Was ist das MITRE ATT&CK4; Framework? Einstieg in ATT&CK

MITRE ATT&CK® ist ein Rahmenwerk für bedrohungsinformierte Cybersicherheitsverteidigung und eine öffentliche Wissensdatenbank für gegnerische Taktiken, Techniken und Verfahren (TTPs), die auf realen Beispielen basieren, die in freier Wildbahn beobachtet wurden. Es enthält auch eine Fülle von Metadaten wie mögliche Erkennungen, Überwachungen, Datenquellen, Plattformen, Systemanforderungen, zugehörige Gruppen, Referenzen und mehr. Der ATT&CK-Inhalt wird online veröffentlicht und normalerweise zwei- bis dreimal jährlich aktualisiert. 

Cybersicherheitsexperten verwenden eine Methodik zur Zuordnung bestimmter Informationsstücke (Code, Informationen, Forschung) zu den MITRE ATT&CK TTPs, um die Bedrohungsanalyse, Erkennung und Reaktion zu erleichtern. Dies ist mit Hilfe kostenloser Tools möglich, die auf GitHub verfügbar sind. Mit ATT&CK vertraut zu werden, hilft, die Cybersicherheitslage einer Organisation zu stärken. Zum Beispiel könnten Sie neue Gerätesensoren implementieren, um eine größere Sichtbarkeit zu erlangen, denn anderweitig könnten die meisten TTPs überhaupt nicht verfolgt werden. 

ATT&CK fördert auch das Konzept der kollaborativen Cyberverteidigung. Warum ist Zusammenarbeit wichtig? Gehen wir ein wenig in der Zeit zurück. Robert C. Martin beschrieb ein „sehr seltsames Verhalten“ von Log4j in seinem Buch „Clean Code“. Das war 2008! Stellen Sie sich vor, wir hätten MITRE ATT&CK vor 14 Jahren gehabt. Hätten wir dann all das Log4j-Drama im Jahr 2022 gehabt? 

MITRE ATT&CK und Verhaltensbasierte Bedrohungserkennung

Wenn es um Sicherheitsoperationen geht, verhaltensbasierte Bedrohungserkennung wurde zu einem Spielwechsler. ATT&CK ist wie eine Datenbank verschiedener gegnerischer Verhaltensweisen, die „gut zu wissen“ sind, um bestimmte Angriffe zu erkennen. Beispielsweise kann sich Malware mit einem Packer hunderte Male neu verschlüsseln, sodass die Suche nach einem bestimmten Hash weniger sinnvoll ist. Wenn wir stattdessen ein Verhalten sehen, wie das Ausführen eines Befehls zum Hinzufügen eines Anmeldeskripts als Registrierungsschlüssel, können wir dieses Verhalten durch das Erstellen einer benutzerdefinierten Suchanfrage in den Protokollen finden. So etwas wie:

(index=__your_sysmon_index__ EventCode=1 Image=“C:\Windows\System32\reg.exe“ CommandLine=“*add*\Environment*UserInitMprLogonScript“) OR (index=__your_sysmon_index__ (EventCode=12 OR EventCode=14 OR EventCode=13) TargetObject=“*\Environment*UserInitMprLogonScript“)

(Quelle: CAR)

Die Verwendung eines verhaltensorientierten Ansatzes gibt SOC-Analysten mehr Flexibilität und Präzision. Solange sie das Verhalten finden können, spielt es keine Rolle, in welcher Datei es passiert und ob es überhaupt eine Datei ist (z. B. API-Aufruf).

Was ist MITRE?

Während ATT&CK selbst ein Markenzeichen ist, ist MITRE eine gemeinnützige Organisation mit Sitz in den USA, mit der Tochtergesellschaft MITRE Engenuity. 

Mit einer vorherigen Geschichte interessanter Luftwaffenprojekte verwaltet MITRE derzeit staatlich finanzierte F&E-Zentren. Neben dem ATT&CK-Rahmenwerk haben sie mehrere hilfreiche Initiativen im Bereich Cybersicherheit gestartet:

• MITRE Engenuity Stiftung und ihr Zentrum für Bedrohungsinformierte Verteidigung (23 „big player“-Mitglieder)
• MITRE Cyber Analytics Repository
• Nationales Cybersicherheits-Forschungs- und Entwicklungszentrum (NCF) gesponsert von NIST
• CVE® Programm
• CWE™ Liste

Jetzt, da wir herausgefunden haben, was das MITRE ATT&CK-Rahmenwerk ist, lassen Sie uns seine Bausteine überprüfen und wie sie verwendet werden können.

Was ist in der ATT&CK-Matrix?

MITRE ATT&CK hat einige Matrizen. Eine Matrix ist eine visuelle Darstellung von Taktiken und Techniken, die für eine spezielle technische Architektur gelten. Unten finden Sie eine vollständige Liste der Matrizen (zum Zeitpunkt der Veröffentlichung) mit Links zu ihren jeweiligen Online-Versionen. Beachten Sie, dass sich die Matrizen kontinuierlich entwickeln und aktualisieren:

• Unternehmensmatrix

• • • Vorbedrohung
    • Windows
    • macOS
    • Linux
    • Cloud
      • Office 365
      • Azure AD
      • Google Workspace
      • SaaS
      • IaaS
    • Netzwerk
    • Container

• Mobile Matrix

• • • Android
    • iOS

• Systeme für industrielle Steuerungen (ICS) Matrix

Jede Matrix kann lokal bearbeitet werden, indem man das MITRE Navigator Werkzeug verwendet. SOC-Teams nutzen es zur Zuordnung von Erkennungen und Überwachungen zu TTPs für Analyse-, Sicherheitsoperations- und Verwaltungszwecke. 

Die MITRE ATT&CK-Matrix gibt einen sofortigen Überblick über alle TTPs, die in einem bestimmten Technologiebereich beobachtet wurden. Statt den langwierigen Prozess der Suche nach Indizien, welche Angriffe in der Cloud durchgeführt wurden, zu durchlaufen, öffnen Sie einfach eine Cloud-Matrix und sehen sie auf einem Bildschirm. Es ist nicht so, dass die TTPs, die in einer bestimmten Matrix nicht angezeigt werden, auf der gegebenen Plattform niemals auftreten werden. Beispielsweise gehört die gesamte Erkundungstaktik zur PRE-Matrix (Vorbedrohung), kann aber bei verschiedenen Arten von Software, Firmware und Hardware auftreten.

ATT&CK vs. Cyber Kill Chain

Wenn es um Alternativen zu MITRE ATT&CK geht, ist ein weiteres viel diskutiertes Rahmenwerk die Cyber Kill Chain® von Lockheed Martin.

Lockheed Martin ist ein globaler Konzern, der sich auf Verteidigungs- und Raumfahrttechnik spezialisiert hat. Sie sind auch an der Entwicklung und dem Einsatz von Software- und DevSecOps-Infrastrukturen in Regierungsbehörden beteiligt.

Die Cyber Kill Chain ist eine Abfolge von Schritten, die Gegner durchführen müssen, um einen erfolgreichen Cyberangriff durchzuführen. Dieses Rahmenwerk ist Teil des Intelligence Driven Defense® (IDD)-Modells, das für die Verwaltung von Bedrohungsverhütung, -erkennung und -reaktion konzipiert ist. 

Die Cyber Kill Chain sieht folgendermaßen aus:

Allerdings wurde das Cyber Kill Chain-Modell dafür kritisiert, dass es malware- und perimeterbasiert ist. Zudem impliziert es eine lineare Taktik, bei der ein Angreifer direkt von A nach Z geht. In der Realität sind die meisten Angriffe jedoch nicht unbedingt linear. Deshalb entwickelte Paul Pols eine Unified Kill Chain mit 18 Taktiken. Alles in allem sieht es aus wie ein „ATT&CK trifft CKC“-Bedrohungsmodell:

Also, welche sollte man wählen? 

Lockheed Martin schlug einen interessanten Ansatz der Verteidigung durch Offensive vor, der vorschlägt, wie man taktisch auf jede Phase der Kill Chain verteidigt. Währenddessen machte MITRE seinen Rahmen zu einem „lebenden“, greifbaren Werkzeug, das in den Cybersicherheits-Workflow integriert werden kann. Sie aggregieren einige unklare technische Erkennungen und Überwachungen, nehmen sich jedoch nicht die Freiheit, den gesamten Verteidigungsansatz vorzuschlagen. 

Darüber hinaus bietet ATT&CK sehr gründliche Erklärungen technischer Details, während die Einheitliche Cyber Kill Chain versucht, einen strategischen Überblick über die gesellschaftlich-technischen Ziele von Gegnern zu geben. 

Was die 18 Taktiken gegen 14 angeht, scheinen die meisten von ihnen sich zu überschneiden. Zum Beispiel wird Social Engineering in Form von Spearphishing in der ATT&CK-Erkundungstaktik abgedeckt. Und Pivoting wird in T1572, Protocol Tunnelling, behandelt.

Vielleicht wäre es am besten, die Aktualisierungen beider Rahmenwerke zu verfolgen, um die größtmögliche Bandbreite an Cyberbedrohungen abzudecken. Idealerweise sollte ein SOC-Team darauf abzielen, drei Verteidigungsebenen abzudecken: operational, taktisch und strategisch.

Was sind MITRE ATT&CK Taktiken?

Taktiken sind die höchsten Kategorien des MITRE ATT&CK-Rahmens, die die Ziele von Cyberangreifern darstellen und die Frage beantworten „why“. Zum Zeitpunkt der Erstellung dieses Artikels ist die neueste Ausgabe Band 11 (herausgegeben im April 2022), die 14 Taktiken in 3 Bereichen umfasst: Unternehmen, Mobil und ICS.

Was sind MITRE ATT&CK Techniken und wie viele gibt es?

Jede Taktik besteht aus mehreren Techniken. Die aktuelle ATT&CK-Version umfasst 191 Techniken, die die Frage beantworten, „how“, um das taktische Ziel zu erreichen. Dies sind bestimmte Aktionen wie Zugriffstoken-Manipulation, Artefaktverbergen usw. Eine Technik kann zu mehr als einer Taktik gehören. Zum Beispiel kann die Technik zur Änderung von Domänenrichtlinien sowohl auf die Taktik der Verteidigungsevasion als auch auf die der Privilegieneskalation verweisen. Diese Beziehungen sehen Sie im oberen rechten Fenster auf einer Technikkarte. Dort finden Sie auch viele nützliche Metadaten wie erforderliche Berechtigungen, umgangene Verteidigungen, Versionsverlauf, Mitwirkender, Überwachungen, Erkennungen und Referenzen.

Was sind MITRE ATT&CK Sub-Techniken?

Sub-Techniken (385 in v.11) sind kleinere Teile der Techniken, die verschiedene Wege zur Durchführung dieser Techniken beschreiben. Sie sind noch präziser als Techniken und enthalten technische Details auf niedriger Ebene. Sub-Techniken werden als Unterkategorien von Techniken mit direkten Abhängigkeiten aufgeführt. Zum Beispiel ist eine Sub-Technik T1548.003 Sudo und Sudo Abfangen Teil der Technik T1548, Nutzung der Kontrollmechanismen zur Eskalation.

Was sind MITRE ATT&CK Prozeduren?

Auf den Seiten der Sub-Techniken finden Sie Beispiele für Prozeduren mit Verweisen auf Malware-Typen und Cyberkriminelle Gruppen. Beachten Sie, dass Malware-Typen und Cyberangriffsgruppen nummeriert sind und jede von ihnen ihre eigene ID hat, während Prozeduren keine IDs haben.

Prozeduren beschreiben besondere Fälle der Implementierung von Sub-Techniken, die in realen Angriffen beobachtet wurden. Jede Prozedur kann zu mehr als einer Sub-Technik/Technik gehören, da sie einen speziellen Fall der Malware-Ausführung in freier Wildbahn darstellt. 

Wie benutzt man ATT&CK?

MITRE ATT&CK kann von einem SOC-Team in einigen Fällen verwendet werden:

• Technische Kontrollen
  • Cyberbedrohungsintelligenz
  • Sicherheitsüberwachung
  • Bedrohungsjagd
  • Penetrationstest
  • Bedrohungserkennung
  • Malware-Analyse
  • Software-Zusammensetzungsanalyse
• Administrative Kontrollen
  • GRC
  • Budgetplanung
  • Kontinuierliche Verbesserung

Der bedrohungsinformierte Ansatz, den ATT&CK nutzt, bietet den dringend benötigten Kontext für Ereignisse, die im Netzwerk des Unternehmens stattfinden. Einfach ausgedrückt ist es nützlich in allen drei Hauptphasen: vor dem Angriff (proaktive Verteidigung, Risikomanagement), während des Angriffs (Erkennung & Reaktion) und nach dem Angriff (Wiederherstellung, Berichterstattung). Natürlich könnten Sie hier widersprechen: Was, wenn unsere Organisation noch nie angegriffen wurde? Ist es notwendig, ATT&CK auf all diesen Ebenen zu implementieren?

Die Wahrheit ist, selbst wenn alle notwendigen mehrschichtigen Verteidigungen vorhanden sind, bleibt immer ein Restrisiko. Daher sollten Risikoanalyse und -politik zuerst kommen und einen Bereich relevanter Cybersicherheitselemente definieren. Die gute Nachricht ist, dass sich ATT&CK nahtlos in verschiedene Arten von Unternehmens-Cybersicherheitssoftware einfügt, sodass SOC-Teams einige Punkte aus der obigen Liste innerhalb einer Lösung integrieren können.

Hier ist eine Liste nützlicher Tools für ATT&CK und darüber hinaus, erstellt von MITRE:

• ATT&CK Navigator
• ATT&CK Python-Tools
• ATT&CK Werkbank
• CALDERA™ Gegnerische Emulationsplattform
• CASCADE Server
• GitHub-Repos: 
  • MITRE 
  • ATT&CK 
  • CTID

Entdecken Sie die Cyber Threats Suchmaschine von SOC Prime, um sofort umfassende Informationen zu Cyberbedrohungen zu finden, einschließlich CTI-Kontext und umfassender MITRE ATT&CK-Referenzen. Klicken Sie auf den Explore Threat Context Button unten, um die Suchergebnisse für aktuelle CVEs, APTs und Exploits zu erreichen, angereichert mit kontextuellen Metadaten und begleitet von relevanten Sigma-Regeln.

Explore Threat Context 

Auf strategischer Ebene helfen Rahmenwerke wie ATT&CK, eine widerstandsfähigere Cybersicherheitslage zu schaffen, während Organisationen versuchen, dem steigenden Druck von APT-Angriffen und ihren böswilligen sozioökonomischen Zielen standzuhalten. Strukturierte Analyse und bedrohungsinformierter Ansatz liefern wertvolle Informationen für eine kontinuierliche Verbesserung oder Neuausrichtung von Cyberabwehrstrategien.

MITRE Engenuity Initiativen

MITRE ATT&CK ist ein ständig wachsendes Rahmenwerk. Wie entwickeln sie sich also weiter? Mit MITRE Engenuity gemeinnütziger Stiftung geht die ATT&CK-Entwicklung über eine passive Studie der öffentlich offenen Bedrohungsforschung hinaus. Engenuity arbeitet mit dem privaten Sektor zusammen und hat bereits 23 hochkarätige Unternehmensmitglieder.

Vor etwa zwei Jahren startete die Stiftung ein Zentrum für Bedrohungsinformierte Verteidigung, das eine regelmäßige Reihe von „purple-team”-Sprints namens ATT&CK Evaluations veranstaltet. Das Projekt bietet kostenlos herunterladbare Emulationspläne auf GitHub. Jede Organisation führt ihre eigene Emulation und Analyse einer gegebenen Bedrohung durch (MITRE Engenuity bewertet die Ergebnisse in keiner Weise). Die Forschungsergebnisse der einzelnen Teilnehmer werden auf dieser Webseite veröffentlicht. 

Die Sache ist die, dass jeder Technik von Angreifern in mehreren Prozeduren ausgeführt werden kann, und wiederum jede Prozedur kann eine angepasste Mischung aus Techniken verwenden. Jeder Akteur kann seine Prozeduren als Reaktion auf neue Erkennungen ändern. Deswegen bringen verschiedene Anbieter, die dieselbe Forschung in ihren eigenen Umgebungen durchführen, eine Fülle wertvoller Informationen.

Eine weitere interessante Initiative von MITRE Engenuity ist das MITRE ATT&CK Defender™ (MAD) Schulungs- und Zertifizierungsprogramm. Es gibt nur eine Gebühr, die ein Jahr lang vollen Zugang zu einem MAD Skills Hub freischaltet. MAD ermutigt Sicherheitsexperten, regelmäßig ihre Fähigkeiten zu aktualisieren, um neuen Bedrohungen entgegenzutreten. Deshalb präsentieren sie in ihrem bedarfsgerechten und Live-Training regelmäßig neue Lernmöglichkeiten. Folglich müssen Sie, wenn Sie einmal ein Abzeichen verdient haben, es erneuern, sobald sich die Bedrohungslandschaft ändert. 

FAQ: Der ATT&CK-Rahmen und SOC Primes Detection as Code Plattform

Lassen Sie uns einige Fragen zur Verwendung des ATT&CK mit der SOC Prime-Plattform kurz behandeln.

Warum sollte ich ATT&CK TTPs in der SOC Prime Detection as Code Plattform verwenden?

Die Zuordnung von Cybersicherheitsbemühungen zu ATT&CK hilft dabei, die größtmögliche Anzahl potenzieller Bedrohungen innerhalb der kürzesten Zeitspanne abzudecken. Und es ist kein Geheimnis, dass sowohl die Mitglieder des blauen Teams als auch des roten Teams viel um die Ohren haben. Die Zuordnung zu ATT&CK und die Analyse der Ergebnisse wird viel einfacher, wenn diese auf der SOC Prime Detection as Code-Plattform durchgeführt wird. 

Es ist möglich, ATT&CK auf unserer Plattform auf mehrere Arten zu verwenden:

• Erkennung von Inhaltssuchen 

Verwendungszwecke: Reduzierung der MTTD, präventive Kontrollen

• Erkundung und Analyse des Bedrohungskontextes

Verwendungszweck: Durchführung von Bedrohungsjagd 

• Leistungsanalyse 

Verwendungszweck: Bewertung der Effektivität des SOC-Teams

• Bewertung von Tools und Dienstleistungen 

Verwendungszweck: Ausschluss eines Open-Source-Tools aus einer Lieferkette, weil es zu viel Zeit & Aufwand erfordern würde, um es zu sichern (Anzahl der SOC Prime-Regeln + TTPs, die abgedeckt werden sollen)

• Anbietermigration oder Produktüberschneidung 

Verwendungszweck: Bereitstellung von Bedrohungsabdeckung über Softwarelösungen, die das Unternehmen derzeit nutzt. Zum Beispiel: Splunk + Crowdstrike + Securonix

• Risikomanagement 

Verwendungszwecke: Bereitstellung von Bedrohungsprofilanalyse & Updates, Lückenanalyse usw.

• Bewertung des SOC-ROI 

Verwendungszweck: Bewertung der geleisteten Arbeit und Vergleich mit der investierten Zeit und dem ausgegebenen Geld

• Interne Sicherheitsprüfung 

Verwendungszwecke: Verwaltung der Einhaltung von Vorschriften, Fusionen & Übernahmen usw.

Wie verwendet man das MITRE ATT&CK-Rahmenwerk in der SOC Prime Detection as Code Plattform?

Verwenden Sie die folgenden Pfade, nachdem Sie sich in das SOC Prime Detection as Code-Plattform:

Analytics > Erweiterte Suche or Erkennungsauswertung

• Verwenden Sie Filter, um Erkennungsregeln und Abfragen zu suchen, die bestimmten Taktiken, Techniken, Sub-Techniken, Akteuren, Tools, Datenquellen oder Datenkomponenten zugeordnet sind.

Analytics > MITRE ATT&CK Abdeckung

• Analysieren Sie die TTPs, die von SOC Primes Erkennungsinhalten abgedeckt werden und die Ihr Team durchsucht, bereitgestellt oder über API heruntergeladen hat.
• Klicken Sie auf Exportieren, um die TTPs-Abdeckung, die durch ein aktuelles Suchprofil definiert wurde, in den MITRE Navigator zu exportieren. Sie können auch auf Importieren klicken, wenn Sie ein Suchprofil erstellen, um eine Navigator-Ebene zu importieren, die Sie bereits verwenden.

Automatisieren > Suchprofile > Erstellen > Technik

• Verwalten Sie mühelos Listen von TTPs zusammen mit anderen Parametern in einem Suchprofil

Inhalt > MITRE ATT&CK

• Ermitteln Sie Erkennungsregeln, Konfigurationen und Inhaltspakete nach TTPs.

Inhalt > Erweiterte Suche > [Regelname] > Intelligenz > MITRE ATT&CK

• Erkunden Sie die TTPs, die in einem bestimmten Inhaltelement abgedeckt sind.

Es ist möglich, nicht nur Ihre eigenen analytischen Bemühungen, sondern auch die Ihrer Teamkollegen zu überprüfen. Die Konfiguration von Automatisierung und Berichterstattung kann anfangs einige Zeit in Anspruch nehmen, aber sobald dies erledigt ist, wird die Verwendung von ATT&CK-dokumentierten Erkennungen viel einfacher und schneller.

Können SOC Prime-Benutzer ohne Registrierung Erkenntnisse zum MITRE ATT&CK-Kontext gewinnen?

Ja.

Gehen Sie auf SOC Primes Cyber Threats Suchmaschine und suchen Sie nach Erkennungsinhalten, die Sie interessieren. Sie können suchen, indem Sie TTPs, CVEs, Bedrohungsakteure, Protokollquellen, Namen von Malware-Stämmen, Softwareprodukte und vieles mehr eingeben. Sobald Sie Suchmaschinenergebnisse sehen, können Sie diese durch Filter auf der linken Seite des Bildschirms und oben eingrenzen. 

Schalten Sie die MITRE ATT&CK® Ansicht Umschalten, um die Ergebnisse nach TTPs zu sortieren. In der oberen rechten Ecke des Bildschirms sehen Sie zwei Symbole – Export and Import von JSON-Dateien zum und vom ATT&CK Navigator. Das Verwenden ist super einfach! Ein Klick – und Sie sind im Navigator, um die Suchergebnisse der Erkennungsinhalte auf einer MITRE ATT&CK-Matrix zu erkunden. Zwei Klicks – und Sie haben die TTPs aus Ihrer Navigator-Ebene importiert und sehen alle relevanten Erkennungen zu Ihrer Auswahl. Jedoch ist die tatsächliche Verwendung dieser Erkennungen in Ihrer SOC-Umgebung nur möglich, wenn Sie bei der SOC Prime Detection as Code-Plattform registriert sind.

Fazit

MITRE ATT&CK ist vieles. Es ist eine Schönheit von perfekt geordneten Daten. Es geht um verbesserte Fähigkeiten zur Zusammenarbeit. Strategische Züge. Noch mehr, es geht um eine Philosophie der sauberen Architektur, die oft im Coding verwendet wird, wo die Geschäftstätigkeit nicht von speziellen Tools abhängt. In einem Cybersicherheitskontext ist die Logik eines einzelnen Erkennungsvorgangs auf eine Vielzahl verschiedener Sicherheitsstufen sowie horizontal gleiche Lösungen, Tools und Formate übertragbar.

Indem MITRE Corp. die Gegnerischen Taktiken, Techniken und Allgemeines Wissen (ATT&CK) kostenlos und offen macht, unterstützt es einen kollaborativen Bedrohungsabwehransatz, der Gemeinschaften, den privaten Sektor und die Regierung zusammenbringt. Die Aufzählung und Erklärung jeder Cyberangriffsbewegung bietet die Möglichkeit, neue Methoden und Bedrohungsmodelle zu implementieren, Prozesse zu automatisieren und effektiv Bedrohungen zu analysieren.

Verbessern Sie Ihre Bedrohungserkennungsabdeckung mit On-Demand Detection-as-Code-Inhalten, die auf MITRE ATT&CK abgebildet sind. Wählen Sie die On-Demand-Abonnementplan und erhalten Sie maßgeschneiderte Erkennungsinhalte, die auf Ihre Cyberabwehr abgestimmt sind, um proaktiv gegen aufkommende Bedrohungen zu verteidigen.