Was ist MITRE ATT&CK?

Was ist das MITRE ATT&CK®?

MITRE ATT&CK® (Adversarial Tactics, Techniques, and Common Knowledge) wurde 2013 von der MITRE Corporation entwickelt, um die Taktiken und Techniken von Angreifern auf Basis von Beobachtungen aus der Praxis zu dokumentieren.

Dabei wollten Forscher das Verhalten von Angreifern und Verteidigern untersuchen, um die Erkennung nach einer Kompromittierung zu verbessern.

Das daraus entstandene ATT&CK-Framework ist eine Wissensdatenbank für Verhaltensweisen von Cyber-Kriminellen und Cyber-Angreifern das die verschiedenen Phasen des Angriffslebenszyklus widerspiegelt.

Die Abstraktion in konkrete Taktiken, Techniken und Subtechnik bieten eine gut verständliche Abstraktionsebene auf deren Basis verschiedene Teams aus der IT-Sicherheit miteinander kommunizieren können.

MITRE stellt ATT&CK in Form einer Matrix dar. Die Spaltenüberschriften am oberen Rand werden Taktiken genannt. Die Taktik ist ein Ziel, dass ein Angreifer zu erreichen versucht. Für jede Taktik gibt es eine Reihe von Techniken, wie das Ziel erreicht werden kann.

Die ATT&CK Matrizen: Enterprise, Mobile und ICS

MITRE hat ATT&CK in drei große Bereiche aufgeteilt: Enterprise, Mobile und ICS. Jeder Bereich hat eine eigene Matrix.

• ATT&CK Enterprise fokussiert sich auf das Verhalten von Angreifern in Windows-, Mac-, Linux- und Cloud-Umgebungen.
• ATT&CK Mobile fokussiert sich auf das Verhalten von Angreifern auf iOS- und Android-Betriebssystemen.
• ATT&CK ICS fokussiert sich auf die Beschreibung der Aktionen, die ein Angreifer während seiner Tätigkeit in einem ICS-Netzwerk ausführen kann.

Die ATT&CK Enterprise Matrix

Die vollständige ATT&CK Enterprise-Matrix deckt dabei die Bereiche

• PRE
• Windows
• Linux
• macOS
• Cloud
• Netzwerk
• Container

ab.

Die Taktiken, also die Spaltenbeschriftungen, lassen sich grob als eine Art Cyber-Kill-Chain interpretieren, die allerdings nicht linear durchlaufen werden müssen.

Der Bereich PRE, also die einem Angriff vorausgehenden Aktivitäten, bestehen aus:

1. Reconnaissance: Darunter fallen alle Aktivitäten mit denen sich interessante Informationen über Personen, Technologie oder Netzwerkinfrastruktur einer Organisation in Erfahrung bringen lässt.
2. Ressource Development: Auf Basis der gesammelten Informationen werden passende Angriffswerkzeuge entwickelt und eine IT-Infrastruktur für den Angriff aufgebaut. Dazu können Phishing Webseiten und eine Command & Control Infrastruktur gehören.

Wie kann ATT&CK Unternehmen konkret helfen?

Das MITRE ATT&CK Framework ist in einer Vielzahl von Situationen praktisch. ATT&CK bietet nicht nur eine umfassende Enzyklopädie für Verteidiger von IT-Infrastrukturen (Cyber-Defense), sondern bildet auch eine Basis für Red Teaming und Penetrationstests. Dies gibt den Verteidigern (Blue Team) und Red Teamern eine gemeinsame Taxonomie von Verhaltensweisen realer Angreifer.

Zu den wichtigsten Anwendungsfälle von MITRE ATT&CK für Unternehmen und öffentliche Organisation zählen dabei:

• Priorisierung defensiver Maßnahmen im Hinblick auf die Umgebung des Unternehmens: Selbst die am besten ausgestatteten Teams können sich nicht gegen alle Angriffsvektoren gleichermaßen schützen. Das ATT&CK-Framework kann Teams bei der Priorisierung unterstützen.
• Wert defensiver Maßnahmen: Defensivmaßnahmen können eine wohlverstandene Bedeutung haben, wenn sie mit den ATT&CK-Taktiken und -Techniken verglichen werden, auf die sie sich beziehen.
• Detection & Response: Das Security Operations Center (SOC) und das Incident Response Team können auf ATT&CK-Techniken und -Taktiken verweisen, die konkret entdeckt oder aufgedeckt wurden. Dies hilft dabei, die Stärken und Schwächen der eingesetzten defensiven Maßnahmen besser zu verstehen.
• Threat Hunting: Die Zuordnung defensiver IT-Sicherheitsmaßnahmen zu ATT&CK ergibt eine Karte von potentiellen Verteidigungslücken. Diese können für Threat Hunting gute Ausgangspunkte sein um entgangene Aktivitäten von Angreifern zu finden.
• Verwendung des MITRE ATT&CK Framework zur Abdeckung gegen spezielle Angreifergruppen: Viele Unternehmen möchten vorrangig bestimmte Verhaltensweisen von Angreifergruppen erkennen können, von denen sie wissen, dass sie eine besondere Bedrohung für ihren Geschäftsbereich sind. MITRE entwickelt das Framework ständig weiter, und fügt neue Techniken hinzu, sobald diese „in freier Wildbahn“ von Cyber-Kriminellen genutzt werden. Damit ist es möglich Techniken, die durch Akteure verwendet werden, die ausschließlich in den USA operieren, weniger priorisiert werden, wenn sich das Unternehmen nur in einer vollkommenen anderen Region tätig ist.
• Integration und Informationsaustausch: Unterschiedliche Tools und Dienste können die standardisierten ATT&CK-Taktiken und -Techniken zur besseren Integration und Zusammenarbeit nutzen. Vor ATT&CK hat häufig eine gemeinsame Sprach- und Begriffsbasis gefehlt. Das ist nicht nur wertvoll innerhalb eines Unternehmens, sondern auch beim externen Austausch über Angriffe, Cyber-Kriminelle oder anderen Gruppen.
• Red Team/Penetrationstest-Aktivitäten: Bei der Planung, Durchführung und Berichterstattung von Red Team-, Purple Team- und Penetrationstest-Aktivitäten kann ATT&CK eingesetzt werden, um eine gemeinsame Sprache mit den Verteidigern und Berichtsempfängern sowie untereinander zu sprechen.

Simulation von Angreifern mit ATT&CK

Eine aus Blue-Team-Sicht relevante Frage ist häufig wie gut man mit den eingesetzten Verteidigungstechnologien gegenüber aktuellen Angriffstechniken aufgestellt ist. Das Testen der für Angreifer relevanten Techniken in Unternehmen und Organisationen ist sicherlich einer der effektivsten Wege um:

• Verteidigungstechnologien und ihre Wirksamkeit zu testen,
• eine ausreichende Abdeckung und Sichtbarkeit gegenüber den relevanten Techniken sicherzustellen,
• Lücken in der Sichtbarkeit oder im Schutz besser zu verstehen,
• die Konfiguration von Tools und Systemen zu validieren,
• zu demonstrieren, wo verschiedene Akteure erfolgreich wären - oder eben nicht,

Die Anwendung von ATT&CK-Techniken durch Penetrationstester erhöht das Verständnis der Ergebnisse durch das eigene IT-Sicherheitsteam.

Simulationen können so gestaltet werden, dass sie Techniken widerspiegeln, von denen bekannt ist, dass sie von bestimmten relevanten Akteuren verwendet werden. Dies kann besonders nützlich sein, wenn es darum geht, zu beurteilen, wie erfolgreich bestimmte Angreifer gegen die in der Umgebung vorhandenen Kontrollen vorgehen können.

Software Tools zur Simulation von Angreifern

Darüber hinaus gibt es Software-Tools zum Testen bestimmter Techniken direkt in der eigenen IT-Umgebung und die auch bereits auf das MITRE ATT&CK Framework abgestimmt sind.

• MITRE Caldera (Open Source)
• Red Canary Atomic Red Team (Open Source)
• Uber Metta (Open Source)
• Endgame Red Team Automation (Open Source)
• Verodin (kommerziell)
• SafeBreach (kommerziell)
• Chariot Attack (kommerziell)
• AttackIQ (kommerziell)

Wie immer ist bei der Durchführung von Angriffssimulationen Vorsicht geboten und die Zusammenarbeit mit erfahrenen Penetrationstestern empfohlen.

Die Arbeit mit diesen Werkzeugen besteht dabei grundsätzlich aus drei Phasen.

1. Simulation: Es erfolgt eine Auswahl der Kriterien der Simulation auf Grundlage der gewünschten Tests. Dana führt entweder das Software-Tools oder ein Tester manuell die ausgewählte Technik aus.
2. Review & Hunt: Untersuchen der Log-Protokolle aller Sicherheitstools sowie anderer präventiver und detektiver eingesetzter Software auf den IT-Systemen. Falls die erwünschte Erkennungsleistung nicht der Beobachtung entspricht, wird dies mit dokumentiert.
3. Lernen & Verbessern: Auf Grundlage der Ergebnisse wird geprüft ob eine Verbesserung der Leistung zu Erkennung von unterwünschten Aktivitäten notwendig ist. Dabei sollte berücksichtigt werden, dass nicht immer alle Angriffsmuster oder verhindert werden müssen. Es genügt üblicherweise, wenn genug Stolperdrähte ausgelegt sind.

ATT&CK- Ressourcen

Das MITRE ATT&CK Framework ist ein sehr umfassendes Werkzeug, um das Verhalten von Angreifern besser zu verstehen und auch die eigene IT-Infrastruktur dagegen abzusichern. Es gibt mittlerweile eine Unmenge von wertvollen Informationen und Software-Tools. Nachfolgend findet sich eine kurz kommentierte Liste – ergänzend zu der im vorherigen Abschnitt aufgeführten Softwaretools zur Angriffssimulation.

• ATT&CK-Webseite: Die ATT&CK-Website von MITRE ist sicherlich eine erste wichtige Anlaufstelle.
• ATT&CK Blog: MITRE unterhält einen Blog über ATT&CK auf Medium.
• ATT&CK Konferenz: Es gibt einen Sicherheitskongress, der sich mit ATT&CK beschäftigt.
• ATT&CK-Navigator: Der ATT&CK-Navigator ist ein hervorragendes Werkzeug, um Bedrohungen vor und Maßnahmen gegen ATT&CK-Techniken darzustellen.
• Malware Archeology MITRE ATT&CK Cheat Sheets: Das Team von Malware Archeology stellt zwei Auflistungen von relevanten Informationsquellen für viele ATT&CK-Techniken zur Verfügung. Obwohl das letzte Update von 09/2018 ist, lohnt sich dennoch ein Blick.
• MITRE Cyber Analytics Repository (CAR): Während sich das ATT&CK Framework primär auf die Beschreibung von Bedrohungen und deren Tätigkeiten fokussiert, kümmert sich ein anderes MITRE-Projekt um die Erkennung von Bedrohungen: das Cyber Analytics Repository (CAR).