Was ist das MITRE ATT&CK Framework?
2024 MITRE ATT&CK Evaluation: Trend Vision One™ gibt Angreifern keine Chance, sich zu verstecken
MITRE ATT&CK Framework
MITRE ATT&CK steht für Adversarial Tactics, Techniques, and Common Knowledge und ist eine öffentliche Wissensdatenbank von gegnerischen Taktiken und Techniken, die als Grundlage für die Entwicklung bestimmter Cyber-Bedrohungsmodelle und -methoden verwendet werden kann.
Diese Wissensbasis wurde auf der Grundlage der folgenden drei Konzepte entwickelt:
- Er erhält die Perspektive des Gegners
- Er folgt der realen Nutzung von Aktivitäten durch empirische Anwendungsbeispiele
- Der Abstraktionsgrad ist angemessen, um beleidigende Handlungen mit möglichen Abwehrmaßnahmen zu überbrücken.
MITRE ATT&CK hilft der Branche, den Ansatz eines Angreifers zu definieren und zu standardisieren. Er sammelt und kategorisiert häufige Angriffstaktiken, Techniken und Verfahren (TTPs) und organisiert diese Informationen dann in einem Framework.
Das 3. Konzept, das eine angemessene Abstraktionsstufe für die Überbrückung zwischen der Angriffsmethode und den verteidigungsseitigen Gegenmaßnahmen erfordert, ist besonders wichtig, wenn Sie die Struktur von ATT&CK verstehen. Informationen sind als Informationen mit einem hohen Abstraktionsgrad organisiert, nicht als individuelle/spezifische Informationen wie IP-Adressen, URL und Signaturinformationen von Malware.
Die Grundlage des Konzepts der Faktoren ist die Analyse von Angriffen auf der Grundlage der sogenannten Taktik, Technik und Verfahren (TTP). Vor allem Kenntnisse zu Techniken werden erworben und organisiert.
- Taktik: Kurzfristiges Ziel eines Angreifers
- Technik: Das Mittel für einen Angreifer, um ein Ziel zu erreichen
- Vorgehensweise: Eine spezifische Methode für einen Angreifer, Techniken zu nutzen
Mit diesem Framework lassen sich Verhalten, Vorgehen und Absichten von Angreifern erkennen.
Eine gemeinsame Sprache und ein gemeinsames Rahmenwerk sind wichtig, um Bedrohungen so effizient und effektiv wie möglich zu kommunizieren, zu verstehen und darauf zu reagieren.
MITRE ATT&CK ist zu einer wichtigen Wissensdatenbank für Cyber-Verteidiger geworden, die letztendlich die Sicherheitseffizienz und Reaktionszeit verbessert. Die jährliche MITRE-Bewertung vergleicht branchenweite Innovationen, um die Lösungen bereitzustellen, die erforderlich sind, um die sich entwickelnde Bedrohungslandschaft zu erkennen und darauf zu reagieren.
Ressource von https://attack.mitre.org/resources/
Diese Art von Framework ist äußerst nützlich für Informationssicherheitsexperten, um sie über neue Angriffstechniken auf dem Laufenden zu halten und Angriffe überhaupt zu verhindern.
Unternehmen nutzen ATT&CK, um Community-Gespräche, Verteidigungstests und Produkt-/Servicebewertungen zu standardisieren.
MITRE ATT&CK Bewertungen
Die MITRE ATT&CK Evaluation bietet Kunden Transparenz und reale Angriffsszenarien. Dadurch wird sichergestellt, dass Kunden Sicherheitsprodukte aktiv bewerten können, um sich vor den neuesten Fortschritten vor Angreifern zu schützen, basierend auf ihren Bereichen mit dem größten Bedarf. Die Bewertung verwendet feindliche Emulation, um sicherzustellen, dass Kunden die heutigen Bedrohungen angehen können. Techniken, Tools, Methoden und Ziele verwenden, die von denen eines Angreifers inspiriert sind.
Die Simulationen werden in einer kontrollierten Laborumgebung durchgeführt, um faire und genaue Tests zu gewährleisten. Angreifertechniken werden dann Schritt für Schritt verwendet, um die Bandbreite der ATT&CK-Abdeckung zu erkunden.
Die Auswertungen sind keine Wettbewerbsanalyse. Es gibt keine Bewertungen, Einstufungen oder Bewertungen. Stattdessen zeigen sie, wie jeder Anbieter die Bedrohungserkennung im Kontext der ATT&CK-Wissensdatenbank angeht.
Die Bewertung bietet Käufern und Kunden von Cybersicherheitslösungen eine unvoreingenommene Option, Sicherheitsprodukte zu bewerten, um sich auf der Grundlage ihrer wichtigsten Bereiche gegen die neuesten Fortschritte von Angreifern auszuwappnen.
Beispiel: Im Jahr 2022 hat die Bewertung die operativen Abläufe von Wizard Spider und Sandworm Tradecraft nachgeahmt, um Angriffe zu simulieren, die dem Verhalten dieser Gruppen ähneln. Nachdem die Simulation durchgeführt wurde, wurden die Ergebnisse verarbeitet und veröffentlicht, einschließlich der Methodik
MITRE ATT&CK Matrizen
Das MITRE ATT&CK-Framework ist in mehrere Matrizen strukturiert, die jeweils auf bestimmte Umgebungen zugeschnitten sind, in denen Cyberbedrohungen betrieben werden. Diese Matrizen kategorisieren Taktiken, Techniken und Verfahren (TTPs), die von Angreifern verwendet werden, und helfen Sicherheitsteams dabei, ihre Verteidigungsstrategien zu verbessern.
Unternehmens-Matrix
Die umfassendste Matrix, die Bedrohungen in Windows-, macOS-, Linux- und Cloud-Umgebungen abdeckt. Sie umfasst Techniken wie Privilegeskalation, Lateral Movement und Datenexfiltration.
Mobile Matrix
Konzentriert sich auf Bedrohungen, die auf iOS- und Android-Geräte abzielen. Diese Matrix beschreibt Angriffstechniken wie Diebstahl von Anmeldedaten, Netzwerknutzung und mobile Malware-Persistenz.
Matrix für industrielle Steuerungssysteme (ICS)
Behebt Cyberbedrohungen speziell für industrielle Umgebungen, wie SCADA-Systeme. Es hebt Techniken hervor, die zur Unterbrechung kritischer Infrastrukturen verwendet werden, einschließlich unautorisierter Befehlsausführung und Firmware-Manipulation.
MITRE ATT&CK Taktiken
Die Grundlagen von ATT&CK sind eine Reihe von Techniken, die Aktionen darstellen, mit denen ein Angreifer ein Ziel erreichen kann. Ziele werden als Taktiken klassifiziert.
Die Taktik stellt das „Warum“ der Technik dar. Aus diesem Grund führt ein Angreifer eine Aktion aus. Eine Technik ist das „Means“, mit dem ein Angreifer ein Ziel erreichen kann, indem er eine Aktion ausführt. Es steht auch für das, was der Angreifer erwirbt.
Wenn die Domäne Enterprise als Analogie betrachtet wird, lautet die Taktik wie folgt:
- Erster Zugriff: Methoden, die Angreifer verwenden, um ein Netzwerk zu infiltrieren, wie Phishing, Lieferkettenkompromittierung und Ausnutzung öffentlicher Anwendungen.
- Ausführung: Techniken, die bösartigen Code auf einem System ausführen, einschließlich Befehlszeilenausführung, Scripting und Ausnutzung für Client-Ausführung.
- Persistenz: Methoden, die Angreifer verwenden, um den Zugriff nach der ersten Kompromittierung aufrechtzuerhalten, z. B. Erstellen neuer Benutzerkonten, Registrierungsänderungen und geplante Aufgaben.
- Eskalation von Berechtigungen: So erhalten Gegner übergeordnete Berechtigungen, wie z. B. Schwachstellen ausnutzen, Anmeldedaten-Dumping und Zugriffstokenmanipulation.
- Verteidigungsumgehung: Techniken zur Umgehung von Sicherheitsmaßnahmen, einschließlich Deaktivierung von Sicherheitstools, Verschleierung von Dateien und Prozessinjektion.
- Zugang zu Anmeldedaten: Methoden zum Diebstahl von Anmeldeinformationen, wie Keylogging, Brute Force-Angriffe und Dumping von Anmeldeinformationen.
- Entdeckung: Taktiken, die verwendet werden, um Informationen über ein System oder Netzwerk zu sammeln, wie Netzwerkscans und Kontoaufzählung.
- Seitliche Bewegung: Techniken für den Übergang zwischen Systemen, wie Remote Desktop Protocol (RDP) und Pass-the-Hash-Angriffen.
- Sammlung: Methoden zur Erfassung sensibler Daten, einschließlich Bildschirmerfassung, Keylogging und Daten aus lokalen Datenbanken.
- Exfiltration: Möglichkeiten, gestohlene Daten aus einem Netzwerk zu übertragen, wie z. B. verschlüsselte Exfiltration und Cloud-Speichermissbrauch.
- Auswirkung: Techniken, die darauf abzielen, den Betrieb zu unterbrechen, einschließlich Ransomware-Bereitstellung, Datenvernichtung und Service-Denial-Angriffen.
MITRE ATT&CK Techniken
Das MITRE ATT&CK-Framework kategorisiert gegnerische Techniken, die bei Cyberangriffen verwendet werden. Zu den wichtigsten Techniken gehören:
- Erster Zugriff – Methoden wie Phishing und Ausnutzen öffentlicher Anwendungen, um Zugang zu erhalten.
- Ausführung – Ausführen von bösartigem Code über Befehlszeile oder Skripting.
- Persistenz – Aufrechterhaltung des Zugriffs durch Registry-Änderungen oder geplante Aufgaben.
- Privilege Escalation – Gewinnung höherer Berechtigungen mithilfe von Exploits oder Anmeldedaten-Dumping.
- Abwehrhinterziehung – Umgehung der Sicherheit durch Verschleierung oder Deaktivierung von Tools.
- Seitliche Bewegung – Verbreitung über Netzwerke über RDP oder Pass-the-Hash.
- Exfiltration – Datendiebstahl mithilfe von Cloud-Missbrauch oder verschlüsselten Übertragungen.
Das Verständnis dieser Techniken hilft Unternehmen, Sicherheitsverteidigungen zu stärken.
Anatomie des MITRE ATT&CK Framework
Taktiken sind die Beschreibung dessen, was Angreifer erreichen wollen.
Taktiken ähneln einem Kapitel eines Buches. Ein CISO kann eine Geschichte beschreiben, die er erzählen möchte, mit den hochrangigen Taktiken, die bei einem Angriff verwendet werden, und sich dann auf die Techniken beziehen, um die Geschichte darüber zu erzählen, wie er den Angriff durchgeführt hat, was zusätzliche Details liefert.
Beispiel Story: Aufbau einer Angriffsgeschichte in einer gemeinsamen Sprache
Ziel des Angreifers war es, ersten Zugriff auf das Netzwerk zu erhalten. Mit einem Drive-by-Compromise mit einem Spear-Phishing-Link und einer vertrauensvollen Beziehung erhielt der Angreifer ersten Zugriff mit dieser Technik.
Hinweis: Das Framework listet alle bekannten Möglichkeiten auf, wie ein Angreifer einen ersten Zugriff erhalten kann.
Wie hilft eine Cybersicherheitslösung?
Die Lösung ordnet die Produkte zu, die dem ATT&CK Framework zur Verfügung stehen, zeigt Taktiken und Techniken zu Erkennungen, die zeigen, wie wir Ihnen helfen können, die Herausforderungen der Erkennung und Reaktion auf Bedrohungen zu bewältigen.
Was ist mit Prävention?
Präventive Kontrollen sind ein wichtiger Bestandteil einer Strategie zur Bedrohungsminderung, die bei Angriffen Widerstandsfähigkeit erhöht. Vorbeugende Kontrollen wurden in der letzten Runde getestet, mit der Möglichkeit, Risiken frühzeitig abzuwehren, sodass Unternehmen mehr Zeit für schwierigere Sicherheitsprobleme aufwenden können.
MITRE ATT&CK im Vergleich zur Cyber-Kill-Kette
MITRE ATT&CK soll ein tieferes Maß an Granularität bei der Beschreibung dessen bieten, was während eines Angriffs passieren kann, der von der Cyber-Kill-Kette voranschreitet
In der Cyber-Kill-Kette gibt es sieben Schritte:
- Aufklärung
- Eindringen
- Ausbeutung
- Privileg-Ausführung
- Laterale Bewegungen
- Verschleierung/Antiforensik
- Denial of Service
- Exfiltration
MITRE ATT&CK Anwendungsfälle
MITRE ATT&CK ermöglicht es Ihnen, Technologien aus der Sicht des Angreifers zu organisieren und Gegenmaßnahmen auf der Verteidigungsseite zu referenzieren. Daher werden die folgenden Anwendungsfälle beschrieben.
Gegnerische Emulation
Die Emulation eines Angreifers. Extrahieren Sie aus Gruppen in der Datenbank Techniken und Angriffsszenarien, die von einem bestimmten Angreifer verwendet werden, erkennen Sie eine Reihe von Angriffen und überprüfen Sie, ob es Abwehrmaßnahmen gegen diese Angriffe gibt.
Rotes Teaming
Erstellen Sie Angriffsszenarien für Cyberübungen. Das rote Team spielt die Rolle des Angreifers, das blaue Team spielt die Rolle der Verteidigung und das weiße Team spielt die Rolle der Kontrolle und des Urteilsvermögens.
Entwicklung von Verhaltensanalysen
Nutzen Sie statt IoC und bekannten Bedrohungsinformationen die Wissensdatenbank von ATT&CK und analysieren Sie unbekannte Techniken und Aktionsmuster, um neue Gegenmaßnahmen zu entwickeln.
Beurteilung des Verteidigungsspalts
Identifizieren Sie, was in den bestehenden Gegenmaßnahmen einer Organisation mangelhaft ist. Legen Sie Prioritäten für Investitionen fest.
Bewertung der SOC-Reife
Bestimmen Sie, wie effektiv Erkennung, Analyse und Reaktion nach SOC sind.
Anreicherung von Cyber Threat Intelligence
Der Analyst kann die Aktionen einer Angreifergruppe genau verstehen und melden. Es ist möglich, eindeutig zu identifizieren, welche Art von Tools eine bestimmte Gruppe verwendet hat, welche Art von Technologie und welches Verfahren die Gruppe beim Starten von Angriffen verwendet hat, indem Daten aus der Datenbank abgerufen werden.
Obwohl es sich um ein Berufsfeld handelt, bietet die Website von MITRE ATT&CK auch eine Anwendung namens ATT&CK Navigator, mit der Sie eine Matrix gemäß den oben beschriebenen Zwecken erstellen können.
MITRE ATT&CK 2024 Ergebnisse für Unternehmenssicherheit
100 % Erkennung aller wichtigen Angriffsschritte
Im Jahr 2024 hat MITRE Engenuity das Spiel verbessert und die realsten modernen Angriffstechniken simuliert. Um zu sagen, dass Trend Micro die Aufgabe zerquetscht hat, ist eine Untertreibung.
Die unglaubliche Leistung 2024 bei MITRE Engenuity ATT&CK Evaluations ist unser fünfter in Folge und enthält einige der höchsten Bewertungen, die je für jeden Anbieter verzeichnet wurden.
Im Jahr 2023 wurden über 161 Milliarden Bedrohungen abgewehrt – ein Anstieg von 10 % gegenüber 2022. Eine bessere Transparenz der Risiken trägt entscheidend dazu bei, selbst die ausgefeiltesten Angriffe proaktiv zu stoppen.
Bei den diesjährigen Bewertungen lag der Fokus auf Taktiken, Techniken und Verfahren (TTPs) von DPRK, CL0P und LockBit, drei der komplexesten und gefährlichsten Ransomware-Bedrohungen.