Das MITRE ATT&CK Framework wurde 2013 von MITRE Cyber Security entwickelt und ist eine detaillierte Knowledge Base, die die von Angreifern verwendeten Taktiken und Techniken auf der Grundlage realer Beobachtungen dokumentiert. Durch die Bereitstellung eines aktuellen Kompendiums des Verhaltens von Angreifern ist das MITRE ATT&CK Framework für Unternehmen, die ihre Cyberabwehr verstärken wollen, zu einem äußerst wertvollen Tool geworden.
Das MITRE ATT&CK Framework
Das MITRE ATT&CK Framework wurde 2013 von MITRE Cyber Security entwickelt und ist eine detaillierte Knowledge Base, die die von Angreifern verwendeten Taktiken und Techniken auf der Grundlage realer Beobachtungen dokumentiert. Durch die Bereitstellung eines aktuellen Kompendiums des Verhaltens von Angreifern ist das MITRE ATT&CK Framework für Unternehmen, die ihre Cyberabwehr verstärken wollen, zu einem äußerst wertvollen Tool geworden.
Um eine Sicherheitsumgebung effizient zu schützen, ist es von entscheidender Bedeutung, Informationen zu generieren, die das Verhalten von Angreifern erfassen. Durch die Dokumentation der Taktiken und Techniken der Angreifer können die Verteidiger Anpassungen vornehmen und ihre Chancen, wichtige Assets zu schützen, erheblich verbessern. Vor allem, wenn dieser Prozess kollektiv durchgeführt wird, zeigt sich der Wert einer detaillierten Knowledge Base über das Verhalten von Angreifern.
Dies ist das Prinzip hinter dem MITRE ATT&CK Framework, einem kuratierten Kompendium von Angreifertaktiken und -techniken (das Akronym hinter dem Framework steht für „Adversarial Tactics, Techniques and Common Knowledge“). Das MITRE ATT&CK Framework ermöglicht es Sicherheitsexperten, Angriffsinformationen gemeinsam zu katalogisieren, mit einem einheitlichen Vokabular zu kooperieren und fundierte Entscheidungen darüber zu treffen, wo Ressourcen eingesetzt werden sollen, wie Bedrohungen abgewehrt werden können und wie das Risiko zu bewerten ist.
Dieses Framework lässt sich am besten als eine lebendige und sich weiterentwickelnde Wissenssammlung darstellen, die auf Millionen von beobachteten Angriffen auf Unternehmensumgebungen basiert. Das Framework verwendet eine Matrixstruktur, die dem Periodensystem ähnelt. 11 Taktiken sind in horizontalen Spalten aufgelistet, während Hunderte von Techniken unter diesen 11 Spaltenüberschriften angeordnet sind.
Die Taktiken befassen sich mit der Frage des „Wie?“. Zum Beispiel: „Wie eskalieren Angreifer die Berechtigungen oder exfiltrieren Daten?“ Die 11 im
MITRE ATT&CK Framework aufgeführten Taktiken umfassen:
- Erster Zugriff
- Ausführung
- Persistenz
- Eskalation von Privilegien
- Umgehung der Verteidigung
- Zugriff auf Zugangsdaten
- Entdeckung
- Laterale Bewegung
- Sammlung
- Exfiltration
- Auswirkung
Unter jeder Taktik finden Sie eine Vielzahl von Techniken, die in der Praxis beobachtet wurden. Diese Techniken können detaillierte Beschreibungen darüber enthalten, wie sie eingesetzt werden und warum Verteidiger genau aufpassen sollten, obwohl nicht alle Beschreibungen besonders präskriptiv sind. Die Techniken basieren auf Beispielen, und in den verlinkten Artikeln innerhalb des Frameworks wird häufig beschrieben, wie die Technik eingesetzt wurde. Die Techniken innerhalb des MITRE ATT&CK Frameworks beschreiben auch, was Verteidiger im Hinblick auf die Abwehr und Erkennung wissen müssen.
Fazit
Das MITRE Enterprise ATT&CK Framework ist ein äußerst wichtiges Instrument für Unternehmen, die Angreifern einen Schritt voraus sein wollen. Durch die Bereitstellung einer kuratierten und umfassenden Liste von Taktiken und Techniken bietet das MITRE ATT&CK-Modell Verteidigern eine Basis zur Identifizierung von Bedrohungen, zur Risikobewertung und zur Ergreifung von Maßnahmen zur Abschwächung dieser Bedrohungen.