MITRE ATT&CK Matrix - Was ist das und welcher Mehrwert ergibt sich daraus für die Cybersicherheitsbranche?
von Svenja Koch
Was steckt genau hinter der MITRE ATT&CK Matrix?
Je schneller die digitale Transformation voranschreitet, desto mehr Unternehmen sind durch Cyberangriffe bedroht. Cyberkriminelle setzen dabei auf unterschiedlichste Angriffstaktiken, um Knowhow, Patente oder Gelder abzugreifen. Cybersicherheit ist für Unternehmen überlebenswichtig geworden. Mit der MITRE ATT&CK Matrix steht der Cybersicherheitsbranche ein Werkzeug zur Verfügung, um Unternehmen vor der wachsenden Zahl an Bedrohungen zu schützen. Doch was steckt genau hinter der MITRE ATT&CK Matrix und welchen Mehrwert bietet das Framework in der Anwendung?
Der Ursprung der Matrix
Bevor wir uns mit der Matrix befassen, lohnt sich für das Verständnis ein Blick in die Entstehungsgeschichte. MITRE ist eine durch die US-Regierung finanzierte Organisation, die bereits im Jahre 1958 aus dem MIT (Massachusetts Institute of Technology) hervorging. MITRE ist an den unterschiedlichsten kommerziellen Projekten beteiligt, führt allerdings ebenfalls geheime Projekte für diverse Agenturen der US-Regierung durch. MITRE verfügt über ein eigenes Expertenteam für Cybersicherheit, welches vom ebenfalls US-amerikanischen National Institute of Standards and Technology (NIST) finanziert wird. Häufig wird die Bezeichnung MITRE als Akronym gelesen, schließlich ist „Massachusetts Institute of Technology Research and Engineering“ mehr als naheliegend für die Namensgebung. Allerdings bedeutet MITRE was völlig anderes – nämlich nichts. Ein früheres Vorstandsmitglied, James McCormack, erfand MITRE, weil er etwas wollte, das cool klang – und dabei nichts bedeutete.
Was ist MITRE ATT&CK?
Das MITRE ATT&CK Enterprise Framework ist eine sich kontinuierlich weiterentwickelnde und weltweit zugängliche Wissenssammlung für Angriffstaktiken und Techniken von Cyberkriminellen. Die gesammelten Daten stammen dabei aus realen Beobachtungen der letzten Jahre und werden mit jeder neuen Bedrohung fortlaufend ergänzt. Die Taktiken und Techniken werden jedoch nicht nur gesammelt, sondern vielmehr in einer Reihe von Matrizen angezeigt. Diese Matrizen sind nach Angriffsstufen sortiert. Wer bei der Bezeichnung ATT&CK nun ebenfalls Nonsens wie bei MITRE erwartet, liegt falsch. ATT&CK ist tatsächlich ein Akronym und steht für „Adversarial Tactics, Techniques (ATT), & Common Knowledge (CK)“.
ATT&CK teilt sich in zwei Hauptteile auf:
• Teil 1: Adversarial Tactics and Techniques
• Teil 2: Common Knowledge
Der erste Teil, Adversarial Tactics and Techniques, ist eine Art der Untersuchung von Cyberangriffen. IT-Sicherheitsanalysten betrachten hierbei Techniken und Taktiken, die auf einen akuten Angriff hindeuten, anstatt sich nur mit den Endresultaten eines Angriffs zu befassen. Taktiken bezeichnen hier den Grund für einen Angriff, während Techniken verdeutlichen, wie durch die Ausführung bestimmter Aktionen ein Cyberkrimineller sein Ziel erreicht.
Der zweite Teil des Akronyms, Common Knowledge, lässt sich mit „Allgemeinwissen“ übersetzen. Dieser Teil listet die bisher bekannten Techniken und Taktiken auf, die im Rahmen von Cyberangriffen verwendet worden sind. Common Knowledge ist also in diesem Fall als Dokumentation von Angriffen und deren Abläufen zu sehen.
Was ist das Ziel von MITRE ATT&CK?
MITRE ATT&CK stellt eine allgemein zugängliche Übersicht über alle bisher bekannten Taktiken und Techniken bereit, die aktuell für Cyberangriffe verwendet werden. MITRE ATT&CK ist offen für Wirtschafts-, Regierungs- und Bildungsorganisationen – mit dem Ziel, eine möglichst umfassende Sammlung an Angriffssequenzen und -phasen zusammenzutragen. Dadurch schafft MITRE ATT&CK eine einheitliche Systematik und die Grundlage für eine optimierte Kommunikation zwischen Organisationen weltweit.
Wie funktioniert MITRE ATT&CK?
Die MITRE ATT&CK Matrix ordnet alle bekannten Taktiken und Techniken von Cyberangriffen an. Dafür wird ein visuelles, leicht verständliches Format in Zeilen- und Spaltenform verwendet:
• Angriffstaktiken in der ersten Zeile (Initial Access + 11 Taktiken)
• Angriffstechniken in Spalten unter den Taktiken
Ein Cyberangriff besteht aus mindestens einer Technik pro Taktik, eine gesamte Angriffssequenz wird dadurch erstellt, dass man sich in der Matrix von links nach rechts fortbewegt.
Eine Übersicht zur MITRE ATT&CK Matrix finden Sie unter folgenden Link: https://attack.mitre.org/docs/attack_matrix_poster_2020.pdf
Wichtig zu wissen ist, dass ein Angreifer nicht notwendigerweise alle elf in der Matrix aufgeführten Taktiken einsetzen muss. Vielmehr versuchen Cyberangreifer, mit so wenig Taktiken wie möglich das anvisierte Ziel zu erreichen. Denn je weniger Taktiken verwendet werden, desto geringer ist das Risiko einer Entdeckung.
Funktionsweisen von ATT&CK Matrizen
MITRE hat ATT&CK in unterschiedliche Matrizen aufgeteilt:
• Enterprise
• Mobile
• Pre-ATT&CK
Jede dieser Matrizen enthält Taktiken und Techniken, die speziell auf das Thema der jeweiligen Matrix angepasst sind. Die Enterprise-Matrix führt Techniken und Taktiken auf, die für Windows-, Linux- oder MacOS-Systeme gelten. In der Mobile-Matrix sind entsprechend Taktiken und Techniken aufgeführt, die für Angriffe auf Mobilgeräte verwendet werden. Die Pre-ATT&CK Matrix schließlich enthält Taktiken und Techniken, die Angreifer ausführen, bevor sie ein Zielnetzwerk oder Zielsystem angreifen.
MITRE ATT&CK in der praktischen Anwendung
MITRE ATT&CK bietet Unternehmen viele Möglichkeiten, um Cyberangriffe besser verstehen und sich entsprechend vorbereiten zu können. So kann die Cyber Security eines Unternehmens durch die Datensammlung Angriffe besser verstehen und erkennen, durch welche Instrumente ein kriminelles Ziel erreicht werden soll. Auch kann die Cybersicherheit MITRE ATT&CK zum Testen des eigenen IT-Sicherheitskonzeptes einsetzen. Schwachstellen in der eigenen Abwehr werden so aufgedeckt und die Reaktion des Sicherheitsteams auf Angriffe unterschiedlichster Art kann getestet werden. Auch können ganze Szenarien simuliert werden, um Abwehrmaßnahmen gegen gängige Techniken auszuprobieren. Auch lässt sich MITRE ATT&CK zum Aufbau von Verhaltensanalysen einsetzen, um anomale Aktivitäten in der IT-Umgebung eines Unternehmens frühzeitig und zuverlässig zu erkennen.
Von Produzenten und Konsumenten
Die MITRE ATT&CK Matrix eignet sich bestens zur Erkennung von Bedrohungen, eingesetzten Techniken und dem Verhalten von Kriminellen. Grundlage für die Abwehr von Bedrohungen ist eine Wissensdatenbank wie das MITRE ATT&CK Framework. Durch die Daten können IT-Sicherheitsbeauftragte frühzeitig erkennen, um was für einen Typ Angreifer es sich handelt. Dabei sind Informationen über die Vorgehensweise künftiger Angreifer, die auf der Grundlage von beobachteten Sicherheitsvorfällen erstellt wurden, grundsätzlich für alle Organisationen weltweit relevant. Daher sollte eine Aufzeichnung oder Kartierung dieser Bedrohungsinformationen zu den Hauptaktivitäten einer IT-Sicherheitsabteilung gehören! Die IT-Sicherheitsexperten können die vorliegenden Daten zur Aufklärung von Bedrohungen dabei auf zwei Arten verwenden – als Konsument oder als Produzent.
Konsument der Daten bedeutet:
• Bereits erstellte Daten zur Verbesserung der eigenen Bedrohungsabwehr nutzen
Produzent der Daten bedeutet:
• Die bereits erstellten Daten zur Abwehr nutzen und darauf als Produzent zusätzlicher Informationen aufzubauen
Sicherheitsabteilungen, die ausreichend Kapazitäten besitzen, um als Produzent tätig werden zu können, sollten dies unbedingt im internationalen Kontext durchführen.
Wie genau kann man mit ATT&CK arbeiten?
ATT&CK ist ein überaus wertvolles, mächtiges Hilfsmittel und Lexikon für Cyberverteidiger. Auch kann ATT&CK als Basis für Penetrationstests oder Red Teaming Tests eingesetzt werden. Durch ATT&CK sprechen Verteidiger und Red Teamer eine „gleiche Sprache“ in Sachen feindlicher Verhaltensweisen.
Weitere Anwendungsbereiche von ATT&CK könnten sein:
- Threat Hunting: Durch Entwerfen von Verteidigungen für ATT&CK werden die Lücken bei der Verteidigung deutlich, wodurch Bedrohungsjäger optimal erkennen können, wo Angriffsaktivitäten stattgefunden haben, die ihnen entgangen sind.
- Informationsaustausch: ATT&CK Techniken und Taktiken gewährleisten, dass beim Austausch von Informationen über einen Angriff diese Infos von allen Verteidigern verstanden werden.
- Standardisierung: Mit diversen Tools oder Diensten können ATT&CK-Techniken standardisiert werden und ermöglichen so eine Kohäsion der Verteidigung.
- Verteidigungsentwürfe: Indem Verteidigungsstrategien für ATT&CK entworfen werden, können IT-Sicherheitsexperten Lücken in der Verteidigung erkennen. So wird oftmals deutlich, wo Angriffe stattgefunden haben – was ansonsten verdeckt geblieben wäre.
Welche Verfahren haben sich für die Arbeit mit ATT&CK bewährt?
Einige Vorgehensweisen haben sich als besonders geeignet für die Arbeit mit ATT&CK gezeigt. So ist es immer ratsam, Taktiken zu verwenden, wenn die von Angreifern eingesetzten Techniken nur schwer zu fassen oder zweideutig sind. Weiterhin sollte unbedingt die Integration von ATT&CK in bestehende Tools durchgeführt werden. Gefundene Methoden in den Bereichen Erkennen und Entschärfen sollten, wenn immer möglich, global geteilt werden – im Bereich der IT-Sicherheit ist Wissen wirklich Macht!
Die Herausforderungen beim Einsatz von ATT&CK
Der Einsatz des MITRE ATT&CK Frameworks ist nicht ganz ohne Herausforderungen machbar. IT-Security-Beauftragte sollten immer bedenken, dass nicht alle Techniken per se bösartig sein müssen! Auch sind nicht alle Techniken sofort erkennbar – man denke hier beispielsweise an Spearphishing-Links. Darüber hinaus können einige Techniken auf diverse Arten eingesetzt werden, was eine zuverlässige Erkennung der Angriffstaktik deutlich erschwert. Und: Einige Techniken sind innerhalb der ATT&CK Matrix unter mehreren Taktiken aufgeführt. Hier muss sorgfältig vorgegangen werden, um einen Angriff zu erkennen.
Fazit
Das MITRE ATT&CK Framework ist sicherlich kein „Allheilmittel“ im Kampf gegen Cyberangriffe. Allerdings stellen die Matrizen ein hervorragendes Mittel dar, Angriffe auf die IT eines Unternehmens besser zu verstehen und dadurch wesentlich schneller reagieren zu können. ATT&CK bildet durch den Grundaufbau eine Standardisierung in der Beschreibung von Cyberangriffen, so dass Sicherheitsteams auf globaler Ebene miteinander kommunizieren und vor allem auch neue Erkenntnisse austauschen können. Das Konzept ermöglicht es so, zuverlässig und in der Breite Vorgehensweisen beim Angriff auf IT-Infrastrukturen erkennen zu können.