MITRE ATT&CK-Zuordnung und -Darstellung
Das MITRE ATT&CK-Framework stellt Angreifertaktiken dar, die bei einer Sicherheitsattacke verwendet werden. Dabei werden allgemeine Taktiken, Techniken und Verfahren dokumentiert, die in erweiterten und persistenten Bedrohungen im Unternehmensnetz angewendet werden können.
Die folgenden Phasen einer Attacke werden im MITRE ATT&CK-Framework dargestellt:
| MITRE ATT&CK-Taktik | Beschreibung |
|---|---|
| Sammlung | Daten sammeln. |
| Befehl und Steuerung | Kontrollierte Systeme kontaktieren. |
| Zugriff mit Berechtigungsnachweis | Anmelde- und Kennwortinformationen stehlen |
| Abwehr ausweichen | Erkennung vermeiden. |
| erkennung | Ihre Umgebung erkunden. |
| Durchführung | Schädlichen Programmcode ausführen. |
| Daten-Exfiltration | Daten stehlen. |
| Auswirkungen | Versucht, Systeme und Daten zu manipulieren, zu unterbrechen oder zu zerstören. |
| Erstzugriff | Zugang zu Ihrer Umgebung erlangen |
| Lateralausbreitung | Innerhalb der Umgebung bewegen. |
| Datenbankzugriff | Erreichte Position halten. |
| Berechtigungseskalation | Berechtigungen auf höherer Ebene erlangen |
| Ausspähung | Informationen zur Verwendung bei zukünftigen schädlichen Operationen sammeln Diese Taktik wird nur dann in den MITRE-Berichten angezeigt, wenn die PRE-Plattform in Ihren Benutzereinstellungen ausgewählt ist. |
| Ressourcenentwicklung | Ressourcen zur Unterstützung schädlicher Operationen erstellen Diese Taktik wird nur dann in den MITRE-Berichten angezeigt, wenn die PRE-Plattform in Ihren Benutzereinstellungen ausgewählt ist. |
Taktiken, Techniken und Untertechniken
Taktiken repräsentieren das Ziel einer ATT&CK-Technik oder Untertechnik. Ein Angreifer möchte beispielsweise Zugriff auf Berechtigungsnachweise für Ihr Netz erhalten.
Techniken stellen dar, wie ein Angreifer sein Ziel erreicht. Beispielsweise kann ein Angreifer einen Speicherauszug der Berechtigungsnachweise erstellen, um Zugriff auf Berechtigungsnachweise für Ihr Netz zu erhalten.
Untertechniken geben eine genauere Beschreibung des Verhaltens, das ein Angreifer zur Erreichung des Ziels verwendet. Ein Angreifer kann beispielsweise einen Speicherauszug der Berechtigungsnachweise erstellen, indem er auf geheime LSA-Schlüssel (Local Security Authority) zugreift.