MITRE ATT&CK Mapping

Inhaltsverzeichnis

MITRE ATT&CK Mapping im Überblick

Das MITRE ATT&CK Mapping, oder besser bekannt als das MITRE ATT&CK Framework(das ATT&CK steht übersetzt für gegnerische Taktiken, Techniken und Allgemeinwissen),stammt von der namensgebenden MITRE Corporation.

MITRE Corporation ist einer Non-Profit-Organisation, die aus einer Abspaltung des MIT hervorging und unter anderem für das Verwalten der CVE-Liste (Common Vulnerabilities and Exposures) verantwortlich ist.

Werkzeugkasten und Wissensdatenbank

Bei MITRE ATT&CK Mapping handelt es sich im Grunde um einen Werkzeugkasten oder eine Wissensdatenbank mehrerer Matrizen verschiedener Cyberattack-Techniken. Diese sind nach verschiedenen Zwecken (bezeichnet als Tactics) geordnet und können nochmal nach bestimmten Plattformen (z.B. Windows, Vorbereitung, IOs, SaaS, ICS, etc) zusammengefasst werden.

Wie gut ist Deine IT gegen Angriffe geschützt?
Lass Dein System durch einen professionellen Penetrationtest untersuchen!
Zum Penetration Test

Noch ein Framework?

Der Unterschied zwischen MITRE ATT&CK Mapping und der Cyber Kill Chain

Eins vorneweg: Die Einführung der MITRE ATT&CK Mapping hat die Cyber Kill Chain von Lockheed Martin nicht obsolet gemacht.

Ganz ähnlich verhält es sich mit den vielen Frameworks des Projektmanagements, die sich aus der Tatsache ergeben, dass kein Framework allein alle nötigen Facetten eines jeden Projektes abbilden kann. So hat sich das MITRE ATT&CK Mapping als logische Konsequenz der Notwendigkeit entwickelt, das Verhalten von Angreifern, ihre Techniken und Vorgehen allgemein klassifiziert und detailliert auf jede reale Umgebung unseres informationstechnologischen Wildwuchses abbilden zu können.

Cyber Kill Chain

Die Cyber Kill Chain bietet eine sehr ablaufbezogene Sicht eines Angriffs mit festen aufeinander folgenden Abschnitten für einen erfolgreichen Angriff, ähnlich dem Wasserfall-Modell im Projektmanagement. Für eine Visualisierung möglicher oder erlittener einzelner Angriffe, insbesondere gegenüber Personen die sich noch nicht tiefergehend mit Threat Modeling oder Hunting auseinandergesetzt haben, bietet sich die Cyber Kill Chain daher an.

Der Realität, bzw. dem Vorgehen in realen Umgebungen, in Bezug auf Pentesting, Red Teaming, sowie Threat Hunting und Modeling, wird dies jedoch nur sehr bedingt gerecht. Selten ist der Weg zum Ziel von vornherein ersichtlich, die Möglichkeiten jedoch mannigfaltig und bekannterweise führen viele Wege über kurz oder lang nach Rom. Der oder die Angreifer (aber vielleicht auch der Pentester) „puzzeln“ sich quasi von einer Chance zur nächsten an ihr Ziel. Das MITRE ATT&CK Mapping berücksichtigt diese Tatsache.

Auf der verteidigenden Seite, dem Blue Team, sieht das Ganze sehr ähnlich aus.

Da es nicht nur den „einen“ Weg für Angreifer in die „Burg“ gibt, den es zu verhindern gilt, aber die Angreifer nur einmal erfolgreich sein müssen, ist der erste und wichtigste Schritt, „sich ein Bild von der Lage zu machen“.

Welche Begebenheiten und Einfallstore könnten Angreifer vorfinden, was könnten sie aufbieten, um diese auszunutzen, wie kann man sich dagegen schützen und, noch viel wichtiger, wie kann man diese detektieren?

Hier punktet das MITRE ATT&CK Mapping mit seinem Ansatz der Techniken und dem Aufbrechen in weitere Sub-Techniken, die, geordnet nach dem Zweck, den Angreifer damit verfolgen würden.

Nicht nur bietet dies einen weit tieferen Einblick als die Cyber Kill Chain, MITRE ATT&CK Mapping kombiniert dies auch mit Verweisen, Erläuterungen und Einblicken auf bekannte Beispiele (etwa Emotet oder Trickbot), mögliche Gegenmaßnahmen (in Abhängigkeit der Plattform), sowie Möglichkeiten der Erkennung. Zusätzlich passt die MITRE Corporation das Framework beständig an, um so aktuell wie möglich zu sein und mit realen Bedingungen Schritt zu halten.

Wofür eignet sich MITRE ATT&CK Mapping?

Aufgrund seiner Entwicklungsgeschichte besteht ein natürlicher Fokus auf Threat Modeling und Hunting und damit einhergehend auf technisch versiertes Personal bzw. jene, die es werden wollen. Allerdings sind das nicht die einzigen Use Cases. Darüber hinaus eignet sich MITRE TT&CK Mapping für folgende Zwecke:

ProSec Icon Social Engineering​

Dem Nachbilden und Analysieren von Angreiferverhalten und Malware im Threat Modeling

PSN Icon Hacker
Unterstützung eines Red Teamings Purple Teamings
PSN Icon Analyse
Aufdecken von Lücken in den Schutzmaßnahmen, Übungsszenarios für SIEMs und SOCs
Icon Idea
Wissensvertiefung und -verbreitung
Du möchtest Dich weiter bei IT-Sicherheitsprofis informieren?
Ruf uns einfach an oder nutze unser Kontaktformular!
Jetzt Anfragen