Das MITRE-ATT&CK-Framework: ein vollständiger Leitfaden

Datensicherheit

Illustration eines Schildes

Das MITRE-ATT&CK-Framework ist ein globaler Wissensdatenbank-Hub für die Dokumentation unterschiedlicher Taktiken und Techniken, die Hacker in den verschiedenen Phasen eines Cyberangriffs einsetzen. MITRE begann 2013 mit der Entwicklung der Datenbank und ist im Laufe der Jahre zu einer zentralen Ressource für Cybersicherheitsteams geworden, um Schwachstellen und Sicherheitsprotokolle zu bewerten.

ATT&CK steht für Adversarial Tactics, Techniques und Common Knowledge (zu Dt. feindliche Taktiken, Techniken und Allgemeinwissen). Das Framework ist eine Matrix mit verschiedenen Cyberangriffstechniken, die nach verschiedenen Taktiken sortiert und organisiert sind. Darüber hinaus gibt es verschiedene Matrizen für Windows-, Linux-, Mac- und mobile Systeme. Die MITRE-ATT&CK-Matrix ist ein äußerst nützliches Tool, um herauszufinden, welche Angriffsvektoren Hacker für Ihr Unternehmen verwenden könnten und wie Sie Ihren Notfallplan und Ihre Penetrationstests optimieren können.

MITRE ATT&CK Heute

Die ATT&CK-Matrix ist eine der umfassendsten und maßgeblichen Ressourcen zu Hacker-Techniken, die derzeit verfügbar sind. Zu den jüngsten Entwicklungen im ATT&CK-Framework gehören:

  • Verbesserung und Erweiterung der Linux- und Mac-Abdeckung
  • Hinzufügen weiterer Datenquellen, um die Matrix zu erweitern
  • Konsolidierung von Cloud-Plattformen und Verbesserung von Cloud-Daten
  • Verfeinerung und Erweiterung der Datenbank für mobile Angriffe
  • Untersuchung containerbasierter Angriffstechniken

MITRE setzt sich sehr dafür ein, die ATT&CK-Matrix auf dem neuesten Stand und umfangreich zu halten. Sie können davon ausgehen, dass das Unternehmen auch weiterhin Ergänzungen und Änderungen vornehmen wird, während sich die Cyber-Bedrohungen weiterentwickeln.

MITRE-ATT&CK-Matrix: die 5 wichtigsten Techniken

Das Hauptziel des ATT&CK-Frameworks besteht darin, die Erkennung von bösartigen Akteuren, die es auf Unternehmensnetzwerke, -systeme und -daten abgesehen haben, nach der Kompromittierung zu verbessern. Mithilfe von ATT&CK erhalten Unternehmen einen Einblick in die möglichen Aktionen eines Angreifers. Es wird deutlich, wie der Angreifer in das System eingedrungen ist, wie er sich bewegt und auf welche Bereiche er es abgesehen hat.

Die Wissensdatenbank beantwortet wichtige Fragen darüber, wie Hacker ein bestimmtes Unternehmen ins Visier nehmen können, und soll zur allgemeinen Sicherheitslage des Unternehmens beitragen. ATT&CK hilft Unternehmen dabei, Lücken und Schwachstellen zu identifizieren und diese nach dem Gesamtrisiko zu priorisieren.

Es gibt zu viele spezifische Techniken, um sie hier aufzuführen – insgesamt über 290. Hier sind dennoch sind einige der wichtigsten ATT&CK-Taktiken, mit denen Unternehmen ihre Gesamtsicherheitslage verbessern können.

1. Prozessinjektion

Eine der gängigsten Formen von Malware-Angriffen in der Matrix ist die Prozessinjektion. Hierbei wird aktiver Code oder eine Anwendung zu bösartigen Zwecken in ein System eingefügt. Der Code führt dann verschiedene Aktionen durch, beispielsweise kann er Systeme für Ransomware-Zwecke deaktivieren oder automatisch Daten stehlen. Die Simulation der Prozessinjektion ist ein guter Ausgangspunkt für neue ATT&CK-Benutzer.

2. PowerShell-Angriffe

PowerShell-Angriffe sind bei Hackern äußerst beliebt, da PowerShell die Schnittstelle ist, die von Systemadministratoren zur Verwaltung und Konfiguration von Betriebssystemen verwendet wird. PowerShell ist eine Kommandozeilen-Shell und Skriptsprache, die standardmäßig auf Windows installiert ist. Jedes Unternehmen, das Windows verwendet, sollte also PowerShell-Übungen mit MITRE ATT&CK in Erwägung ziehen.

3. Erzwungene Authentifizierung

Hacker verfügen heute über extrem leistungsfähige Tools – beispielsweise Mimikatz –, mit denen sie entweder Passwörter erraten oder Anmelde- und Authentifizierungsprozesse ganz umgehen können. Sie sammeln Anmeldeinformationen, indem sie einen Benutzer auffordern oder dazu nötigen, seine Anmeldedaten herauszugeben, etwa durch Phishing oder Social Engineering.

4. Masquerading

Hacker ändern häufig die Funktionen ihres bösartigen Codes oder anderer Artefakte, sodass diese legitim und vertrauenswürdig erscheinen. Code-Signaturen, Namen und Speicherorte von Malwaredateien, Namen von Aufgaben und von Services sind nur einige Beispiele. Indem Sie MITRE-ATT&CK-Übungen durchführen, können Sie herausfinden, wie sich Hacker per Masquerading in Ihrem System tarnen und wie Sie sie effektiver ausmerzen können.

5. Credential Dumping

Sobald sich Angreifer Zugang zu einem System verschafft haben, zielen sie hauptsächlich darauf ab, Anmeldeinformationen für den Zugriff auf andere Ressourcen und Systeme in der Umgebung zu finden. Credential Dumping ist ein wichtiger Mechanismus, um Anmelde- und Passwortdaten zu erhalten. Dadurch ist es auch eine der wichtigsten Taktiken für die Verwendung in der ATT&CK-Matrix, um sich vor unbefugtem Zugriff zu schützen.

Verwendungszwecke von MITRE ATT&CK

Sobald Sie entschieden haben, welche Taktiken, Techniken und Vektoren Sie testen möchten, können Sie die MITRE-ATT&CK-Matrix in die Tat umsetzen. Hier sind die besten Möglichkeiten zur Nutzung von ATT&CK:

  • Planung Ihrer Cybersicherheitsstrategie – bauen Sie Ihren Schutz vor den bekannten Techniken aus und rüsten Sie Ihre Überwachung aus, um Anzeichen von ATT&CK-Techniken in Ihrem Netzwerk zu erkennen.
  • Referenz für Ihr Ereignisreaktionsteam (IR) – Ihr Ereignisreaktionsteam kann mit ATT&CK die Art der potenziellen Bedrohungen und die erforderlichen Methoden ermitteln, um sie zu bekämpfen.
  • Referenz für zukünftige Notfallplanung – Ihr Ereignisreaktionsteam kann ATT&CK als Referenz für neue Cybersicherheitsbedrohungen verwenden und im Voraus planen.
  • Überprüfung der Cybersicherheit – ATT&CK kann Ihnen helfen, Ihre Gesamtstrategie für die Cybersicherheit zu bewerten und etwaige Lücken zu schließen, die Sie entdecken.

Herausforderungen und Lösungen für MITRE ATT&CK

Bei der Verwendung des ATT&CK-Frameworks gibt es mehrere einzigartige Herausforderungen, auf die Sie sich einstellen sollten. Zum Glück gibt es Taktiken und Lösungen für Probleme wie die Unterscheidung von Angriffen und normalen Aktivitäten oder die Berücksichtigung mehrerer Vektoren.

1. Angriffe von normalen Aktivitäten unterscheiden

Nicht jedes Verhalten, das mit einer MITRE ATT&CK-Technik übereinstimmt, ist bösartig. Die Löschung von Dateien ist beispielsweise eine Technik, die unter „Verteidigungsumgehung“ aufgeführt ist – was absolut sinnvoll ist. Aber wie kann man normale Dateilöschungen von den Versuchen eines Angreifers unterscheiden, die Erkennung zu umgehen?

Der erste Schritt besteht darin, die MITRE-ATT&CK-Techniken als gemeinsame Sprache für Ihre Sicherheitsteams zu kommunizieren und zu etablieren. Außerdem sollten Sie mit einem erfahrenen Partner für Cybersicherheit zusammenarbeiten, der sich mit dem ATT&CK-Framework auskennt und Ihnen dabei helfen kann, normale Aktivitäten von bösartigen zu unterscheiden.

2. Erkennen von schwer zu entdeckenden Angriffen

Ebenso ist es schwierig, einige ATT&CK-Techniken zu erkennen, selbst wenn alles gut läuft. Brute-Force-Angriffe lassen sich einfach erkennen, wenn man weiß, wonach man suchen muss. Exfiltration über alternative Protokolle wie DNS-Tunnel kann ziemlich schwierig zu erkennen sein, selbst wenn man gezielt danach sucht.

Die Möglichkeit, schwer erkennbare Techniken zu entdecken, ist der Schlüssel zu einer langfristigen Datensicherheitsstrategie. Dazu sollten Sie reale Software und Szenarien aus der Gruppenliste verwenden. Wenn Sie sich nicht gegen bekannte Bedrohungen schützen können, werden Sie auch absolut keinen Schutz vor unbekannten und schwer zu erkennenden Bedrohungen haben.

3. Berücksichtigen mehrerer Angriffsvektoren

Gehen Sie niemals davon aus, dass Sie nun eine Technik auf eine bestimmte Art abwehren können und daher nicht von einer anderen Implementierung dieser Technik erfolgreich angegriffen werden können, die für den Angriff auf dieselben Ziele entwickelt wurde. Nur weil Ihr Antivirenprogramm „Mimikatz“ abfängt, sollten Sie nicht annehmen, dass es auch „tnykttns“ abfängt – oder eine beliebige Variante von Mimikatz, die als nächstes herauskommt.

Deshalb ist es sehr wichtig, Lücken in Ihren Abwehrmaßnahmen mit den MITRE-ATT&CK-Matrizen zu identifizieren und Lösungen für diese Lücken zu implementieren. Einer der größten Vorteile von MITRE ATT&CK besteht darin, dass Sie sehen können, wie und wohin Angriffe aus verschiedenen Richtungen, Quellen und Vektoren kommen können.

Vorteile von ATT&CK zur Entschärfung von Bedrohungen

Das ATT&CK-Framework hilft Unternehmen nicht nur dabei, potenzielle Schwachstellen zu erkennen, sondern auch zu verstehen, wie sich Hacker im Falle eines Angriffs wahrscheinlich verhalten. Außerdem können Sie die spezifischen Taktiken und Techniken erkennen, die sie wahrscheinlich anwenden werden, und bescheidwissen, wie Sie sich am besten dagegen schützen können.

Erkundung Ursprünglicher Zugriff Berechtigungseskalation Umgehung der Schutzmaßnahmen Seitwärtsbewegung Command and Control Exfiltration Die Auswirkungen
Aktives Scannen Lieferketten-Kompromittierung Hijack-Ausführungsablauf Zugangstoken-Manipulation Remote Session Hijacking Datenverschlüsselung und -verschleierung Automatisierte Exfiltration Zerstörung oder Manipulation von Daten
Informationsphishing Exploit öffentlicher Apps Prozessinjektion Beschädigung des Gesamtschutzes Internes Spear-Phishing Traffic Signaling Datenübertragung auf Cloud-Konten Denial of Service im Netzwerk
Erfassung von Informationen zum Opfer Drive-by-Kompromittierung Erstellen oder modifizieren von Systemprozessen Masquerading Alternative Authentifizierung verwenden Protokoll-Tunneling Geplante Datenübertragung Löschen oder Untauglichmachen von Festplatten

 

Beispiele für einige Kerntechniken und -taktiken im ATT&CK-Framework

MITRE ATT&CK und die Cyber Kill Chain

Der Hauptunterschied zwischen ATT&CK und der typischen Cyber Kill Chain liegt darin, dass sich die Kill Chain auf einen bestimmten operative Ablauf konzentriert, während es bei ATT&CK eher um Techniken und Taktiken geht. Die Gemeinsamkeit besteht jedoch darin, dass beide versuchen zu verstehen, wie Hacker vorgehen, um Systeme zu infiltrieren und zu beeinflussen, ohne erwischt zu werden.

Die Cyber Kill Chain läuft in einer genau definierten Reihenfolge ab. Das Red Team bzw. die Angreifer gehen während des Penetrationstests von der Spionage zur Intrusion und weiter in die darauffolgenden Phasen über. Umgekehrt verwendet das Red Team ATT&CK-Techniken aus verschiedenen Taktiken zu verschiedenen Zeitpunkten des Szenarios, je nach Situation.

Ein ATT&CK-Szenario kann mit einer Hardware-Ergänzung aus der Taktik „Erstzugriff“ beginnen, dann zu „Umgehung der Benutzerkontensteuerung“ aus der Taktik „Privilegieneskalation“ wechseln und zurück zur Taktik „Ausführung“ gehen, um PowerShell auszuführen.

ATT&CK definiert die folgenden Taktiken, die bei einem Cyberangriff eingesetzt werden:

  • Ursprünglicher Zugriff
  • Ausführung
  • PERSISTENZ
  • Berechtigungseskalation
  • Umgehung der Schutzmaßnahmen
  • Zugang zu Anmeldeinformationen
  • Ermittlung
  • Seitwärtsbewegung
  • Erfassung
  • Exfiltration
  • Command and Control

Die Cyber Kill Chain hingegen ist ein sequenzielles Framework, das folgendermaßen aufgebaut ist:

  • Erkundung
  • Eindringung
  • Exploit
  • Berechtigungseskalation
  • Seitwärtsbewegung
  • Verschleierung/Anti-Forensik
  • Denial-Of-Service
  • Exfiltration

Eine erfolgreiche Cyberabwehrstrategie nutzt sowohl die Cyber-Kill-Chain als auch ATT&CK, um zu ermitteln, welche Schwachstellen es gibt und wie man sie am besten beheben kann.

Wie Sie MITRE ATT&CK für Ihr Unternehmen nutzen können

ATT&CK bietet für Unternehmen mehrere einzigartige Vorteile. Erstens fügt das Framework eine Ebene von Tiefe und Granularität zu Penetrationstests hinzu. Red Teams können sich bei verschiedenen Penetrationstests auf unterschiedliche Techniken, Taktiken und Vektoren konzentrieren und so ein breites Spektrum an potenziellen Angriffsflächen abdecken.

ATT&CK hilft Unternehmen auch dabei, eine gemeinsame Sprache und ein gemeinsames Verständnis für potenzielle Cyber-Bedrohungen innerhalb einer Organisation zu entwickeln. Wenn Teams also über Methoden wie Exfiltration oder laterale Bewegung sprechen, dann wissen Mitglieder genau, welche Taktiken unter diese Oberbegriffe fallen, und können sich bei der Bekämpfung und Prävention besser abstimmen.

Und schließlich macht ATT&CK die Cyberabwehr- und Ereignisreaktionspläne deutlich effektiver. Das Wissen um die spezifischen Taktiken, für die Ihr Unternehmen am anfälligsten ist, hilft Ihnen dabei, die richtigen Schutzmaßnahmen zu ergreifen. Wenn Sie bei Ihren Penetrationstests mit ATT&CK feststellen, dass beispielsweise Social Engineering am häufigsten vorkommt, können Sie Ihre Pläne genau auf diesen spezifischen Vektor ausrichten.

Die wichtigsten Tools und Ressourcen für ATT&CK

Die folgende Liste enthält hilfreiche Instrumente und Ressourcen für die Verwendung des ATT&CK-Frameworks:

  • Caldera – MITREs automatisches Tool zur Emulation von Angriffstechniken
  • DatAlert – datenzentrierte Bedrohungserkennung von Varonis
  • Cascade – MITREs Automatisierungs-Toolset für Blue Teams
  • DatAdvantage – Audit und Schutz für hybride Umgebungen
  • Oilrig – Ein feindliches Playbook, das auf dem ATT&CK-Modelling basiert

Abschließende Überlegungen

Eine der besten Möglichkeiten, die Vorteile von ATT&CK zu maximieren, besteht darin, sie zusammen mit einer Datenschutzplattform und einem Partner wie Varonis zu nutzen. Wenn Sie Ihre Penetrationstests mit dem ATT&CK-Framework durchführen, erfahren Sie auch, welche speziellen Techniken und Taktiken Hacker wahrscheinlich verwenden und wie sie sich wahrscheinlich verhalten.

Das MITRE-ATT&CK-Framework ist tiefgehend und umfassend und wird ständig weiterentwickelt. Wenn Sie also mehr darüber erfahren möchten, wie Sie Ihre Penetrationstests und Cybersicherheitsrichtlinien oder Ihren Notfallplan mithilfe von ATT&CK verbessern können, wenden Sie sich noch heute an einen Varonis-Experten.

Avatar

David Harrington

David ist professioneller Autor und ein führender Berater für Technologieunternehmen, Startups und Venture-Capital-Firmen.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990