Startseite

Themen

Mitre Attack

MITRE ATT&CK Framework
Entdecken Sie die MITRE ATT&CK-Lösung von IBM Abonnieren Sie Updates zum Thema Sicherheit
Illustration einer Collage aus Piktogrammen einer Wolke, eines Fingerabdrucks und eines Mobiltelefons
Was ist das MITRE ATT&CK Framework?

Das MITRE ATT&CK Framework (MITRE ATT&CK) ist eine universell zugängliche, kontinuierlich aktualisierte Wissensbasis zur Modellierung, Erkennung, Verhinderung und Bekämpfung von Cybersicherheitsbedrohungen, die auf den bekannten Verhaltensweisen von Cyberkriminellen basiert.

Das ATT&CK in MITRE ATT&CK steht für Adversarial Tactics, Techniques & Common Knowledge (Taktiken, Techniken und allgemeines Wissen zu Angriffen).

MITRE ATT&CK katalogisiert die Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures; TTPs) von Cyberkriminellen in jeder Lebenszyklusphase eines Cyberangriffs – von der ersten Informationsbeschaffung und dem Planungsverhalten eines Angreifers bis hin zur endgültigen Ausführung des Angriffs. Die Informationen in MITRE ATT&CK können Sicherheitsteams dabei unterstützen:

  • Cyberangriffe genau zu simulieren, um Cyber-Abwehrmaßnahmen zu testen
     

  • Effektivere Sicherheitsrichtlinien, Sicherheitskontrollen und Notfallpläne zu erstellen
     

  • Sicherheitstechnologien auszuwählen und zu konfigurieren, um Cyberbedrohungen besser zu erkennen, zu verhindern und zu bekämpfen.

Darüber hinaus bietet die MITRE ATT&CK-Taxonomie der Taktiken, Techniken und Untertechniken von Angreifern (siehe unten) eine gemeinsame Sprache, mit der Sicherheitsspezialisten Informationen über Cyberbedrohungen austauschen und bei der Bedrohungsabwehr zusammenarbeiten können.

MITRE ATT&CK ist keine Software per se. Aber viele Sicherheitssoftwarelösungen für Unternehmen – wie User and Entity Behavior Analytics (UEBA), Extended Detection and Response (XDR), Security Orchestration, Automation and Response (SOAR) und Security Information and Event Management (SIEM) – können die Bedrohungsinformationen von MITRE ATT&CKs nutzen, um ihre Fähigkeiten zur Erkennung und Reaktion auf Bedrohungen zu aktualisieren und zu verbessern.

MITRE ATT&CK wurde von der MITRE Corporation, einer gemeinnützigen Organisation, entwickelt. Sie pflegt das Framework mit Beiträgen einer weltweiten Community von Cybersicherheitsexperten.

Besuchen Sie die Website von MITRE ATT&CK
Threat Management Workshop

Arbeiten Sie mit IBM Threat Management Beratern zusammen, um Ihr Bedrohungsmanagementprogramm zu modernisieren, Technologie- und Kompetenzlücken zu schließen und fundiertere, risikobasierte Entscheidungen zu treffen.

Ähnliche Inhalte Registrieren Sie sich für den Bericht über die Kosten einer Datenschutzverletzung
Die MITRE ATT&CK-Matrizen

MITRE ATT&CK organisiert die Taktiken, Techniken und Untertechniken von Angreifern in Matrizen. Jede Matrix enthält Taktiken und Techniken, die Angriffen auf bestimmte Domänen entsprechen:

Enterprise Matrix

Die Enterprise Matrix umfasst alle Techniken, die bei Angriffen auf die Unternehmensinfrastruktur zum Einsatz kommen. Diese Matrix enthält Untermatrizen für Windows-, MacOS- und Linux-Plattformen sowie für Netzwerkinfrastrukturen, Cloud-Plattformen und Container-Technologien. Sie enthält auch eine PRE-Matrix von Vorbereitungstechniken, die im Vorfeld eines Angriffs angewendet werden.

Mobile Matrix

Die Mobile Matrix umfasst Techniken, die bei direkten Angriffen auf mobile Geräte und bei netzwerkbasierten mobilen Angriffen verwendet werden, die keinen Zugriff auf ein mobiles Gerät erfordern. Diese Matrix enthält Untermatrizen für die mobilen iOS- und Android-Plattformen.

ICS Matrix

Die ICX Matrix umfasst Techniken, die bei Angriffen auf industrielle Steuersysteme verwendet werden – insbesondere auf Maschinen, Geräte, Sensoren und Netze, die zur Steuerung oder Automatisierung von Abläufen in Fabriken, Versorgungsunternehmen, Transportsystemen und anderen wichtigen Dienstleistern verwendet werden.

Die MITRE ATT&CK-Taktiken

Jede MITRE ATT&CK-Taktik hat ein bestimmtes schädliches Ziel – etwas, das der Angreifer zu einem bestimmten Zeitpunkt erreichen möchte. Für jede Phase eines Cyberangriffs gibt es bestimmte ATT&CK-Taktiken. Zu den von der Enterprise Matrix abgedeckten ATT&CK-Taktiken gehören beispielsweise:

  • Ausspähung: Sammeln von Informationen für die Planung eines Angriffs.
     

  • Ressourcenentwicklung: Schaffen von Ressourcen zur Unterstützung von Angriffsoperationen.
     

  • Erstzugriff: Eindringen in das Zielsystem oder -netzwerk.
     

  • Ausführung: Ausführen von Malware oder schädlichem Programmcode auf dem gefährdeten System.
     

  • Beharrlichkeit: Aufrechterhaltung des Zugriffs auf das kompromittierte System (im Falle eines Systemabschlusses oder einer Neukonfigurierung).
     

  • Rechteausweitung: Erlangung höherer Zugriffsrechte oder Berechtigungen (z. B. Wechsel von Benutzer- zu Administratorrechten).
     

  • Umgehung von Schutzmaßnahmen: Vermeiden, dass man erkannt wird, wenn man sich in einem System befindet.
     

  • Zugriff auf Anmeldeinformationen: Diebstahl von Benutzernamen, Kennwörtern und anderen Anmeldeinformationen.
     

  • Entdeckung: Auskundschaften der Zielumgebung, um herauszufinden, auf welche Ressourcen zugegriffen werden kann oder welche Ressourcen kontrolliert werden können, um einen geplanten Angriff zu unterstützen.
     

  • Lateralbewegung: Zugriff auf zusätzliche Ressourcen innerhalb des Systems.
     

  • Datenerfassung: Erfassung von Daten im Zusammenhang mit dem Angriffsziel (z. B. Daten, die im Rahmen eines Ransomware-Angriffs verschlüsselt oder übertragen werden sollen).
     

  • Command and Control: Aufbau einer verdeckten/unauffindbaren Kommunikation, die es dem Angreifer ermöglicht, das System zu kontrollieren.
     

  • Exfiltration: Diebstahl von Daten aus dem System.
     

  • Folgen des Angriffs: Unterbrechung, Beschädigung, Deaktivierung oder Zerstörung von Daten oder Geschäftsprozessen.

Auch hier variieren die Taktiken und Techniken von Matrix zu Matrix (und von Submatrix zu Submatrix). So enthält die Mobile Matrix beispielsweise keine Ausspähungs- und Ressourcenentwicklungs-Taktiken, dafür aber andere Taktiken (Auswirkungen auf das Netz und Auswirkungen auf die Remote-Services), die in der Enterprise Matrix nicht enthalten sind.

Die MITRE ATT&CK-Techniken

Die MITRE ATT&CK-Taktiken stellen dar, was Angreifer erreichen wollen. Die MITRE ATT&CK-Techniken stellen hingegen dar, wie sie es erreichen wollen. Drive-by-Downloads und Spear-Phishing sind beispielsweise Arten von Erstzugriffstechniken, und die Verwendung von dateiloser Speicherung ist ein Beispiel für eine Technik zur Umgehung von Schutzmaßnahmen.

Die Wissensbasis enthält die folgenden Informationen zu jeder Technik:

  • Eine Beschreibung und ein Überblick über die Technik.
     

  • Alle bekannten Untertechniken, die mit dieser Technik verbunden sind. Die Phishing-Untertechniken umfassen beispielsweise Spear-Phishing-Anhänge, Spear-Phishing-Links und Spear-Phishing via Service. Bis jetzt hat MITRE ATT&CK 196 verschiedene Techniken und 411 Untertechniken dokumentiert.
     

  • Beispiele für verwandte Verfahren. Dazu gehören die Art und Weise, wie Angreifergruppen die Technik einsetzen, oder die Arten von Schadsoftware, die zur Ausführung der Technik verwendet werden.
     

  • Abhilfemaßnahmen. Sicherheitsverfahren (z. B. Benutzerschulungen) oder -software (z. B Antivirensoftware, Intrusion-Prevention-Systeme), die die Technik blockieren oder abwenden können.
     

  • Erkennungsmethoden. In der Regel handelt es sich dabei um Protokolldaten oder Systemdatenquellen, die Sicherheitsteams oder Sicherheitssoftware überwachen können, um Beweise für den Einsatz der Technik zu finden.

Zusätzliche MITRE ATT&CK-Ressourcen

MITRE ATT&CK bietet noch mehrere andere Möglichkeiten, um die Wissensbasis einzusehen und damit zu arbeiten. Anstatt bestimmte Taktiken und Techniken anhand der Matrizen zu recherchieren, können Benutzer für ihre Recherche folgende Grundlagen verwenden:

  • Datenquellen – Ein Index aller Protokolldaten oder Systemdatenquellen und Datenkomponenten, die Sicherheitsteams oder Sicherheitssoftware überwachen können, um Beweise für versuchte Angriffstechniken zu finden.
     

  • Abhilfemaßnahmen – Ein Index aller Abhilfemaßnahmen, auf die in der Wissensbasis verwiesen wird. Benutzer können einen Drilldown durchführen, um zu erfahren, auf welche Techniken eine bestimmte Maßnahme abzielt.
     

  • Gruppen – Ein Index der Angreifergruppen und der von ihnen verwendeten Angriffstaktiken und -techniken. Bis jetzt hat MITRE ATT&CK 138 Gruppen dokumentiert.
     

  • Software – Ein Index der Schadsoftware oder der schädlichen Dienste (aktuell sind es 740), die Angreifer zur Ausführung bestimmter Techniken verwenden können.
     

  • Kampagnen – Im Wesentlichen eine Datenbank mit Cyberangriffs- oder Cyberspionagekampagnen, einschließlich Informationen über die Gruppen, die sie gestartet haben, sowie über die verwendeten Techniken und Software.

Der MITRE ATT&CK-Navigator

Der MITRE ATT&CK-Navigator ist ein Open-Source-Tool zum Suchen, Filtern, Annotieren und Darstellen von Daten aus der Wissensbasis. Sicherheitsteams können den MITRE ATT&CK-Navigator verwenden, um von bestimmten Angreifergruppen verwendete Taktiken und Techniken schnell zu erkennen und zu vergleichen, um Software zu identifizieren, die zur Ausführung einer bestimmten Technik verwendet wird, um Abhilfemaßnahmen für bestimmte Techniken zu finden und vieles mehr.

Der ATT&CK-Navigator kann Ergebnisse im JSON-, Excel- oder SVG-Format (für Präsentationen) exportieren. Sicherheitsteams können ihn online verwenden (gehostet auf GitHub) oder auf einen lokalen Computer herunterladen.

Anwendungsfälle für MITRE ATT&CK

MITRE ATT&CK unterstützt eine Reihe von Aktivitäten und Technologien, die Unternehmen zur Optimierung ihrer Sicherheitsabläufe und zur Verbesserung ihrer allgemeinen Sicherheitslage einsetzen.

Alert-Triage; Erkennung und Reaktion auf Bedrohungen. Die Informationen in MITRE ATT&CK sind äußerst wertvoll, um die Flut von sicherheitsrelevanten Alerts, die von Software und Geräten in einem typischen Unternehmensnetz erzeugt werden, durchzugehen und zu priorisieren. Tatsächlich können viele Sicherheitslösungen für Unternehmen – einschließlich SIEM (Security Information and Event Management), UEBA (User and Entity Behavior Analytics), EDR (Endpoint Detection and Response) und XDR (Extended Detection and Response) – Informationen von MITRE ATT&CK aufnehmen und zur Triage von Alerts, zur Anreicherung von Informationen über Cyberbedrohungen aus anderen Quellen, zur Verwendung von Incident-Response-Playbooks oder zur Auslösung von automatisierten Reaktionen auf Sicherheitsbedrohungen verwenden.

Bedrohungsjagd. Eine Bedrohungsjagd ist eine proaktive Sicherheitsübung, bei der Sicherheitsanalysten ihr Netz nach Bedrohungen durchsuchen, die bestehende Cybersicherheitsmaßnahmen nicht erkannt haben. Das MITRE ATT&CK Framework zu den Taktiken, Techniken und Verfahren von Angreifern bieten Hunderte von Informationen über den Beginn oder die Durchführung von Bedrohungsjagden.

Red Teaming/Adversary Emulation. Sicherheitsteams können die Informationen in MITRE ATT&CK nutzen, um Cyberangriffe realistisch zu simulieren. Diese Simulationen können die Wirksamkeit vorhandener Sicherheitsrichtlinien, -praktiken und -lösungen testen und dabei helfen, Schwachstellen zu erkennen, die behoben werden müssen.

Analyse von Sicherheitslücken und Security Operations Center (SOC) Reifegradbewertungen. Bei der Sicherheitslückenanalyse werden die bestehenden Cybersicherheitspraktiken und -technologien eines Unternehmens mit dem aktuellen Industriestandard verglichen. Bei einer SOC-Reifebewertung wird der Reifegrad des Security Operations Center (SOC) eines Unternehmens bewertet, und zwar basierend darauf, wie gut es Cyberbedrohungen oder Cyberangriffe mit minimalen oder gar keinen manuellen Eingriffen konsequent abwehren oder entschärfen kann. In jedem Fall können MITRE ATT&CK-Daten Unternehmen dabei helfen, diese Bewertungen unter Verwendung der neuesten Daten zu den Taktiken, Techniken und Abwehrmaßnahmen im Zusammenhang mit Cyberbedrohungen durchzuführen.

MITRE ATT&CK versus Cyber Kill Chain

Wie MITRE ATT&CK modelliert auch die Cyber Kill Chain von Lockheed Martin Cyberangriffe als eine Reihe von Angriffstaktiken. Manche der Taktiken haben sogar die gleichen Namen. Doch hier enden die Gemeinsamkeiten auch schon.

Die Cyber Kill Chain ist eher ein deskriptives Framework und keine Wissensbasis. Sie ist deutlich weniger umfangreich als MITRE ATT&CK. Die Cyber Kill Chain umfasst nur sieben (7) Taktiken: Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control, Actions on Objectives. Im Vergleich dazu umfasst MITRE ATT&CK 18 Taktiken (einschließlich mobiler und reiner ICS-Taktiken). Sie bietet keine eigenständigen Modelle für Angriffe auf Mobil- oder ICS-Plattformen. Der Umfang der Cyber Kill Chain reicht nicht an die detaillierten Informationen zu den Taktiken, Techniken und Verfahren in MITRE ATT&CK heran.

Ein weiterer wichtiger Unterschied: Die Cyber Kill Chain basiert auf der Annahme, dass jeder Cyberangriff die Taktiken nacheinander ausführen muss, um erfolgreich zu sein, und dass die Blockierung einer der Taktiken die Cyber-Angriffskette „unterbricht“ und den Angreifer daran hindert, sein Endziel zu erreichen. MITRE ATT&CK verfolgt diesen Ansatz nicht. Das Framework konzentriert sich darauf, Sicherheitsexperten dabei zu helfen, einzelne Angriffstaktiken und -techniken zu identifizieren und zu blockieren oder zu entschärfen, unabhängig davon, in welchem Kontext sie auftauchen.

Weiterführende Lösungen
IBM Security Services

IBM Security® arbeitet gemeinsam mit Ihnen am Schutz Ihres Unternehmens mit einem fortschrittlichen und integrierten Portfolio von Cybersicherheitslösungen und -services für Unternehmen inklusive integrierter KI. 

IBM Security erkunden
Angreifersimulationsservices von IBM X-Force Red

Simulieren Sie Angriffe, um die Risikoerkennung und die Reaktion auf Vorfälle zu testen, zu messen und zu verbessern.

Mehr über die adversären Simulationsservices von X-Force erfahren
IBM X-Force Threat Intelligence Services  

Nutzen Sie ein Team von erstklassigen Informationsanalysten, um zu verstehen, wie sich die Bedrohungslandschaft verändert und welche neuesten Techniken von den Akteuren eingesetzt werden.

Mehr zu den X-Force Threat Intelligence Services
Ressourcen Was ist ein Cyberangriff?

Cyberangriffe sind unerwünschte Versuche, Informationen durch unbefugten Zugriff auf Computersysteme zu stehlen, offenzulegen, zu ändern, zu inaktivieren oder zu löschen.

Was ist SIEM?

Das Sicherheitsinformations- und -ereignismanagement (SIEM) ermöglicht die Überwachung und Analyse von Ereignissen in Echtzeit sowie die Nachverfolgung und Protokollierung von Sicherheitsdaten zu Compliance- oder Protokollierungszwecken.

Worum geht es bei der Bedrohungsabwehr?

Die Bedrohungsjagd ist ein proaktiver Ansatz zur Identifizierung unbekannter oder laufender, nicht beseitigter Bedrohungen im Netz eines Unternehmens.

Machen Sie den nächsten Schritt

IBM Cybersecurity Services bieten Beratung, Integration und Managed Security Services sowie offensive und defensive Funktionen. Wir kombinieren ein globales Expertenteam mit eigenen und Partnertechnologien, um maßgeschneiderte Sicherheitsprogramme für das Risikomanagement mitzugestalten.

Mehr über Cybersicherheitsservices Think-Newsletter abonnieren