In den vergangenen Jahren hat das ATT&CK-Framework enorm an Auftrieb gewonnen. So ist es heute das mit Abstand populärste Framework im Cybersecurity-Bereich, dies nicht zuletzt auch aufgrund der diversen Use Cases, in denen es sich über seinen ursprünglichen Zweck hinaus als nützlich erweist.
Dabei wird das Framework regelmäßig aktualisiert: Mehrere Male pro Jahr ergänzt die MITRE Corporation weitere Techniken und Objekte sowie auch neue Matrizen darin. Zudem erweist es sich für viele Technologie-Anbieter als solides Fundament, das sie nativ in ihre Produkte einbinden können – so wie auch wir bei Splunk dies tun. Und selbst bei den Analysten von Gartner und Forrester gilt Unterstützung für das MITRE ATT&CK-Framework als Kriterium mit Einfluss auf ihre Produktbewertung.
In unseren Technologien wird das Framework seit 2018 unterstützt, dies im Rahmen unserer Content-Bibliothek sowie App-basiert in Splunk Security Essentials (SSE). So wurden Erkennungsanalysen in Kontext mit den im Rahmen des Frameworks definierten Techniken und Taktiken gesetzt. Dies machte es einfacher für Sicherheitsteams, erkannte Bedrohungen in den Lebenszyklus eines Angriffs einzuordnen. In späteren Versionen kamen noch Angaben rund um untergeordnete Techniken, Bedrohungsgruppen, Plattformen und Software hinzu. Viele dieser Features wurden im Rahmen von Analytics Advisor ergänzt.
In der aktuellen Version von SSE ist das ATT&CK-Framework für ein breites Spektrum an Use Cases nutzbar und kann dabei helfen, diverse Fragen zu beantworten. Hierzu gehören:
Viele dieser Beispiele stützen sich auf zusätzlichen Kontext und Anreicherungen, die in Splunk Security Essentials im Rahmen der Ersteinrichtung erfasst werden.
Interessant sein könnten hier etwa die vordefinierten Gruppen von Techniken, die SSE euch bietet. So etwa die von MITRE erstellte Liste Top 10 Techniques for Ransomware.
Eine visuelle Darstellung derselben Techniken findet ihr auch in der ATT&CK-Matrix.
Eine Teilmenge der ATT&CK-Matrix mit den ausgewählten Techniken
Die ausgewählten Techniken und die Abdeckungsmetriken in der aktuellen Umgebung
Splunk Security Essentials umfasst darüber hinaus noch eine Reihe weiterer Listen mit ATT&CK-Techniken. Hierzu gehört etwa das Projekt MITRE Engenuity Adversary Sightings Top 15, in dessen Rahmen die zahlenmäßige Verteilung von Techniken im Verlauf der letzten Jahre ermittelt wurde. Dazu wurde eine große Zahl von Berichten zu Bedrohungen ausgewertet, bei denen mehr als 6 Millionen Techniken beobachtet wurden. Eines der bemerkenswertesten Erkenntnisse daraus: Rund 90 % aller Beobachtungen entfallen auf einen Kreis aus 15 Techniken. Um euch gegen diese abzusichern, müsst ihr nur die Panel wie oben beschrieben anhand dieser vordefinierten Liste filtern.
Wechselt zwischen den Panels und Registerkarten, um die unterschiedlichen Darstellungen der aktuellen Abdeckung innerhalb der Umgebung anzuzeigen.
Die Diagramme zeigen 2 % Abdeckung in der ATT&CK-Matrix durch sechs aktive Erkennungsanalysen.
Wechselt zwischen den Panels und Registerkarten, um die unterschiedlichen Darstellungen der aktuellen Abdeckung innerhalb der Umgebung anzuzeigen.
Welcher Sourcetyp bietet die größtmögliche Erkennungsabdeckung?
Die Diagramme zeigen 73 % Abdeckung in der ATT&CK-Matrix durch 985 verfügbare Erkennungsanalysen in der Umgebung.
Orange markierte Zellen stellen die Techniken dar, die die Ransomware Babuk einsetzt. Die blaue Hintergrundfarbe steht für die verfügbaren Erkennungsanalysen.
Wie hier zu sehen, sind zehn Bedrohungsgruppen bekannt dafür, das Gesundheitswesen ins Visier zu nehmen.
Eine Teilmenge der ATT&CK-Matrix mit Techniken, die im Gesundheitswesen zu beobachten waren
Die Abbildung zeigt Erkennungsanalysen und andere in Security Essentials verfügbare Inhalte, die die Teilmenge der Techniken abdecken, die im Gesundheitswesen bereits eingesetzt wurden.
Die ATT&CK Cloud-Matrix und die aktiven Erkennungsanalysen in der Umgebung (blau)
Die Zahl der Erkennungsanalysen und anderer in Security Essentials verfügbarer Inhalte aufgeschlüsselt nach Datenquelle
An dieser Stelle sollten wir uns etwas näher mit der Bedeutung und Verwendung des Begriffs „Abdeckung“ befassen.
Abdeckung bedeutet, dass uns wenigstens einige Inhalte (entweder verfügbar oder aktiv) vorliegen, die für die betreffende Technik verwendet werden können. Außerdem ist im MITRE ATT&CK-Framework nur ein Teil der als „bekannt“ klassifizierten Bedrohungsakteure erfasst. Dementsprechend wird nur abgedeckt, was bereits dokumentiert worden ist, und kein Ausblick dessen gegeben, was sich potenziell in der Zukunft ereignen könnte.
Eine gute Abdeckung bedeutet daher, dass viele Inhalte zu einem breiten Spektrum an Techniken zur Verfügung stehen. Dies ist jedoch nur ein Teilaspekt. Die Abdeckung sagt nichts darüber aus, zu welchem Grad die Umgebung geschützt ist. Wenn die Datenquelle, die der Erkennungsanalyse zugrunde liegt, nur für einen kleinen Teil des Unternehmens verfügbar ist, ist das Schutzniveau nicht sehr hoch. Sich einzig nach den Farben in der Matrix zu richten, ohne dabei den Kontext zu berücksichtigen, kann daher sogar ein falsches Bild vermitteln.
Deshalb gilt zu beachten: Abdeckung ist nicht gleichzusetzen mit Vollständigkeit.
Nach all dem Input solltet ihr das Ganze am besten „am Objekt“ testen. Hierzu steht euch Splunk Security Essentials auf Splunkbase zum Download zur Verfügung, dies seit 8. Dezember 2022 zudem in der neuen Version 3.7.0.
Noch mehr spannende Einblicke dazu, wie sich die MITRE ATT&CK-Taktiken in die vom Splunk Threat Research Team entwickelten Erkennungsanalysen einfügen, findet ihr in unserem neuen E-Book Top Cybersecurity Threat Detections with Splunk and MITRE ATT&CK.
- Johan
So wie alles bei Splunk gehen wir auch das Thema Security als Team an. An dieser Stelle daher ein herzliches Dankeschön an die Autoren und Mitwirkenden Johan Bjerke, Audra Streetman und Ryan Becwar sowie an Torsten Dettlaff von Pexels für das Feature-Foto.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.