Mithilfe des „MITRE ATT&CK“-Framework

Erkennung und Reaktion auf Sicherheitsvorfälle

25. Januar 2022, 7:30 Uhr | Autor: Nils Krumrey / Redaktion: Diana Künstler

Viele Sicherheitsteams stehen vor der Herausforderung, Tausende von Kompromissindikatoren und mehrere Sicherheitstools mit begrenzter Zeit verwalten müssen. Eine Lösung ist die Priorisierung von Kompromissindikatoren, indem ein SIEM mit dem ATT&CK-Framework der Mitre Corporation erweitert wird.

Cyberangriffe werden immer raffinierter und Angreifer können selbst die besten Sicherheitskontrollen und -richtlinien umgehen. Sobald sich die Angreifer Zugang zu einem System verschafft haben, ist es entscheidend, sie so schnell wie möglich zu stoppen, um den Schaden zu begrenzen. Die Herausforderung besteht darin, dass Sicherheitsteams Tausende von Kompromissindikatoren und mehrere Sicherheitstools mit begrenzter Zeit verwalten müssen, was es schwierig macht, bösartige Aktivitäten zu erkennen und darauf zu reagieren. Eine wirksame Lösung ist die Priorisierung von Kompromissindikatoren, indem ein SIEM mit dem ATT&CK-Framework der Mitre Corporation erweitert wird.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

ATT&CK an der Spitze der Pyramide

Das ATT&CK-Framework ist eine branchenübliche Klassifizierung von Angreifer-Taktiken und -Techniken, die auf realen Beobachtungen verschiedener Cyberangriffe beruht. Das Framework ist herstellerunabhängig und wird von der Community getragen, so dass es eine gemeinsame Klassifizierung für verschiedene Produkte und Benutzer bietet. ATT&CK ist ein Akronym für Adversarial Tactics, Techniques & Common Knowledge (Angreifer-Taktiken, -Techniken und -Gemeinschaftswissen), was die verschiedenen Teile des Frameworks bezeichnet. Taktiken sind die Ziele der Bedrohungsakteure, und Techniken sind die spezifischen Methoden, die sie zum Erreichen dieser Ziele einsetzen. Sicherheitsanalysten können das Framework nutzen, um das Verhalten der Angreifer zu verstehen und zu erkennen, wie sie ihre Angriffe durchführen.

Der Sicherheitsexperte David Bianco hat die Pyramid of Pain eingeführt, um die verschiedenen Indikatoren für eine Kompromittierung zu beschreiben und bösartige Aktivitäten zu erkennen. Je weiter oben in der Pyramide man erkennt und reagiert, desto schmerzhafter oder schwieriger ist es für den Angreifer, einen Angriff durchzuführen. Abwehrmaßnahmen, die auf den Kompromittierungsindikatoren in der unteren Hälfte der Pyramide - Hash-Werte, IP-Adressen und Domänennamen - basieren, sind für einen Angreifer leicht zu umgehen und daher für Analysten nicht sehr wertvoll.

Stattdessen ist es hilfreich, sich auf der Grundlage der Indikatoren in der oberen Hälfte der Pyramide zu verteidigen. Netzwerk- und Host-Artefakte, Tools und insbesondere Taktiken, Techniken und Verfahren (TTPs) stellen für Angreifer eine größere Herausforderung dar. Das ATT&CK-Framework ermöglicht naturgemäß die Erkennung von und die Reaktion auf TTPs und stellt somit die robusteste Verteidigung dar. Die Verteidigung des Netzes gegen TTPs hindert die Angreifer daran, ihre Methoden anzuwenden, und zwingt sie dazu, entweder viel Zeit und Mühe in die Entwicklung neuer Techniken zu investieren oder zum nächsten Ziel weiterzuziehen. Die Angreifer werden sich höchstwahrscheinlich für Letzteres entscheiden.