What is MITRE ATT&CK Framework?

Das MITRE ATT&CK Framework

Das MITRE ATT&CK-Framework soll das Bewusstsein und Verständnis für die Funktionsweise von Cyberangriffen stärken. Um dies zu erreichen, organisiert es Informationen in einer Hierarchie, einschließlich:

• Taktiken: MITRE ATT&CK-Taktiken sind hochrangige Ziele, die ein Angreifer während eines Cyberangriffs erreichen möchte. Dazu gehören Phasen eines Angriffs wie der erste Zugriff auf ein System, die Kompromittierung von Benutzerkonten und die seitliche Bewegung durch das Netzwerk.
• Techniken: Für jede der High-Level-Taktiken definiert MITRE ATT&CK mehrere Techniken zum Erreichen des Ziels. Beispielsweise kann ein Angreifer über einen Brute-Force-Angriff, den Diebstahl aus dem Betriebssystem und andere Methoden Zugriff auf Benutzeranmeldeinformationen erhalten.
• Untertechniken: Einige MITRE ATT&CK-Techniken können auf verschiedene andere Arten erreicht werden (sogenannte Untertechniken). Ein Brute-Force-Angriff auf Passwörter könnte beispielsweise durch das Knacken von Passwort-Hashes, Credential Stuffing oder auf andere Weise erfolgen.

Die Taktiken, Techniken und Untertechniken von MITRE ATT&CK gehen detailliert auf eine bestimmte Art und Weise ein, wie ein Angreifer ein Ziel erreichen kann. Für jede dieser Techniken enthält MITRE ATT&CK eine Beschreibung des Angriffs sowie Folgendes:

• Prozeduren: Prozeduren beschreiben spezifische Beispiele für die Verwendung einer Technik. Dazu gehören Malware, Hacking-Tools und Bedrohungsakteure, von denen bekannt ist, dass sie diese bestimmte Technik verwenden.
• Erkennung: Für eine bestimmte Technik empfiehlt MITRE ATT&CK Methoden zur Erkennung der Technik. Dieser Abschnitt ist für die Gestaltung von Cybersicherheitsmaßnahmen von unschätzbarem Wert, da er die Arten von Informationen beschreibt, die gesammelt werden müssen, um einen bestimmten Angriff zu erkennen.
• Schadensbegrenzung: Im Abschnitt Schadensbegrenzung werden Schritte beschrieben, die eine Organisation ergreifen kann, um die Auswirkungen einer bestimmten Technik zu verhindern oder zu verringern. Beispielsweise ist der Einsatz der Mehrstufigen Authentifizierung (MFA) eine gängige Abhilfemaßnahme für Techniken, die den Zugriff auf Benutzerkonten ermöglichen sollen.

Nutzung von MITRE ATT&CK für die Cyber-Abwehr

Das MITRE ATT&CK-Framework ist als Werkzeug konzipiert und nicht nur als Informationsspeicher. SOC-Teams ( Security Operation Center ) können die MITRE ATT&CK-Matrix auf verschiedene Arten operationalisieren, darunter:

• Schutzmaßnahmen entwerfen: Das MITRE ATT&Ck-Framework beschreibt Methoden zur Erkennung und Abwehr verschiedener Cyberangriffstechniken. Diese Informationen können verwendet werden, um sicherzustellen, dass ein Unternehmen über die richtigen Abwehrmaßnahmen verfügt und die Informationen sammelt, die zur Erkennung einer bestimmten Bedrohung erforderlich sind. Bedrohungsinformationen können verwendet werden, um die Techniken zu priorisieren, auf die sich ein Unternehmen konzentriert.
• Vorfallerkennung: Das MITRE ATT&CK-Framework beschreibt die Möglichkeiten, wie eine bestimmte Bedrohung erkannt werden kann. Diese Informationen sollten verwendet werden, um Erkennungsregeln in einer SIEM-Lösung (Security Information and Event Management), einer Firewall der nächsten Generation (NGFW) und anderen Sicherheitslösungen zu entwickeln.
• Untersuchung von Vorfällen: Das MITRE ATT&CK-Framework beschreibt, wie ein bestimmter Angriff funktioniert und welche Malware bestimmte Techniken verwendet. Diese Informationen sind für die Untersuchung von Vorfällen von unschätzbarem Wert, da sie es einem Ermittler ermöglichen, die verwendete MITRE ATT&CK-Technik zu identifizieren und die vom Framework bereitgestellten zusätzlichen Daten zu nutzen.
• Infektionsbeseitigung: Das MITRE ATT&CK-Framework beschreibt, wie eine bestimmte Technik ausgeführt wird und welche Fähigkeiten verschiedene Malware-Beispiele und Bedrohungsakteure bieten. Dies kann bei Abhilfemaßnahmen hilfreich sein, da es die Maßnahmen beschreibt, die ein Angreifer durchgeführt hat und die rückgängig gemacht werden müssen, um die Infektion zu entfernen.
• Berichterstellung: Durch die Standardisierung der Terminologie vereinfacht das MITRE ATT&CK-Framework die Berichterstellung. Tools und Analysten können Berichte erstellen, die auf bestimmte Techniken im Framework verweisen, was bei Bedarf zusätzliche Details und Abhilfemaßnahmen bietet.
• Bedrohungssuche: Die in MITRE ATT&CK bereitgestellten Beschreibungen und Erkennungsinformationen können für die Bedrohungssuche von unschätzbarem Wert sein. Durch die Durchführung einer MITRE ATT&CK-Bewertung und das Durcharbeiten aller im Framework beschriebenen Techniken können Bedrohungsjäger feststellen, ob sie von Angreifern angegriffen wurden, die eine bestimmte Technik verwenden, und ob vorhandene Sicherheitslösungen in der Lage sind, diese Angriffe zu erkennen und zu verhindern.

Check Point und MITRE ATT&CK

The MITRE ATT&CK framework is a valuable tool for improving communication and understanding of cyberattacks. CheckPoint has integrated MITRE ATT&CK’s taxonomy into its entire solution portfolio, including Infinity SOC and Infinity XDR. Mappings to MITRE ATT&CK techniques are included in forensic reports, malware capability descriptions, and more.

Dies bietet einem SOC-Analysten eine Reihe von Vorteilen. Bei der Analyse eines bestimmten Angriffs erleichtert der Einsatz von MITRE ATT&CK das Verständnis der Grundursachen, des Angriffsablaufs und der Absichten des Angreifers in jeder Phase. Wenn ein SOC-Team versteht, was der Angreifer erreichen will und wie, kann es den Umfang eines Angriffs, etwaige erforderliche Abhilfemaßnahmen und die Verbesserung der Abwehrmaßnahmen für die Zukunft leicht verstehen.

By integrating MITRE ATT&CK, Check Point Infinity SOC makes cyberattacks more transparent and comprehensible. To see for yourself, check out this demo video. You’re also welcome to sign up for a free trial to see how Check Point and MITRE ATT&CK can simplify and optimize incident detection and response.