ATT&CK-MITRE als wirksame Methode zur Abwehr von Cyberbedrohungen

Was ist das ATT&CK-MITRE-Framework und wie kann man diese Methode anwenden, um die Sicherheit in Organisationen zu verbessern.

Bedrohungen der Cybersicherheit erfordern immer mehr Fähigkeiten und operative Flexibilität von Sicherheitsteams, die auf Angriffe reagieren. Ein wichtiger Aspekt der Erkennung von Sicherheitsbedrohungen ist die umfassende Kenntnis der von Cyberkriminellen verwendeten Taktiken, Techniken und Verfahren (TTPs).

Schon antike Philosophen wie Sun Tzu wussten, dass der Schlüssel zu einem siegreichen Krieg in der Fähigkeit liegt, zwischen Strategien und Techniken der Kriegsführung zu unterscheiden. In der Bianco-Pyramide, die die Beziehungen zwischen den verschiedenen IOC-Indikatoren darstellt, stehen die TTPs ganz oben. Und je höher in dieser Pyramide, desto höher die Kosten, die Cyberkriminelle zahlen müssen. Das Ziel eines jeden SOC ist es, die Spitze dieser Pyramide zu erreichen, wenn das Blue-Team in der Lage ist, die Aktivitäten des Gegners zu beobachten. Die ATT&CK-MITRE-Bedrohungsdatenbank ist ein unschätzbares Hilfsmittel, wenn es darum geht, diesen Reifegrad der Sicherheit in einem Unternehmen zu erreichen.

Was ist ATT&CK MITRE?

Die ATT&CK-Methodik (Adversarial Tactics, Techniques and Common Knowledge) von MITRE ist ein Wissensfundus über cyberkriminelle Verhaltensmuster, die in einer Matrix von Taktiken und Techniken zusammengefasst wurden. Dieser Rahmen ist nützlich, um die Sicherheitsrisiken eines Unternehmens und die von Cyberkriminellen eingesetzten Maßnahmen zu verstehen, Verbesserungen zu planen und zu überprüfen, ob die Schutzmaßnahmen wie erwartet funktionieren.

Die MITRE-Threat-Knowledge-Base wurde in erster Linie geschaffen, um die Fähigkeit zur Erkennung von Sicherheitsbedrohungen zu verbessern und so Lücken in den Verteidigungssystemen einer Organisation zu finden. Der Gedanke hinter dieser Organisation war, einen Leitfaden zu erstellen, um fortgeschrittene APT-Angriffe schneller zu erkennen, als dies derzeit der Fall ist. Die Zeit, die benötigt wird, um einen gezielten Angriff zu entdecken, wird in Monaten gemessen, und im Durchschnitt dauert es schätzungsweise fünf Monate, um einen Feind innerhalb einer Organisation zu identifizieren. Das ist genug Zeit für den Angreifer, um das angegriffene Unternehmen in- und auswendig zu kennen und sogar illegal in den Besitz sensibler Informationen zu gelangen, die das weitere Schicksal der Organisation beeinflussen könnten. Es ist wichtig, daran zu denken, dass ein Angreifer auch dann, wenn ein Unternehmen über ein perfektes Programm zum Patchen von Sicherheitslücken oder zur Einhaltung von Vorschriften verfügt, mit Zero-Day-Exploits oder Social-Engineering-Methoden den Sieg davontragen kann.

 

Taktiken, Techniken…

Die mehr als zweihundert ATT&CK-MITRE-Techniken sind in zwölf Gruppen, die so genannten Taktiken, unterteilt. Wenn man die verschiedenen Angriffsphasen aufschlüsselt, erhält man einen umfassenden Überblick über die Techniken und Fähigkeiten der Angreifer, die man so schnell und genau wie möglich aufspüren möchte (ohne das sogenannte False-Positives-Rauschen). Wenn ein Cyberkrimineller einen fortgeschrittenen Angriff durchführt, löst dies entsprechende Warnsignale aus. Diese Kennzeichen sind die in den Sicherheitssystemen implementierten Mechanismen zur Erkennung und Eindämmung von Bedrohungen.

Die MITRE-Bedrohungsdatenbank enthält nicht nur eine Tabelle mit Taktiken und Techniken, sondern auch eine Reihe von Tipps zu den erforderlichen Datenquellen, die für die Erkennung verdächtiger Aktivitäten benötigt werden, sowie zahlreiche Beispiele für tatsächliche Angriffe in Verbindung mit bestimmten kriminellen Gruppen.

 

Überwachung

Um fortgeschrittene Angriffe auf der Grundlage cyberkriminellen Verhaltens zu erkennen, empfiehlt MITRE die Analyse verdächtiger Aktivitäten auf der Grundlage von Workstation-Monitoring, d. h. die erweiterte Überwachung von Protokollen von Betriebssystemen (einschließlich Sysmon), Netzwerkprotokollen (einschließlich Netflow), Protokollen von Firewalls, Anwendungen, Authentifizierungssystemen, Cloud-Knotenkomponenten, DNS, PowerShell und vielen anderen Datenquellen. Die Entwickler von Flowcontrol beschlossen, ihre Erfahrung an Bedrohungswissen in ihr eigenes Produkt zur Überwachung von Netzwerkflüssen zu implementieren. Zusätzlich zur Erkennung von DDoS-Angriffen erkennt Flowcontrol viele Arten von Sicherheitsbedrohungen und Netzwerkanomalien, unter anderem in den Bereichen Erstzugang, Zugriff auf Zugangsdaten, Entdeckung, C2, seitliche Bewegung (Lateral-Movements), Exfiltration und Auswirkungen.

Zusammenfassung
Der Einsatz von MITRE’s ATT&CK erleichtert es Unternehmen, ihr Sicherheitsniveau zu stärken indem sie sehr sorgfältig Fallen für Angreifer platzieren, z.B. in Form von Korrelationsregeln im SIEM oder anderen Sicherheitssystemen. Aufgrund des enormen Arbeitsaufwands, der mit der Behandlung aller Techniken verbunden ist, empfehle ich, dies in Etappen zu tun, damit weniger erfahrene Fachleute genügend Zeit haben, sich mit der Methodik vertraut zu machen und nicht zu schnell entmutigt werden. Andererseits verbessern die „Fuser“ durch diese Art des Lernens die Wirksamkeit der Instrumente zur Aufdeckung und Analyse von Sicherheitsbedrohungen. „Meiner Meinung nach sollte jeder IT-Sicherheitsverantwortliche mit diesem Framework vertraut sein. Wenn Sie es also noch nicht getan haben, sollten Sie sich mit ATT&CK MITRE https://attack.mitre.org) vertraut machen.“

Von Jacek Grymuza, Senior Security Engineer bei Sycope, Vorstandsmitglied von (ISC)2 Poland Chapter

#Sycope