Perspektivwechsel mit System : Wie das Mitre ATT&CK Framework bei der Vorsorge und Abwehr von Angriffen helfen kann

Von Felix Blank, Hamburg

Beim Mitre Framework steht das Akronym „ATT&CK“ für Adversarial Tactics, Techniques & Common Knowledge – die Mitre Corporation entwickelt diese frei verfügbare Systematik nun bereits seit 2015 (https://attack.mitre.org). Das Kernziel des ATT&CK Frameworks ist eine konsistente Benennung verschiedener Angriffsarten und ihrer einzelnen Teile. So schafft es nicht nur ein Lexikon für Cyberattacken, sondern ermöglicht auch ein klares Verständnis für die aktuelle Bedrohungslandschaft. Dank dieser gemeinsamen Sprache können Security-Spezialisten auf der ganzen Welt untereinander klar kommunizieren und Angreifer analysieren.

Durch die vielen Einsatzmöglichkeiten dieses Frameworks wirkt es auf den ersten Blick vielleicht etwas einschüchternd. Zusammengefasst kann Mitre ATT&CK der Sicherheit, etwa bei der Arbeit im Security-Operations-Center (SOC), bei folgenden Punkten helfen:

• Es ist ein umfangreiches Lexikon der Cyberangriffe, hilft bei der Klassifizierung von Gefahren und zeigt, welche Bedrohungen es aktuell gibt.
• Es unterstützt bei der Planung von Sicherheitsstrategien – ein an Mitre ATT&CK ausgerichtetes Threat-Monitoring deckt Angriffe wirksam auf.
• Mit Mitre ATT&CK werden Sicherheitslücken in „Breach-and-Attack“-Simulationen schnell offensichtlich: Sollten Taktiken oder Techniken (s. u.) im SOC bisher noch nicht bedacht worden sein, zeigt sich dies direkt bei einem Assessment auf Basis des Frameworks.
• Das Framework steigert die Effizienz der Incident-Response-Teams, indem es einfachere Bedrohungsanalysen und eine leichtere Suche nach Eindämmungsmethoden ermöglicht.
• Die Analyse genutzter Security-Lösungen gestaltet sich mit Evaluierungen auf Basis des Frameworks ebenfalls einfacher, da Mitre die Reaktionen gängiger Lösungen auf ausgewählte Angriffstechniken prüft (https://attackevals.mitre.org – vgl. Abb. 1).

Taktiken und Techniken

Um den Hacker-Blickwinkel systematisch aufzuschlüsseln, klassifiziert Mitre ATT&CK zwölf verschiedene Taktiken, welche den Zielen der Angreifer entsprechen. Hierbei geht es beispielsweise um die Frage, ob ein Eindringling versucht, einen initialen Zugang zu einem Netzwerk zu erhalten, oder es sein Ziel ist, bestimmte Daten zu stehlen.

Oft bauen verschiedene Taktiken auch aufeinander auf: So ist es zum Beispiel denkbar, dass ein Hacker versucht, via Initial Access Zugang zum anvisierten Netzwerk zu erhalten. Sobald er das geschafft hat, nutzt er eventuell Privilege Escalation, um weitreichendere Berechtigungen zu erhalten und womöglich in einem letzten Schritt mit der Taktik Impact zu versuchen, Systeme und Daten zu manipulieren oder zu zerstören.

Mithilfe der Taktiken können Securityexperten also systematisch erfassen und benennen, was Angreifer erreichen wollen – im zweiten Schritt geht es darum, das „Wie“ zu analysieren.

Sogenannte Techniken definieren die zwölf Taktiken näher: Sie beschreiben verschiedene Möglichkeiten, mit denen Cyberangreifer diese Ziele erreichen können (vgl. Abb. 2). Aktuell gibt es insgesamt 266 Techniken und jeder Taktik sind davon bis zu 67 zugeordnet. Die Techniken charakterisieren detailliert das Vorgehen der Angreifer und helfen so, Attacken vollumfänglich zu beschreiben und zu verstehen. Zu den einzelnen Techniken liefert das Framework – je nach Verfügbarkeit – Beispiele typischer Vorgehensweisen (Procedure Examples), mögliche Abhilfen (Mitigations) und Hinweise zur Erkennung einer solchen Attacke (Detection).

Im Beispiel von oben könnte ein Angreifer etwa versuchen, sein Ziel Impact mithilfe der Technik T1486 Data Encrypted for Impact zu erreichen. Dazu würde er Daten, auf die er Zugriff erlangt hat, verschlüsseln, um die Verfügbarkeit von System- und Netzwerkressourcen zu unterbrechen – und auf diese Weise etwa Geld für den Decryption-Key erpressen zu können.

Matrizen

Die Zusammenfassung verschiedener Techniken unter den dazugehörigen Taktiken wird bei Mitre ATT&CK auch als Matrix bezeichnet. Aktuell gibt es drei verschiedene Matrizen:

• PRE-ATT&CK: beschreibt, wie Angreifer ihre Ziele identifizieren, Zielaufklärung betreiben und einen Angriff ausführen (umfasst 148 Techniken).
• Enterprise: Hier werden die einzelnen Taktiken und Techniken für den Angriff selbst beschrieben (insgesamt 156 Techniken mit 272 Sub-Techniken). In dieser Matrix findet man Informationen zu Windows, macOS, Linux, AWS, GCP, Azure, Azure AD, Office 365 und SaaS – für jede dieser Plattformen gibt es auch eine spezialisierte Submatrix, die das Threat-Assessment weiter vereinfacht.
• Mobile: In dieser Matrix finden sich Informationen zu Taktiken und Techniken der Hacker bei einem Angriff auf die mobilen Plattformen Android und iOS (85 Techniken).

Anwendung

Der Nutzen des Frameworks geht jedoch weit über die reine Beschreibung von Szenarien und konkreten Angriffen hinaus. Durch die Kenntnis der Ziele und Vorgehensweise hält quasi das Profiling Einzug in die Cybersecurity: Das Framework fasst Aktivitäten von Angreifern mit ähnlichem Vorgehen in sogenannten Gruppen zusammen, von denen derzeit 107 definiert sind – dies vereinfacht das Threat-Assessment noch weiter. Zusätzlich kann man mithilfe dieser Informationen Modelle bestimmter Angriffsmuster erstellen, mit denen sich die eigene Sicherheitsinfrastruktur realitätsnah testen lässt.

Fehlalarme

Das Mitre ATT&CK Framework ist als Basis für die Cybersecurity äußerst effizient. Aber natürlich gibt es auch hier Besonderheiten, die Anwendern im täglichen Gebrauch geläufig sein müssen, damit sie nicht zur Stolperfalle werden. Der wichtigste Punkt ist der „falsche Alarm“ – also die Warnung vor einem Angriff, obwohl es keinen gibt. Denn auch ein ganz normales Userverhalten kann, isoliert betrachtet, wie eine ATT&CK-Technik aussehen.

Eine „Exfiltration“ über ein USB-Gerät kann beispielsweise ein Indikator für Datendiebstahl sein – oder einfach nur ein unvorsichtiger Mitarbeiter. Und beim Löschen von Daten müssen Mitarbeiter noch nicht einmal Richtlinien verletzen, um eventuell als Angreifer identifiziert zu werden, die ihre Spuren verwischen möchten. Es ist daher wichtig, dass Securitymitarbeiter die große Menge an Warnmeldungen, die jeden Tag auftreten können, sinnvoll filtern.

Aber auch für die entgegengesetzte Problematik müssen Securityteams sensibel sein: Angriffe, die keinen Alarm auslösen. Ein Einbrecher, der sich mit einem Brecheisen an Haustüren zu schaffen macht, fällt schnell auf – ähnlich verhält es sich beispielsweise mit Brute-Force-Attacken, die vergleichsweise einfach zu erkennen sind. Exfiltriert ein Angreifer aber Daten über ein anderes Protokoll als das für den Command & Control-Channel typische, wird es schwer, ihm auf die Schliche zu kommen.

Beispielsweise wird das Domain-Name-System (DNS) als „First Line of Defense“ häufig noch unterschätzt und bietet so Angreifern häufig eine wenig überwachte Alternative – ungesichert ist es der ideale Angriffspunkt, um möglichst unbemerkt Schaden anzurichten. Denn ohne dedizierte DNS-Security sind auch ansonsten gut geschützte Systeme häufig blind für Angriffe aus dieser Richtung.

Ein kurzer Blick auf die Angreifergruppen des Frameworks genügt, um zu sehen, dass 26 von 107 Angreifergruppen DNS für ihre Command & Control-Kommunikation nutzen. All das wären Angreifer, die ohne das Wissen aus dem Framework und ohne Visibilität durch die richtigen Tools eine nicht handhabbare Bedrohung darstellen, weil beispielsweise einfache Next-Generation-Firewalls hier zur Abwehr nicht ausreichen. Mit einer guten Absicherung lassen sich hingegen viele Bedrohungen schon an der „DNS-Front“ erkennen und unschädlich machen.

Der richtige Rahmen fürs Framework

Hier wird sehr schnell klar, wie wichtig es ist, Mitarbeiter durch passende Technik zu unterstützen: Denn weder Daten aus einem Threat-Intelligence-Feed noch Know-how um das Mitre ATT&CK Framework allein sorgen für eine gute Cybersecurity. Erst im Zusammenspiel aller Teile werden Daten mithilfe von Kontext zu Informationen und schaffen so die Basis für umfängliche Sicherheit!

Noch effizienter wird der Umgang mit den Bedrohungsinformationen, wenn man auf das Framework abgestimmte Threat-Intelligence nutzt. Hierbei können beispielweise Security-Orchestration/Automation-andResponse-Systeme (SOAR) diese Bedrohung über ein Application-Programming-Interface (API) automatisch mit dem Framework abgleichen und so weitere Einblicke erlangen, welche Techniken und Taktiken für einen Angriff genutzt werden. Zusätzlich geben Risk- und Threat-Score Aufschluss über die Kritikalität der jeweiligen Bedrohung. Mit solchen Informationen kann ein Mitarbeiter dann schnell einschätzen, wie wahrscheinlich eine Meldung tatsächlich eine Bedrohung darstellt – ein falscher Alarm ist damit schnell als solcher erkennbar.

Mitre ATT&CK und die Cyber Kill Chain

Mitre ATT&CK ist natürlich nicht das einzige Framework für Cybersicherheit, sticht aber durch einige Besonderheiten heraus:

• Das Framework lässt sich sehr gut und einfach live testen.
• Es bietet Daten und tiefe Einblicke in den Ablauf eines Angriffs aus Sicht des Angreifers.
• Mitre ATT&CK beendet die Analyse nicht mit dem erfolgreichen Angriff, sondern betrachtet auch das Verhalten der Angreifer nach einer erfolgreichen Kompromittierung.

Daneben ist die Cyber Kill Chain von Lockheed Martin ein ebenfalls weit verbreitetes Security-Framework. Generell folgen beide Systeme einem ähnlichen Muster in der Beschreibung von Cyberangriffen: Angreifer müssen die IT einer Organisation kompromittieren, ihre Spuren verwischen oder sich auf andere Weise nicht erwischen lassen und sie wollen Schaden anrichten.

Der größte Unterschied der beiden Frameworks liegt im Umgang mit der Angriffsabfolge: Während Mitre ATT&CK den Fokus auf die verschiedensten Ziele der Angreifer legt und erklärt, wie sie diese erreichen, definiert die Cyber Kill Chain den Ablauf eines Angriffs und beschreibt vor allem sehr exakt, wie ein Angreifer immer weiter in das System eindringt. Dadurch wird zwar der Rahmen eines Angriffs sehr genau dargestellt, aber der Inhalt nicht detailliert wiedergegeben.

Hier spielt das Mitre ATT&CK Framework seine Vorteile aus: Security-Teams werden mit dem nötigen Know-how ausgestattet, um auch alternative Angriffsvektoren zu berücksichtigen. Es ist also egal, ob und warum ein Angreifer eventuell vom typischen Weg abweicht – sei es, weil er seine Ziele ändern musste, um Verwirrung zu stiften, oder einfach, weil er kein guter Hacker ist. Mit einem umfangreichen Verständnis können Security-Teams schnell und souverän auf Änderungen im Angriff reagieren.

Letztlich stehen sich die beiden wichtigen Frameworks aber nicht entgegen – richtig angewendet ergänzen sich Mitre ATT&CK und die Cyber Kill Chain sogar.

Fazit

Um das Framework gewinnbringend zu implementieren, reicht Know-how bei den Spezialisten im SOC nicht aus. Neben dem Wissen ist und bleibt die richtige Technik der zweite große Erfolgsfaktor, wenn es darum geht, die Unternehmens-IT zu schützen. Hierbei ist Sichtbarkeit von Bedrohungen der Garant für Erfolg oder Misserfolg der SOCs – Unternehmen können sich nur vor Gefahren schützen, die sie auch sehen. Daher ist das wichtigste Werkzeug bei der technischen Umsetzung von Mitre ATT&CK eine Security-Lösung, die eine möglichst hohe Visibilität im Kontext des Frameworks liefert.

Insgesamt bringt das Mitre ATT&CK Framework die Fähigkeiten von Security-Operations-Centers (SOCs) auf ein neues Level. Denn Security-Teams werten täglich eine enorme Menge an Daten aus, das Framework liefert den zugehörigen Kontext – und so werden aus bloßen Daten verwertbare Informationen. Diese können die Security-Teams dann dazu nutzen, das Beste aus ihren Security-Anwendungen herauszuholen.

Mitre ATT&CK ist ein äußerst leistungsfähiges Open-Source-Tool zum Verständnis und zur Klassifizierung von Cyberangriffen. Gemeinsam mit aktueller und passender Security-Technologie bildet es die ideale Basis für eine moderne Cybersecurity.

Felix Blank ist Senior Manager Pre-Sales Systems Engineer bei Infoblox.