Was ist das MITRE ATT&CK-Framework?

MITRE Security ist eine Kernkompetenz der MITRE Corporation, die sowohl Informationen über Cyberbedrohungen als auch eine Reihe von Cybersicherheitsressourcen umfasst. MITRE plädiert für ein ausgewogenes, ganzheitliches Sicherheitskonzept mit einer Kombination aus herkömmlichen Strategien zur Cyberabwehr und dem verstärkten Einsatz von Informationen über Cyberbedrohungen, um schnell und mit angepassten Maßnahmen auf neue Bedrohungen reagieren zu können. Diese Ressourcen bilden eine gute Grundlage für die Entwicklung und den Aufbau eines Cybersicherheitsprogramms mit folgenden Komponenten:

• Sensibilisierung und Schulung: Diese Komponente umfasst Programme zur Sensibilisierung der Mitarbeiter, technische Schulungen und Lernmöglichkeiten für Studierende.
• Standards: Ein Framework von Standards für die Cybersicherheit bietet eine gemeinsame Grundlage für die Erkennung, Analyse und den Austausch von Bedrohungsinformationen.
• Tools: MITRE bietet eine Reihe von Open-Source-Tools, die Unternehmen bei der Analyse und Erkennung von Bedrohungen und der Reaktion darauf unterstützen.

Das Framework verfolgt eine bedrohungsbasierte Abwehrstrategie, die Erkenntnisse aus verschiedenen Angriffen und damit verbundene Events nutzt, um die Wahrscheinlichkeit erfolgreicher Angriffe in der Zukunft zu verringern und das Sicherheitsniveau von Unternehmen entscheidend zu verbessern.

Laut MITRE ist eine umfassende, bedrohungsbasierte Cyberabwehr von drei Elementen abhängig:

• Analyse von Informationen über Cyberbedrohungen: Diese Analyse bietet praktische Informationen und Signaturen zur Erkennung von Bedrohungen, die Spezialisten nutzen können, um die Cyberabwehr zu stärken und die Methoden zur Antizipation, Prävention und Erkennung von Cyberangriffen sowie die Reaktion darauf zu optimieren.
• Engagierte Bedrohungsabwehr: In den frühen Lebenszyklusstadien eines Angriffs haben Unternehmen die Chance, Bedrohungen zu erkennen und einzudämmen, bevor Cyberkriminelle massiven Schaden anrichten können. Dies ist daher ein wichtiges Zeitfenster für das Verhindern und Erkennen geplanter Angriffe. In späteren Stadien kommen dann Techniken wie die Incident Response zum Einsatz, um auf eine vorhandene Bedrohung zu reagieren.
• Zielgerichteter Austausch und Zusammenarbeit: MITRE arbeitet mit Sponsoren und Partnern aus der Wirtschaft zusammen, um den Austausch von Informationen über Cyberbedrohungen zu fördern, neue Konzepte einzuführen und Lösungen anzuwenden, die das Cybersicherheitsniveau erhöhen und das Bewusstsein schärfen.

MITRE ist ein nicht gewinnorientiertes Unternehmen, das auf Bundes-, Landes- und kommunaler Ebene sowie mit verschiedenen Branchen und Bildungseinrichtungen zusammenarbeitet. MITRE ist zwar keine Regierungsorganisation, betreibt aber staatlich finanzierte Forschungs- und Entwicklungszentren (FFRDCs), die die US-Regierung mit wissenschaftlicher Forschung und Analyse, Entwicklung und Beschaffung sowie Engineering und Integrationssystemen unterstützen.

MITRE ist auf die Förderung innovativer Ideen in Bereichen wie künstliche Intelligenz, intuitive Data Science, Quanteninformatik, Gesundheitsinformatik, Weltraumsicherheit, politische und wirtschaftliche Expertise, Austausch über Cyberbedrohungen und Cyberresilienz spezialisiert.

Die Organisation verfügt auch über ein unabhängiges Forschungsprogramm, in dessen Rahmen neue und erweiterte Einsatzmöglichkeiten von Technologien erforscht werden, um spezifische Kundenprobleme zu lösen und insbesondere verschiedene Regierungsbehörden mit technischem Know-how zu unterstützen. Kernkompetenzen sind unter anderem Systems Engineering, Signalverarbeitung und -erfassung sowie Cybersicherheit, mobile Technologie und Social Software.

Bei der Modellierung von Cyberbedrohungen wird eine Darstellung von Angriffsszenarien in einer Cyberumgebung entwickelt und angewandt. Diese Bedrohungen können auf ein Gerät, eine Anwendung, ein System, ein Netzwerk, ein Unternehmen oder eine geschäftskritische Mission abzielen. Mithilfe von Bedrohungsmodellen lässt sich herausfinden, wie diese verschiedenen Plattformen und Umgebungen in realen Situationen auf Angriffe reagieren. Darüber hinaus können sie einen Beitrag zur Identifizierung von Sicherheitslücken und anderen Schwachstellen leisten.

Die Modellierung von Cyberbedrohungen spielt bei zahlreichen Aspekten der Cybersicherheits- und Resilienzstrategie eine Rolle, dazu zählen folgende Aspekte:

• Austausch von Bedrohungsinformationen
• Risikomanagement
• Technology Profiling und Technology Foraging
• Systemsicherheits-Engineering
• Sicherheitsprozesse und -analyse

Der Lebenszyklus eines Cyberangriffs, erstmals von Lockheed Martin unter der Bezeichnung „Cyber Kill Chain“ bekannt gemacht, veranschaulicht die verschiedenen Phasen eines Cyberangriffs. Der MITRE-eigene Cyber Attack Lifecycle ist eine wichtige Komponente der (oben erwähnten) bedrohungsbasierten Cyberabwehr und bietet Unternehmen bessere Möglichkeiten, Angriffe in früheren Phasen zu entdecken und darauf zu reagieren. 

Der MITRE-Lebenszyklus umfasst unter anderem folgende Phasen:

• Erkundung (Reconnaissance): Der Angreifer sucht sich ein Ziel
• Vorbereitung des Angriffs (Weaponization): Entwickeln einer „Cyberwaffe“, also eines geeigneten Tools, und Festlegen der besten Methode für einen erfolgreichen Angriff
• Erste Schritte zur Durchführung des Angriffs (Delivery): Die „Cyberwaffe“ wird im zuvor festgelegten Zielsystem abgeliefert
• Ausnutzung (Exploitation): Schwachstellen werden zum Installieren und Aktivieren von Malware im Zielsystem ausgenutzt
• Kontrolle (Control): Kontrollieren des ursprünglichen Ziels und internes Ausspähen
• Ausführung (Execution): Ausführen des Plans zur Umsetzung der Ziele (z. B. Datenexfiltration)
• Einfluss wahren (Maintain): Sichern von langfristiger Präsenz in Zielsystemen oder Netzwerken (z. B: durch Beseitigen aller Anzeichen für die Präsenz)

Unternehmen, die ihre eigenen Cyberabwehr-Tools und -Funktionen über den gesamten Cyber Attack Lifecycle von MITRE abbilden, können eher Lücken in ihrer Sicherheitsarchitektur ermitteln und entsprechende Investitionen zur Stärkung Ihrer Cyberabwehr tätigen.

Ein Cybersicherheits-Framework besteht aus einer Reihe von dokumentierten Standards und Protokollen, die Best Practices für den Security-Bereich definieren, um das Risikomanagement zu optimieren, die Anfälligkeit für Schwachstellen zu reduzieren und Daten vor potenziellen Bedrohungen zu schützen. Da Unternehmen aller Größen und Branchen Schwierigkeiten haben, kritische Systeme und Daten zu schützen, nutzen viele von ihnen Cybersicherheits-Frameworks als Orientierungshilfe. Ein Cybersicherheits-Framework bietet einen umfassenden, standardisierten Plan, der viele Herausforderungen vorwegnimmt und gleichzeitig viele Mutmaßungen über den besten Schutz von kritischen Daten und Infrastrukturen überflüssig macht. In vielen Fällen können Unternehmen ein bestehendes Cybersicherheits-Framework an ihre spezifischen Bedürfnisse oder Compliance-Anforderungen anpassen.

Das ATT&CK-Framework kann von Security-Teams bei alltäglichen Cyberabwehraktivitäten genutzt werden – insbesondere bei solchen, die sich mit Bedrohungsakteuren und deren Angriffsmethoden befassen. ATT&CK wird sowohl von „Red Teams“ als auch von „Blue Teams“ auf vielfältige Weise genutzt und bietet sowohl offensiven als auch defensiven Sicherheitsexperten eine gemeinsame Sprache und einen Bezugsrahmen für das Verhalten von Angreifern.

Red Teams (Penetration Tester und offensive Sicherheitsexperten, die regelmäßig die Cyberabwehr testen und durchbrechen) können das MITRE ATT&CK-Framework nutzen, um die Schutzmechanismen ihres Netzwerks zu testen, indem Sie das dort dokumentierte Angriffsverhalten modellieren. Die Verwendung von ATT&CK als Erweiterung der bestehenden Methodik für prädiktive Maßnahmen kann Red Teams das Antizipieren von Bedrohungen, das Erkennen von Mustern und das Bewerten der Wirksamkeit von Abwehrtools in ihrer Umgebung erleichtern.

Blue Teams (defensive Sicherheitsexperten, die für die interne Netzwerksicherheit und die Abwehr von Cyberbedrohungen zuständig sind) können sich mithilfe des ATT&CK-Frameworks ein besseres Bild vom Verhalten der Angreifer machen und schwerwiegende Bedrohungen priorisieren, um geeignete und wirksame Sicherheitsmechanismen einzurichten. 

Nachfolgend sind einige Anwendungsmöglichkeiten für die ATT&CK-Taxonomie aufgeführt:

• Zuordnen von Abwehrmechanismen: Security-Teams können sich eine klares Bild von ihren Tools, Systemen und Strategien zur Cyberabwehr machen, wenn sie diese mit den Taktiken und Techniken von ATT&CK und den zugeordneten Bedrohungen in Beziehung setzen.
• Bedrohungssuche: Sicherheitsteams können Abwehrmechanismen mit ATT&CK abgleichen, um kritische Lücken in ihrer Sicherheitsinfrastruktur aufzudecken und eventuell Bedrohungsaktivitäten zu erkennen, die zuvor übersehen wurden.
• Untersuchungen: Incident Response-Mitarbeiter und Blue Teams können ATT&CK-Techniken und -Taktiken heranziehen, um die Stärken und Schwächen ihrer Sicherheitsinfrastruktur zu verstehen, effektive Maßnahmen zu validieren und gleichzeitig Fehlkonfigurationen und andere operative Schwachstellen zu erkennen.
• Identifizieren von Akteuren und Gruppen: Security-Teams können bestimmte böswillige Akteure und Gruppen mit zugehörigen dokumentierten Verhaltensweisen abgleichen.
• Integration von Lösungen: Unternehmen mit einer breiten Palette unterschiedlicher Tools und Lösungen können ihre Lösungen gemäß dem ATT&CK-Framework kategorisieren und standardisieren und damit ihre Cyberabwehrstrategie insgesamt stärken.

Das ATT&CK-Framework gibt es zwar bereits seit vielen Jahren, es ist in letzter Zeit jedoch bei Unternehmen, Regierungsbehörden und Einzelpersonen eine beliebte Anlaufstelle für den Austausch von Bedrohungsinformationen geworden, da es eine gemeinsame standardisierte und leicht zugängliche Sprache bietet, die überall verstanden wird. Ein häufig genannter Faktor für seine wachsende Akzeptanz ist die detaillierte Matrix der Interaktion von Angreifern mit Systemen in den unterschiedlichsten Umgebungen.

Andere Sicherheits-Frameworks sind auf bestimmte Branchen oder Benutzer ausgerichtet und bieten an spezifische Bedürfnisse oder Compliance-Anforderungen angepasste Empfehlungen. Nachfolgend einige der gängigsten Cybersicherheits-Frameworks: 

• NIST Cybersecurity Framework: Das allgemein verwendbare Sicherheits-Framework des National Institute of Standards and Technology für alle Unternehmen, die ihr Cybersicherheitsniveau erhöhen wollen. Das Framework ist sowohl kosteneffektiv als auch flexibel und umfasst einen fünfstufigen Prozess zum Umgang mit Cybersecurity-Risiken und zur Wartung der Sicherheitsinfrastruktur mit Möglichkeiten zur Identifizierung, zur Erkennung, zum Schutz vor, zur Reaktion auf und zur Wiederherstellung nach Angriffen.
• NIST SP 800-53: Das National Institute of Standards and Technology hat darüber hinaus das Framework NIST SP 800-53 geschaffen, in dem Sicherheitsanforderungen für die meisten US-Bundesinformationssysteme festgelegt sind, einschließlich aller Stellen, die diese Systeme nutzen. Dieses Framework schützt geheime oder kritische Daten in Regierungsnetzwerken mit klar definierten Maßnahmen zur Erhöhung des Sicherheitsniveaus von US-Bundesbehörden und ihren Auftragnehmern.
• HITRUST: Das Common Security Framework der Health Information Trust Alliance wurde für Organisationen des Gesundheitswesens entwickelt und gilt für alle Informationssysteme, die geschützte Gesundheitsdaten verarbeiten, und zwar sowohl bei der Übertragung als auch bei der Speicherung. Das Framework bietet konkrete Anleitungen zum Schutz von Gesundheitsdaten und zur Einhaltung gesetzlicher Vorgaben wie HIPAA.
• Normenserie ISO 27000: Die International Organization of Standardization (ISO) und die International Electrotechnical Commission (IEC) haben diesen Standard für Information Security Management Systeme (ISMS) geschaffen, damit Manager den Überblick über Maßnahmen und Kontrollmechanismen im Bereich der Cybersicherheit behalten. Das Framework bietet mehrere Publikationen, in denen alle Aspekte abgedeckt werden, von Sicherheitskontrollmechanismen bis hin zu Richtlinien für das effektive Management von IT Operations.
• NERC 1300: Die North American Electric Reliability Corporation hat eine Reihe von Sicherheitsstandards geschaffen, die unter anderem Best Practices für die Patch-Verwaltung, geeignete Mechanismen für die Netzwerksicherheit und Systemkontinuität umfassen. Dieses Framework schützt kritische Systeme mit Maßnahmen, die das Risiko von großflächigen Strom- und Systemausfällen senken.
• ANSI/ISA 62443: Die International Society for Automation und das American National Standards Institute haben dieses Sicherheits-Framework für industrielle Automatisierungs- und Steuerungssysteme entwickelt, das angesichts des rasanten Anstiegs von IoT-Technologie in privaten Haushalten und im Fertigungsbereich zunehmend an Bedeutung gewinnt. Das Framework setzt sich aus vier Kategorien zusammen – Allgemein, Komponenten, Systeme sowie Richtlinien und Verfahren – und bietet darüber hinaus eine Zertifizierung für IoT-Anlagen und Verbraucherprodukte.

Der größte Unterschied zwischen diesen beiden Frameworks besteht darin, dass die Cyber Kill Chain einen groben Überblick über die Unified Security-Strategie bietet, während das MITRE ATT&CK-Framework eine umfassende Liste mit Taktiken und Techniken bereitstellt, ohne jedoch ein bestimmtes Angriffsmuster oder eine bestimmte Reihenfolge der Abläufe anzugeben. 

Beide Frameworks folgen demselben generellen Muster und veranschaulichen das Eindringen von Angreifern in das Netzwerk, die Umgehung von Erkennungsmechanismen und schließlich die Entwendung von Assets. Ein ATT&CK-Szenario könnte jedoch z. B. mit einer Technik für den Erstzugriff beginnen, dann über verschiedene Methoden zum Zugriff auf Anmeldeinformationen übergehen, Techniken zur Umgehung von Abwehrmaßnahmen verwenden, um Spuren zu verwischen, und dann wieder zur Ausführungsphase übergehen.

Die Cyber Kill Chain beschreibt hingegen eine bestimmte Abfolge von Ereignissen, bei der die Angreifer von der Erkundung bis zum Eindringen und den folgenden Phasen in einer bestimmten Reihenfolge vorgehen. Die Cyber Kill Chain ist etwas kürzer als ATT&CK:

Unabhängig von der Größe und Ausstattung des Security-Teams kann ATT&CK für jedes Unternehmen nützlich sein, das Bedrohungsinformationen nutzen und seine Cyberabwehr auf eine fundierte Grundlage stellen möchte. MITRE stellt seine Materialien zur kostenlosen Nutzung zur Verfügung, es gibt jedoch vielfältige Möglichkeiten, MITRE-Berater oder andere Anbieter zu engagieren, die dabei helfen, das Framework anzuwenden und an die spezifischen Bedürfnisse eines Unternehmens anzupassen.

Unternehmen mit einem kleinen Sicherheitsteam, die verstärkt Bedrohungsinformationen nutzen und ihren Funktionsumfang diesbezüglich ausbauen möchten, können sich auf eine relevante Gruppe (organisierte Gruppen von Eindringaktivitäten) konzentrieren und sich das zugehörige in ATT&CK definierte Verhalten anschauen, das für das entsprechende Unternehmen relevant ist.

Unternehmen, die über ein Team von dedizierten Sicherheitsexperten verfügen, die regelmäßig Bedrohungsinformationen analysieren, können damit beginnen, selbst Informationen zum ATT&CK-Framework zuzuordnen, anstatt sich auf die Informationen zu verlassen, die andere zuvor zugeordnet haben.

Wenn Ihr Team fortgeschrittener ist, können Sie immer mehr Informationen zu ATT&CK zuordnen und das Framework als Leitfaden für den Aufbau Ihrer Cyberabwehr nutzen. Sie können sowohl interne als auch externe Informationen zu ATT&CK zuordnen, darunter Incident Response, Echtzeit-Warnmeldungen und historische Daten Ihres Unternehmens. Sobald diese Daten zugeordnet sind, können Sie z.B. Gruppen vergleichen und die am häufigsten verwendeten Techniken priorisieren.

Sicherheitsstrategie stärker auf Bedrohungsinformationen ausrichten

Viele Unternehmen halten an herkömmlichen Abwehrstrategien fest, die ein ganzes Arsenal von Sicherheitsprodukten zur Abwehr von Malware und anderen Bedrohungen umfassen und vor Schwachstellen warnen, die von Hackern ausgenutzt werden könnten. Eine solche Strategie ist zwar in einigen Bereichen durchaus wirksam, stößt jedoch schnell an ihre Grenzen – und vor allem erhalten Sie auf diese Weise keine Erkenntnisse darüber, wie böswillige Akteure bei ihren Cyberangriffen vorgehen, wenn sie erst einmal in Ihr Netzwerk eingedrungen sind. Informationen über Cyberbedrohungen, die in einem umfassenden Framework wie ATT&CK dargelegt sind, geben Ihnen wertvolle Einblicke in die Methoden der Angreifer. So können Sie denken wie ein Angreifer und fundiertere Entscheidungen treffen, mit denen sich gezielte und zerstörerische Angriffe verhindern lassen.