Mithilfe des „MITRE ATT&CK“-Framework

Erkennung und Reaktion auf Sicherheitsvorfälle

25. Januar 2022, 7:30 Uhr | Autor: Nils Krumrey / Redaktion: Diana Künstler

Fortsetzung des Artikels von Teil 1

SIEM mit dem Framework anreichern

Das ATT&CK-Framework stellt praktisch ein Playbook möglicher Cyberangriffe bereit, das effektiv mit SIEM-Lösungen zusammenarbeitet. SIEMs bieten die Überwachung, Erkennung und Alarmierung von Sicherheitsereignissen oder -vorfällen innerhalb einer IT-Umgebung. Durch die Erweiterung der SIEM-Funktionen mit den Bedrohungsdaten des ATT&CK-Frameworks können Analysten die Besonderheiten eines Angriffs besser verstehen.

Wenn eine SIEM-Lösung einen Alarm erzeugt, verstehen Security Analysten, warum er ausgelöst wird. Durch den Abgleich mit dem ATT&CK-Framework können sie verstehen, was sie bedeutet. So können sie beispielsweise sehen, ob eine Warnung mit einer bestimmten ATT&CK-Technik, einer bekannten Bedrohungsgruppe oder scheinbar nicht verwandten Warnungen korreliert, um sich ein besseres Bild zu machen. So lässt sich beispielsweise feststellen, ob ein Ereignis als Deckmantel für etwas anderes in der Umgebung dient. Die Erweiterung des SIEM um das ATT&CK-Framework bietet stärkere Indikatoren, sodass Security Analysten eine Bedrohung schneller erkennen und entsprechend reagieren können.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Sinnvolle Ergänzung

SIEM-Lösungen decken einen großen Teil der Anwendungsfälle des ATT&CK-Frameworks ab. So ordnet beispielsweise die SIEM-Lösung von Logpoint alle seine Abfragen dem Framework zu, um den Analysten das Sammeln solider Bedrohungsdaten und die Identifizierung von Kompromissindikatoren gegen TTPs zu erleichtern. Ein weiteres Beispiel für die Verwendung des ATT&CK-Frameworks sind die Warnregeln. Das ATT&CK-Modell weist jeder gegnerischen Taktik eine eindeutige ID zu, und alle aktivierten Warnregeln geben eine Warnung mit einer ATT&CK-ID zurück. Anhand der ID kann ein Analyst leicht erkennen, ob verschiedene Warnungen einem einzigen Angriff entsprechen, der einer festgelegten Sequenz folgt.

UEBA-Technologien (User and Entity Behavior Analytics) wiederum nutzen Maschinelles Lernen, um verdächtiges Benutzer- und Entitätsverhalten zu erkennen. Die Technologie hinter UEBA ergänzt die Erkennungsfunktionen perfekt mit den taktischen Methoden des Frameworks. Anstelle von starren Abfragen, Suchvorgängen oder anderen Datenkonstrukten, die typischerweise mit einem SIEM einhergehen, passt UEBA die Algorithmen des Maschinellen Lernens an tatsächliche praktische Szenarien an und nicht an unzusammenhängende, singuläre Elemente von Interesse.

Nils Krumrey, UK Presales Lead bei Logpoint