In diesem Artikel erläutern wir Ihnen, wie Ihr Verteidigungsteam das ATT&CK-Framework von MITRE optimal nutzen kann. Dazu lassen wir Sie hinter die Kulissen blicken und geben Ihnen einige Einblicke in die interne Verwendung von MITRE bei unseren Kollegen von Countercept.
Diese Antworten stecken für Sie im Artikel
- Was MITRE ist und warum es für die Cybersicherheit wichtig ist
- Wie MITRE Sie dabei unterstützt Ihr Unternehmen gegen häufig verwendete Angriffs-Techniken zu verteidigen
Was ist MITRE?
MITRE ist ein in den USA ansässiges, gemeinnütziges Unternehmen, das seit über sechzig Jahren technische Beratung anbietet. Ursprünglich war MITRE nur für die US-Regierung tätig, da das Netzwerk mit Bundesmitteln finanziert wird. Jetzt bietet MITRE öffentlich “innovative Lösungen für die dringendsten Probleme der Welt” an. Dazu gehört auch die Cybersicherheit.
Das MITRE ATT&CK Framework
MITRE ATT&CK ist eine weltweit verfügbare, ständig aktualisierte Wissensdatenbank bekannter staatlich geförderter und krimineller Gruppen, sowie der von ihnen angewandten Taktiken, Techniken und Verfahren beim Angriff. Das Netzwerk ermöglicht Organisationen – egal ob öffentlich oder privat – den Abruf von Informationen zur Erkennung der beständigsten Bedrohungen und Bedrohungsgruppen. Das Team von F-Secure Countercept verwendet diese Informationen bei der Jagd auf Cyberkriminelle und deren Angriffsnetzwerke.
So können Verteidigungsteams das MITRE ATT&CK Framework verwenden
Verteidigungsteam – egal, ob taktisch, strategisch oder operativ – können die MITRE-Informationen in praktischen Ansätzen nutzen, z. B. um Präventions- und Erkennungsregeln zu erstellen oder um Sicherheitsarchitektur- und Richtlinienentscheidungen zum Schutz Ihres Unternehmens zu treffen.
Eine der größten Herausforderungen beim MITRE ATT&CK Framework ist die dort aufgeführte Vielzahl der verschiedenen Techniken der Angreifer. Diese Fülle an Informationen kann es Verteidigungsteams schwer machen, auf welche Techniken sie sich zuerst konzentrieren sollten. Die folgende Tabelle ist nur eine Momentaufnahme der vielen hundert aufgeführten Techniken im Framework:
Abbildung 1 -Bei so vielen Angriffstechniken kann es schwierig sein zu wissen, wo man anfangen soll.
Um den größtmöglichen Nutzen aus MITRE ATT&CK zu ziehen, ist es wichtig, sich auf die Elemente zu konzentrieren, mit denen Ihr Team die bestmöglichen Chancen hat reale Angriffe zu erkennen. Das Countercept-Team von F-Secure geht dieses Problem an, indem es jede Technik auf verschiedene Arten analysiert. Hier die wichtigsten Schritte:
Was bei realen Angriffen Anwendung findet
Bei den meisten realen Angriffen verwenden Angreifer wiederholt nur eine Teilmenge der bei MITRE gelisteten Techniken. Zum Beispiel enthält die Datenbank des Netzwerks 59 verschiedene Persistenz-Techniken – die meisten durch F-Secure Countercept analysierten Angriffe nutzten jedoch nur 7 davon. Im Idealfall würden Sicherheitsteams alle Techniken abdecken. Bei begrenzten Ressourcen ist das natürlich nicht möglich. Daher ist es wichtig, die am häufigsten verwendeten Techniken zu priorisieren, um die Erkennungsrate und die Gesamteffektivität zu erhöhen. Die Analyse von öffentlichen Berichten über Sicherheitsverletzungen kann eine sehr gute Möglichkeit sein, um mehr darüber zu erfahren, welche Techniken die Angreifer häufig verwenden.
Falsche Signale vermeiden
Viele der aufgezeichneten MITRE-Techniken stimmen in der Praxis oft zu großen Teilen mit legitimen Aktivitäten überein. Eine alarmbasierte Überwachung kann daher immer wieder zu Fehlalarmen führen. So ist beispielsweise die Verwendung von Rundll32.exe in vielen Organisationen üblich, was den Prozess zu einem Indikator mit geringer Zuverlässigkeit macht. Der Mshta-Prozess hingegen wird viel weniger verwendet, wodurch er zu einem wesentlich zuverlässigeren Indikator wird. Die Konzentration auf Prozesse mit niedrigen Fehlalarm-Ereignissen (false positive) kann die Effizienz Ihres Teams verbessern.
Einfache Sammlung und Analyse
Jede Technik basiert auf der Erfassung und Analyse verschiedener Datensätze. Bei einigen Techniken ist es nicht möglich Daten zu erfassen, entweder aus technischen Gründen oder wegen Leistungseinschränkungen. Die Auswertung der Telemetrie kann eine schnelle Möglichkeit sein, MITRE-Techniken ein- oder auszuschließen. Vergessen Sie aber nicht die mit jedem Telemetriesatz verbundenen Speicher- und Analysekosten, da dies schnell sehr kostspielig werden kann. Um ein Beispiel zu nennen: Prozessdaten sind sehr nützliche Datensätze, da sie Ihnen zeigen können, was ein Angreifer auf einem System ausgeführt hat. Firewall-Protokolle hingegen können zwar nützlich sein, haben aber deutlich mehr Umfang und können oft nur einen marginalen Wert liefern.
Qualität statt Quantität
Mit Hilfe von MITRE ATT&CK und dem Testen von MITRE-Techniken konzentrieren sich Teams häufig darauf, ob sie einzelne Taktiken, Techniken und Verfahren (TTPs) bestehen oder nicht. Dabei vergessen sie oft, dass Angriffsszenarien mehrere Phasen und Aktivitäten umfassen. Für effektive Verteidigungsteams ist es meist nur erforderlich, einen Teil einer mehrstufigen Angriffskette (kill chain) zu erkennen, um dann eine Untersuchung einzuleiten und alle damit zusammenhängenden Aktivitäten aufzudecken. Zum Beispiel könnten Sie einen Angreifer mit einem brandneuen Browser-Exploit übersehen. Aber danach den Dienst, den der Angreifer abbricht, als persistente Attacke erkennen. Damit warnen Sie Ihr Team und lösen weitere Ermittlungen aus. Die Erkennung wird daher effektiver, wenn Sie die am häufigsten verwendeten, hochpräzisen Angreiferaktivitäten in der gesamten Angriffskette (kill chain) auswählen. Stellen Sie auch sicher, dass Ihr Team beim Auftreten solcher Aktivitäten in der Lage ist zu ermitteln und zu reagieren.
Anwendungsfälle, auf die Sie sich konzentrieren sollten
Auf der Grundlage der oben genannten Ausführungen, empfehlen wir Ihnen, sich auf die folgenden Anwendungsfälle zu konzentrieren:
- Überprüfen Sie die Benutzeranmeldungsaktivitäten, insbesondere die Administrator-Aktivitäten
- Suchen Sie nach verdächtigen Prozessen (etwa Rundll32, Powershell, Mshta, Regsvr32)
- Fassen Sie Persistenz-Daten zusammen (Dienste, Registrierung, geplante Aufgaben), um Anomalien zu finden
- Achten Sie auf Speicheranomalien, wie z. B. Prozessinjektion
- Halten Sie bekannte fehlerhafte Software immer im Fokus, die bereits durch Antivirus- oder Machine-Learning-Empfehlungen identifiziert ist
Die nächste logische Frage: Mit welchen Werkzeugen kann mein Team nach diesen MITRE ATT&CK-Techniken suchen? Wir werden dies in unserem nächsten Beitrag behandeln, in dem wir die MITRE ATT&CK-Evaluierung besprechen.
Verweise
https://attack.mitre.org/
Kategorien