensressourcen verschaffen.

Das Mitre ATT&CK Framework kann dabei helfen zu beurteilen, ob die SOC-Praktiken und -Technologien ausreichen, um ein Unternehmen vor Angriffen zu schützen. SOC-Teams können Tests anhand der im Framework beschriebenen Techniken durchführen, um die Praktiken und Prozesse ihres Unternehmens zur Erkennung potenzieller Bedrohungen und verdächtigen Verhaltens zu ermitteln und Warnmeldungen zu erstellen. Die Sicherheitsteams können diese Informationen dann nutzen, um ihre Sicherheitsreife zu verbessern.

3. Insider-Bedrohungen

Eine Insider-Bedrohung ist jedes Risiko, das von einem Mitarbeiter, Partner, Auftragnehmer oder einer anderen Person ausgeht, die berechtigt ist, mit hochwertigen oder sensiblen Informationen zu interagieren. Insider-Bedrohungen, ob böswillig oder versehentlich, können zu Datenverlusten oder Ressourcendiebstahl führen.

Das Mitre ATT&CK Framework konzentriert sich zwar in erster Linie auf externe Angriffe, bietet aber auch Strategien, die für Insider-Angriffe relevant sind. So werden Datenquellen genannt, die helfen, Angriffe zu identifizieren und festzustellen, ob ein Bedrohungsakteur intern oder extern ist. Das Framework empfiehlt Sicherheitsteams beispielsweise die Verwendung von Anwendungsauthentifizierungsprotokollen zur Verfolgung von Insider-Angriffen, da diese sich auf die Benutzeridentität konzentrieren, während andere Tools, wie beispielsweise Daten von EDR-Tools (Endpoint Detection and Response), sich eher auf das Gerät konzentrieren.

4. Penetrationstests

Bei Penetrationstests versuchen Sicherheitsteams oder Dritte absichtlich - und mit Genehmigung - in Systeme und Geräte einzudringen, um Schwachstellen zu finden. Dies ist ein effektiver Weg, um Schwachstellen in der Verteidigung eines Unternehmens zu entdecken.

Mit dem ATT&CK Framework können Unternehmen sicherstellen, dass die Sicherheitskontrollen ausreichen, um sich gegen die Taktiken und Techniken der Bedrohungsakteure zu schützen. Sicherheitsteams können es auch nach einem Pentest verwenden, um entdeckte Schwachstellen zu beheben und gleichzeitig sicherzustellen, dass sie keine zusätzlichen Probleme einführen, wie z. B. eine falsche Gerätekonfiguration.

5. Simulation von Schutzverletzungen und Angriffen

Sicherheitsteams verwenden Tools zur Simulation von Sicherheitsverletzungen und Angriffen (BAS, Breach and Attack Simulation), um Angriffe auf ihre Infrastruktur in vollem Umfang zu automatisieren und die Wirksamkeit ihrer Abwehrmaßnahmen zu ermitteln. BAS-Übungen decken Schwachstellen auf und helfen den Sicherheitsteams, ihre Sicherheitsstrategien effektiv und effizient zu korrigieren. Simulationen helfen den Teams auch, ihre Sicherheitsinfrastruktur zu verstärken und die Erkennung von und Reaktion auf Bedrohungen zu verbessern.

Die Mitre-Website listet prominente Bedrohungsakteure und die Arten von Unternehmen und Regierungen auf, die sie angreifen. Sicherheitsteams können diese Informationen nutzen, um die von diesen Organisationen bevorzugten Angriffsmethoden zu simulieren. Einige Anbieter bieten BAS-Tools an, die speziell auf das Mitre ATT&CK Framework abgestimmt sind.