Was ist MITRE ATT&CK?

Das MITRE ATT&CK Framework ist eine laufend aktualisierte Wissensdatenbank, bestehend aus Taktiken und Techniken von Cyber-Angreifern über den gesamten Angriffslebenszyklus hinweg.

Autor Dr. Ewan Fleischmann 04.08.2022

Das Wichtigste in Kürze

  • MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) ist ein IT-Security Framework das von der MITRE Corporation entwickelt wurde, um Unternehmen dabei zu helfen, Schwachstellen in ihrer Verteidigung gegen Cyber-Angreifer und Cyber-Kriminelle aufzudecken.
  • Das Framework besteht aus 11 Taktiken mit mehr als 200 Techniken mit oft mehreren Subtechniken die einzelne Aktivitäten von Angreifern beschreiben.
  • Die Taktiken sind: Initial Access, Execution, Command & Control, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Exfiltration und Impact.
Beitrag teilen

Lesezeit 6 Minuten

Was ist das MITRE ATT&CK®?

MITRE ATT&CK® (Adversarial Tactics, Techniques, and Common Knowledge) wurde 2013 von der MITRE Corporation entwickelt, um die Taktiken und Techniken von Angreifern auf Basis von Beobachtungen aus der Praxis zu dokumentieren.

Dabei wollten Forscher das Verhalten von Angreifern und Verteidigern untersuchen, um die Erkennung nach einer Kompromittierung zu verbessern.

Das daraus entstandene ATT&CK-Framework ist eine Wissensdatenbank für Verhaltensweisen von Cyber-Kriminellen und Cyber-Angreifern das die verschiedenen Phasen des Angriffslebenszyklus widerspiegelt.

Die Abstraktion in konkrete Taktiken, Techniken und Subtechnik bieten eine gut verständliche Abstraktionsebene auf deren Basis verschiedene Teams aus der IT-Sicherheit miteinander kommunizieren können.

MITRE stellt ATT&CK in Form einer Matrix dar. Die Spaltenüberschriften am oberen Rand werden Taktiken genannt. Die Taktik ist ein Ziel, dass ein Angreifer zu erreichen versucht. Für jede Taktik gibt es eine Reihe von Techniken, wie das Ziel erreicht werden kann.

Die ATT&CK Matrizen: Enterprise, Mobile und ICS

MITRE hat ATT&CK in drei große Bereiche aufgeteilt: Enterprise, Mobile und ICS. Jeder Bereich hat eine eigene Matrix.

  • ATT&CK Enterprise fokussiert sich auf das Verhalten von Angreifern in Windows-, Mac-, Linux- und Cloud-Umgebungen.
  • ATT&CK Mobile fokussiert sich auf das Verhalten von Angreifern auf iOS- und Android-Betriebssystemen.
  • ATT&CK ICS fokussiert sich auf die Beschreibung der Aktionen, die ein Angreifer während seiner Tätigkeit in einem ICS-Netzwerk ausführen kann.

Die ATT&CK Enterprise Matrix

Die vollständige ATT&CK Enterprise-Matrix deckt dabei die Bereiche

  • PRE
  • Windows
  • Linux
  • macOS
  • Cloud
  • Netzwerk
  • Container

ab.

MITRE ATT&CK Enterprise Matrix

Die Taktiken, also die Spaltenbeschriftungen, lassen sich grob als eine Art Cyber-Kill-Chain interpretieren, die allerdings nicht linear durchlaufen werden müssen.

Der Bereich PRE, also die einem Angriff vorausgehenden Aktivitäten, bestehen aus:

  1. Reconnaissance: Darunter fallen alle Aktivitäten mit denen sich interessante Informationen über Personen, Technologie oder Netzwerkinfrastruktur einer Organisation in Erfahrung bringen lässt.
  2. Ressource Development: Auf Basis der gesammelten Informationen werden passende Angriffswerkzeuge entwickelt und eine IT-Infrastruktur für den Angriff aufgebaut. Dazu können Phishing Webseiten und eine Command & Control Infrastruktur gehören.

Beispiel einer Enterprise ATT&CK Technik

Eine der Taktiken ist zum Beispiel Execution. Damit ein Angreifer auf einem IT-System erfolgreich eigene Befehle zur Ausführung bringen kann, wird er eine oder mehrere der in der Spalte Execution der aufgeführten Techniken anwenden.

Eine Technik ist dabei die Ausführung von durch den Angreifer eingeschleusten Code als Script mit Subtechniken zur Ausführung als Powershell-Skript, CMD-Skript (.BAT), und weiteren. ATT&CK bietet viele Details zu jeder Subtechnik und Technik, inklusive Beschreibungen, Beispielen, Referenzen und Vorschlägen zur Schadensbegrenzung und der Erkennung.

Screenshot einer ATT&CK Technik von attack.mitre.org

Wie kann ATT&CK Unternehmen konkret helfen?

Das MITRE ATT&CK Framework ist in einer Vielzahl von Situationen praktisch. ATT&CK bietet nicht nur eine umfassende Enzyklopädie für Verteidiger von IT-Infrastrukturen (Cyber-Defense), sondern bildet auch eine Basis für Red Teaming und Penetrationstests. Dies gibt den Verteidigern (Blue Team) und Red Teamern eine gemeinsame Taxonomie von Verhaltensweisen realer Angreifer.

Zu den wichtigsten Anwendungsfälle von MITRE ATT&CK für Unternehmen und öffentliche Organisation zählen dabei:

  • Priorisierung defensiver Maßnahmen im Hinblick auf die Umgebung des Unternehmens: Selbst die am besten ausgestatteten Teams können sich nicht gegen alle Angriffsvektoren gleichermaßen schützen. Das ATT&CK-Framework kann Teams bei der Priorisierung unterstützen.
  • Wert defensiver Maßnahmen: Defensivmaßnahmen können eine wohlverstandene Bedeutung haben, wenn sie mit den ATT&CK-Taktiken und -Techniken verglichen werden, auf die sie sich beziehen.
  • Detection & Response: Das Security Operations Center (SOC) und das Incident Response Team können auf ATT&CK-Techniken und -Taktiken verweisen, die konkret entdeckt oder aufgedeckt wurden. Dies hilft dabei, die Stärken und Schwächen der eingesetzten defensiven Maßnahmen besser zu verstehen.
  • Threat Hunting: Die Zuordnung defensiver IT-Sicherheitsmaßnahmen zu ATT&CK ergibt eine Karte von potentiellen Verteidigungslücken. Diese können für Threat Hunting gute Ausgangspunkte sein um entgangene Aktivitäten von Angreifern zu finden.
  • Verwendung des MITRE ATT&CK Framework zur Abdeckung gegen spezielle Angreifergruppen: Viele Unternehmen möchten vorrangig bestimmte Verhaltensweisen von Angreifergruppen erkennen können, von denen sie wissen, dass sie eine besondere Bedrohung für ihren Geschäftsbereich sind. MITRE entwickelt das Framework ständig weiter, und fügt neue Techniken hinzu, sobald diese „in freier Wildbahn“ von Cyber-Kriminellen genutzt werden. Damit ist es möglich Techniken, die durch Akteure verwendet werden, die ausschließlich in den USA operieren, weniger priorisiert werden, wenn sich das Unternehmen nur in einer vollkommenen anderen Region tätig ist.
  • Integration und Informationsaustausch: Unterschiedliche Tools und Dienste können die standardisierten ATT&CK-Taktiken und -Techniken zur besseren Integration und Zusammenarbeit nutzen. Vor ATT&CK hat häufig eine gemeinsame Sprach- und Begriffsbasis gefehlt. Das ist nicht nur wertvoll innerhalb eines Unternehmens, sondern auch beim externen Austausch über Angriffe, Cyber-Kriminelle oder anderen Gruppen.
  • Red Team/Penetrationstest-Aktivitäten: Bei der Planung, Durchführung und Berichterstattung von Red Team-, Purple Team- und Penetrationstest-Aktivitäten kann ATT&CK eingesetzt werden, um eine gemeinsame Sprache mit den Verteidigern und Berichtsempfängern sowie untereinander zu sprechen.

Simulation von Angreifern mit ATT&CK

Eine aus Blue-Team-Sicht relevante Frage ist häufig wie gut man mit den eingesetzten Verteidigungstechnologien gegenüber aktuellen Angriffstechniken aufgestellt ist. Das Testen der für Angreifer relevanten Techniken in Unternehmen und Organisationen ist sicherlich einer der effektivsten Wege um:

  • Verteidigungstechnologien und ihre Wirksamkeit zu testen,
  • eine ausreichende Abdeckung und Sichtbarkeit gegenüber den relevanten Techniken sicherzustellen,
  • Lücken in der Sichtbarkeit oder im Schutz besser zu verstehen,
  • die Konfiguration von Tools und Systemen zu validieren,
  • zu demonstrieren, wo verschiedene Akteure erfolgreich wären - oder eben nicht,

Die Anwendung von ATT&CK-Techniken durch Penetrationstester erhöht das Verständnis der Ergebnisse durch das eigene IT-Sicherheitsteam.

Simulationen können so gestaltet werden, dass sie Techniken widerspiegeln, von denen bekannt ist, dass sie von bestimmten relevanten Akteuren verwendet werden. Dies kann besonders nützlich sein, wenn es darum geht, zu beurteilen, wie erfolgreich bestimmte Angreifer gegen die in der Umgebung vorhandenen Kontrollen vorgehen können.

Software Tools zur Simulation von Angreifern

Darüber hinaus gibt es Software-Tools zum Testen bestimmter Techniken direkt in der eigenen IT-Umgebung und die auch bereits auf das MITRE ATT&CK Framework abgestimmt sind.

Wie immer ist bei der Durchführung von Angriffssimulationen Vorsicht geboten und die Zusammenarbeit mit erfahrenen Penetrationstestern empfohlen.

Die Arbeit mit diesen Werkzeugen besteht dabei grundsätzlich aus drei Phasen.

  1. Simulation: Es erfolgt eine Auswahl der Kriterien der Simulation auf Grundlage der gewünschten Tests. Dana führt entweder das Software-Tools oder ein Tester manuell die ausgewählte Technik aus.
  2. Review & Hunt: Untersuchen der Log-Protokolle aller Sicherheitstools sowie anderer präventiver und detektiver eingesetzter Software auf den IT-Systemen. Falls die erwünschte Erkennungsleistung nicht der Beobachtung entspricht, wird dies mit dokumentiert.
  3. Lernen & Verbessern: Auf Grundlage der Ergebnisse wird geprüft ob eine Verbesserung der Leistung zu Erkennung von unterwünschten Aktivitäten notwendig ist. Dabei sollte berücksichtigt werden, dass nicht immer alle Angriffsmuster oder verhindert werden müssen. Es genügt üblicherweise, wenn genug Stolperdrähte ausgelegt sind.

ATT&CK- Ressourcen

Das MITRE ATT&CK Framework ist ein sehr umfassendes Werkzeug, um das Verhalten von Angreifern besser zu verstehen und auch die eigene IT-Infrastruktur dagegen abzusichern. Es gibt mittlerweile eine Unmenge von wertvollen Informationen und Software-Tools. Nachfolgend findet sich eine kurz kommentierte Liste – ergänzend zu der im vorherigen Abschnitt aufgeführten Softwaretools zur Angriffssimulation.

  • ATT&CK-Webseite: Die ATT&CK-Website von MITRE ist sicherlich eine erste wichtige Anlaufstelle.
  • ATT&CK Blog: MITRE unterhält einen Blog über ATT&CK auf Medium.
  • ATT&CK Konferenz: Es gibt einen Sicherheitskongress, der sich mit ATT&CK beschäftigt.
  • ATT&CK-Navigator: Der ATT&CK-Navigator ist ein hervorragendes Werkzeug, um Bedrohungen vor und Maßnahmen gegen ATT&CK-Techniken darzustellen.
  • Malware Archeology MITRE ATT&CK Cheat Sheets: Das Team von Malware Archeology stellt zwei Auflistungen von relevanten Informationsquellen für viele ATT&CK-Techniken zur Verfügung. Obwohl das letzte Update von 09/2018 ist, lohnt sich dennoch ein Blick.
  • MITRE Cyber Analytics Repository (CAR): Während sich das ATT&CK Framework primär auf die Beschreibung von Bedrohungen und deren Tätigkeiten fokussiert, kümmert sich ein anderes MITRE-Projekt um die Erkennung von Bedrohungen: das Cyber Analytics Repository (CAR).

Inhalt
Dr. Ewan Fleischmann

Dr. Ewan Fleischmann

Gründer Redlings GmbH

Auch interessant

Card Image

Was ist Datensicherheit? Standards & Technologien

Datensicherheit ist ein wichtiges Thema für alle Unternehmen und Behörden. Erfahren Sie hier mehr über Bedrohungen, Maßnahmen und den rechtlichen...

Weiterlesen...
Card Image

Authentifizierung: Unterschiede zur Authentisierung und Autorisierung

Authentisierung, Authentifizierung und Autorisierung sind Begriffe, die in der IT-Security verwendet werden. Sie mögen ähnlich klingen, sind aber...

Weiterlesen...
Card Image

Angriffsvektor und Angriffsfläche

Ein Angriffsvektor ist eine Möglichkeit für Angreifer, in ein Netzwerk oder IT-System einzudringen. Zu den typischen Angriffsvektoren gehören ...,

Weiterlesen...
Card Image

Buffer-Overflow

Ein Buffer-Overflow ist ein Programmierfehler, die von Hackern ausgenutzt werden kann, um sich unbefugten Zugang zu IT-Systemen zu verschaffen. Er ist...

Weiterlesen...
Card Image

IT-Sicherheitskonzept in 8 Schritten

Unter einem IT-Sicherheitskonzept versteht man Richtlinien welche die IT-Sicherheit im Unternehmen gewährleisten sollen. Es geht darum, die...

Weiterlesen...
Card Image

Proxy Server

Ein Proxy-Server arbeitet als Vermittler zwischen zweit IT-Systemen. Proxyserver bieten je nach Anwendungsfall, Bedarf oder Unternehmensrichtlinien...

Weiterlesen...
Card Image

Endpoint Security

Ein Proxy-Server arbeitet als Vermittler zwischen zweit IT-Systemen. Proxyserver bieten je nach Anwendungsfall, Bedarf oder Unternehmensrichtlinien...

Weiterlesen...
Card Image

Need-to-Know-Prinzip

Das Need-to-know-Prinzip beschreibt ein Sicherheitsziel für vertrauliche Informationen. Der Zugriff sollte nur dann für einen Benutzer freigegeben...

Weiterlesen...
Card Image

Top 10 Vulnerability Scanner für 2024

Vulnerability Scanner sind automatisierte Tools, mit denen Unternehmen prüfen können, ob ihre Netzwerke, Systeme und Anwendungen Sicherheitslücken...

Weiterlesen...
Card Image

NTLM-Authentifizierung

In diesem Artikel erklären wir, was die NTLM-Authentifizierung ist, wie sie funktioniert und wie sie von Angreifern ausgenutzt werden kann.

Weiterlesen...
Card Image

Informations­sicherheits­managementsystem (ISMS)

Ein Information Security Management System (ISMS) definiert Methoden, um die Informationssicherheit in einer Organisation zu gewährleisten.

Weiterlesen...
Card Image

CVSS (Common Vulnerability Scoring System)

Der CVSS Score bietet eine numerische Darstellung (0,0 bis 10,0) des Schweregrads einer Sicherheitslücke in der IT. Wir erklären wie das Common...

Weiterlesen...
Card Image

Schutzziele der Informationssicherheit

Die Informationssicherheit soll die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen...

Weiterlesen...
Card Image

CIS Controls kurz erklärt

Die CIS Critical Security Controls (CIS Controls) sind eine priorisierte Liste von Schutzmaßnahmen um die häufigsten Cyberangriffe auf IT-Systeme...

Weiterlesen...
Card Image

Karriereguide Pentester

Wie wird man eigentlich Pentester? Was verdient ein Pentester? Haben Quereinsteiger auch eine Chance? Und was macht ein Penetration Tester so den...

Weiterlesen...
Card Image

Firewall-Grundlagen & Firewall-Architektur

Firewalls spielen eine entscheidende Rolle beim Schutz von Unternehmensnetzen. Malware, Cyberangriffe und Datenschutzverletzungen können mit dem...

Weiterlesen...

Wollen Sie testen, wie widerstandsfähig Ihre IT-Umgebung gegenüber modernen Techniken von Cyber-Angreifer ist?

Rufen Sie uns doch einfach an oder schreiben Sie uns eine Nachricht!

Erfolgreich! Wir haben Ihre Anfrage erhalten. Vielen Dank.
Fehler! Es ist ein Fehler beim Versenden aufgetreten. Bitte nutzen Sie eine andere Möglichkeit mit uns Kontakt aufzunehmen!

Wir verwenden Cookies, um die Benutzerfreundlichkeit zu verbessern und den Website-Verkehr zu analysieren. Lesen Sie, wie wir Cookies verwenden und wie Sie sie kontrollieren können, indem Sie hier klicken.

Einverstanden

Einstellungen zum Datenschutz

Wenn Sie eine Website besuchen, kann diese Informationen über Ihren Browser speichern oder abrufen, normalerweise in Form von Cookies. Da wir Ihr Recht auf Privatsphäre respektieren, können Sie wählen, die Datenerfassung von bestimmten Arten von Diensten nicht zuzulassen. Wenn Sie diese Dienste nicht zulassen, kann dies jedoch Ihr Erlebnis beeinträchtigen.

Privacy Policy

Sie haben unsere Regelungen zum Datenschtz gelesen und anerkannt.

NOTWENDIG
YouTube

Wir verwenden den Dienst YouTube, um das Streaming von Videoinhalten auf dieser Website zu ermöglichen.

Datenschutz