Das MITRE ATT&CK Mapping, oder besser bekannt als das MITRE ATT&CK Framework(das ATT&CK steht übersetzt für gegnerische Taktiken, Techniken und Allgemeinwissen),stammt von der namensgebenden MITRE Corporation.
MITRE Corporation ist einer Non-Profit-Organisation, die aus einer Abspaltung des MIT hervorging und unter anderem für das Verwalten der CVE-Liste (Common Vulnerabilities and Exposures) verantwortlich ist.
Bei MITRE ATT&CK Mapping handelt es sich im Grunde um einen Werkzeugkasten oder eine Wissensdatenbank mehrerer Matrizen verschiedener Cyberattack-Techniken. Diese sind nach verschiedenen Zwecken (bezeichnet als Tactics) geordnet und können nochmal nach bestimmten Plattformen (z.B. Windows, Vorbereitung, IOs, SaaS, ICS, etc) zusammengefasst werden.
Eins vorneweg: Die Einführung der MITRE ATT&CK Mapping hat die Cyber Kill Chain von Lockheed Martin nicht obsolet gemacht.
Ganz ähnlich verhält es sich mit den vielen Frameworks des Projektmanagements, die sich aus der Tatsache ergeben, dass kein Framework allein alle nötigen Facetten eines jeden Projektes abbilden kann. So hat sich das MITRE ATT&CK Mapping als logische Konsequenz der Notwendigkeit entwickelt, das Verhalten von Angreifern, ihre Techniken und Vorgehen allgemein klassifiziert und detailliert auf jede reale Umgebung unseres informationstechnologischen Wildwuchses abbilden zu können.
Die Cyber Kill Chain bietet eine sehr ablaufbezogene Sicht eines Angriffs mit festen aufeinander folgenden Abschnitten für einen erfolgreichen Angriff, ähnlich dem Wasserfall-Modell im Projektmanagement. Für eine Visualisierung möglicher oder erlittener einzelner Angriffe, insbesondere gegenüber Personen die sich noch nicht tiefergehend mit Threat Modeling oder Hunting auseinandergesetzt haben, bietet sich die Cyber Kill Chain daher an.
Der Realität, bzw. dem Vorgehen in realen Umgebungen, in Bezug auf Pentesting, Red Teaming, sowie Threat Hunting und Modeling, wird dies jedoch nur sehr bedingt gerecht. Selten ist der Weg zum Ziel von vornherein ersichtlich, die Möglichkeiten jedoch mannigfaltig und bekannterweise führen viele Wege über kurz oder lang nach Rom. Der oder die Angreifer (aber vielleicht auch der Pentester) „puzzeln“ sich quasi von einer Chance zur nächsten an ihr Ziel. Das MITRE ATT&CK Mapping berücksichtigt diese Tatsache.
Auf der verteidigenden Seite, dem Blue Team, sieht das Ganze sehr ähnlich aus.
Da es nicht nur den „einen“ Weg für Angreifer in die „Burg“ gibt, den es zu verhindern gilt, aber die Angreifer nur einmal erfolgreich sein müssen, ist der erste und wichtigste Schritt, „sich ein Bild von der Lage zu machen“.
Welche Begebenheiten und Einfallstore könnten Angreifer vorfinden, was könnten sie aufbieten, um diese auszunutzen, wie kann man sich dagegen schützen und, noch viel wichtiger, wie kann man diese detektieren?
Hier punktet das MITRE ATT&CK Mapping mit seinem Ansatz der Techniken und dem Aufbrechen in weitere Sub-Techniken, die, geordnet nach dem Zweck, den Angreifer damit verfolgen würden.
Nicht nur bietet dies einen weit tieferen Einblick als die Cyber Kill Chain, MITRE ATT&CK Mapping kombiniert dies auch mit Verweisen, Erläuterungen und Einblicken auf bekannte Beispiele (etwa Emotet oder Trickbot), mögliche Gegenmaßnahmen (in Abhängigkeit der Plattform), sowie Möglichkeiten der Erkennung. Zusätzlich passt die MITRE Corporation das Framework beständig an, um so aktuell wie möglich zu sein und mit realen Bedingungen Schritt zu halten.
Aufgrund seiner Entwicklungsgeschichte besteht ein natürlicher Fokus auf Threat Modeling und Hunting und damit einhergehend auf technisch versiertes Personal bzw. jene, die es werden wollen. Allerdings sind das nicht die einzigen Use Cases. Darüber hinaus eignet sich MITRE TT&CK Mapping für folgende Zwecke:
Dem Nachbilden und Analysieren von Angreiferverhalten und Malware im Threat Modeling
