Ihr Leitfaden zum MITRE ATT&CK Framework

Cybersicherheit ist für die meisten Unternehmen zur Routine geworden. Cyberangriffe lösen nicht mehr so ​​viel Schock und Schrecken aus wie früher. Sie sind jetzt einfach selbstverständlich. Trotz dieser natürlichen Entwicklung nehmen Umfang und Schwere weiter zu, was den Bedarf an weiterem Cyber-Schutz mit sich bringt.

Aber Cyberangriffe richten sich nicht nur gegen Unternehmen. 60 % der amerikanischen Haushalte haben mindestens einen Cyberangriff erlebt. 75 % der Kleinunternehmen sind Opfer ruchloser Cyberkrimineller geworden. Im Jahr 2020 wurde der globale Cybersicherheitsmarkt auf 156,24 Milliarden US-Dollar geschätzt. Im Jahr 2021 wurde es mit bewertet 217,87 Milliarden US-Dollar. Unternehmensmanager sind zunehmend besorgt über damit verbundene Cyber-Schwachstellen die Tätigkeit ihrer Mitarbeiter.

Der folgende Artikel beschreibt die MITRE ATT&CK-Framework, das heute zu einer der erfolgreichsten Abwehrmaßnahmen gegen Cyberkriminalität geworden ist.

Was ist das MITRE ATT&CK-Framework?

Im Jahr 2015 startete die MITRE Corporation, eine von der US-Regierung finanzierte Forschungsorganisation mit Sitz in Bedford, MA, und McLean, VA, ein Rahmenwerk zur Verbesserung der Internet-Cybersicherheit. Das Unternehmen war ursprünglich 1958 vom Massachusetts Institute of Technology (MIT) gegründet. Das Unternehmen beteiligte sich an verschiedenen Geschäftsprojekten für mehrere Organisationen, darunter an der Entwicklung des Flugradarsystems AWACS. Allerdings ist MITRE eigentlich kein Akronym und hat nichts mit MIT zu tun. Der Name wurde von James McCormack, einem frühen Vorstandsmitglied der Organisation, erfunden, der der Meinung war, dass der Name eine gewisse Ernsthaftigkeit verlieh.

Das Framework erhielt den eingängigen Namen MITRE ATT&CK und sein Name setzt sich aus den Anfangsbuchstaben von zusammen Widersachlich Taktik, Techniken, Und Gemeinsam KWissen.Its objective was to identify, describe, and categorize the growing list of cyberattacks and enterprise network intrusions. es ist einCybersicherheits-Wissensbasis zu Cyberangriffstaktiken und -techniken, alles entnommen aus Veranstaltungen weltweit. Sein Zweck besteht darin, eine gemeinsame Cybersicherheitsterminologie zu etablieren und gleichzeitig die Abwehrkräfte gegen zukünftige Cyberangriffe zu stärken.

Das „CK“ in ATT&CK bedeutet Allgemeinwissen. Dasbezieht sich auf die aufgezeichnete Liste der von Cyberkriminellen eingesetzten Taktiken und Techniken. CK bezieht sich auf die Liste der vom Framework bereitgestellten Verfahren. Ein ähnlicher Begriff für Cybersicherheit ist „Taktiken, Techniken und Verfahren“ oder TTP. Aus offensichtlichen Gründen wurde jedoch die Verwendung von CK zur Vervollständigung des Akronyms gewählt.

Unternehmensleiter sind sich zunehmend der Notwendigkeit bewusst, ihre Mitarbeiter entsprechend zu schulen potenzielle Risiken von Cyberangriffen.

ATT&CK deckt eine Reihe von Computerplattformen und -technologien von Windows und macOS bis hin zu On-Premise- und Cloud-Netzwerken ab, die Infrastructure as a Service (IaaS) und Software as a Service (SaaS) umfassen. Das Framework enthält auch Verweise auf Office 365, Azure’s Active Directory, Google Workspace und mobile Geräte, die auf den Plattformen Android und iOS laufen.

MITRE ATT&CK-Techniken, Untertechniken und Verfahren

Das MITRE ATT&CK-Framework umfasst eine Reihe von Cyberangriffsmatrizen, darunter:

• Pre-ATT&CK-Matrix: Beinhaltet die Identifizierung der Aufklärungs- und Bewaffnungsphasen eines Cyberangriffs
• Unternehmensmatrix: Deckt den Lebensstil von Cyberangriffen über die Identifizierungsphase hinaus ab
• Handy, Mobiltelefon: Wie die Enterprise Matrix, jedoch für mobile Geräte
• ICS: Bezieht sich auf Methoden, die von verwendet werden Cyberkriminelle Versuch, auf Netzwerke zuzugreifen, die Mechanismen des Industrial Control System (ICS) enthalten

Über diese Anfangsphasen hinaus gliedert ATT&CK seine Analyse dann in folgende Abschnitte: Taktik, Techniken, Und Verfahren.

• Taktik: In dieser Phase skizziert ATT&CK die Ziele eines konkreten Cyberangriffs. Die Taktiken der Vorangriffsmatrix unterscheiden sich erheblich von den Enterprise-, Mobile- und ICS-Matrizen, da sie sich auf einen separaten Abschnitt des Cyberangriffslebenszyklus konzentrieren.
• Techniken, Untertechniken und Verfahren: Weitere Ebenen der Cyberangriffsanalyse:
• Techniken: Definieren Sie die Methode, mit der der Cyberkriminelle ein bestimmtes Ziel erreicht
• Untertechnik: Gelegentlich kann eine Technik in Unterelemente unterteilt werden
• Verfahren: Spezifische Tools, die bei einem Cyberangriff verwendet werden, einschließlich Malware und Bedrohungsakteuren.

Wie verwenden Sie die MITRE ATT&CK-Matrix?

Bei der MITRE ATT&CK-Matrix handelt es sich um eine Reihe von Verfahren, mit denen Cyberkriminelle auf Computernetzwerke von Unternehmen zugreifen und diese kompromittieren. Jedes Verfahren ist in der Matrix als spezifische „Taktik“ definiert.

Die Wege sind vom Punkt der Aufklärung über die Identifizierung bis zur endgültigen Exfiltration ausgerichtet. Ein Beispielabschnitt der Matrix sieht folgendermaßen aus:

Figur 2. MITRE ATT&CK Matrix – Abschnitt

Die MITRE ATT&CK Matrix ermöglicht es einem Unternehmen, seine Cybersicherheitsbemühungen auf verschiedene Weise zu stärken. Diese beinhalten:

• Rot/Blau-Teaming: Die Plattform ermöglicht es einem Unternehmen, Angriffe auf seine Cyber-Abwehr sowohl aus der Angriffs- (rot) als auch aus der Verteidigungsperspektive (blau) zu simulieren.
• Analytik: Von ATT&CK bereitgestellte Tools, die gesammelte und zusammengestellte Daten bereitstellen, die Cyber-Schwachstellen in der Abwehr eines Unternehmens darstellen.
• Lückenanalyse: Umfangreiche Analyse der Bereiche mit Defensivlücken im Sicherheitsschutz eines Unternehmens.
• Gegner-Emulation: Laden Sie Daten über Angreifer in die Plattform, um bestimmte Angriffe auf das Netzwerk eines Unternehmens zu emulieren.
• Verbesserung der Cyberbedrohungsabwehr:Ein Unternehmen kann eine Reihe von Techniken einsetzen, um seine Verteidigungslinien gegen Cyberangriffe durch Advanced Persistent Threats (ATPs) festzulegen.
• SOC-Bewertung: Beurteilung der Wirksamkeit eines Unternehmens Security Operations Center (SOC) bei der Bewältigung von Cybersicherheitsbedrohungen und -verstößen. Weitere Informationen zur Stärkung Ihrer SOC-Fähigkeiten finden Sie hier.

Die Enterprise ATT&CK-Matrix enthält derzeit 191 Techniken und 385 Untertechniken. Jede Technik ist mit einem 4-stelligen Code versehen – „T002“ bezieht sich beispielsweise auf „Benutzerkontensteuerung umgehen“.

Diese Techniken veranschaulichen, wie sich Cyberkriminelle verhalten, beispielsweise welche Daten sie angreifen und welche Hacking-Software sie verwenden. Das Framework identifiziert auch, welche Technologien Cyber-Eindringlinge einsetzen und welche Art von Aktivitäten sie regelmäßig durchführen.

Die MITRE ATT&CK-Matrix kann ebenfalls eingesetzt werden Cloud-Netzwerke in seinem ATT&CK für Cloud Matrix. Die Matrix umfasst Elemente der umfassenderen Unternehmensmatrix. Jede Matrix verwaltet ihre eigene Umgebung, da sich On-Premise-Netzwerke qualitativ von Netzwerken unterscheiden, die in der Cloud gehostet werden. Standardmäßige lokale Cyberangriffe greifen Software und Infrastruktur an, die auf dem Gelände der Zielorganisation betrieben werden. Cloud-Angriffe werden sich auf Server konzentrieren, die von Cloud-Dienstleistern wie Amazon gehostet werden AWS, AWGoogles Cloud und Microsofts Azure und Office 365. S

Figur 3. MITRE-Matrix für Cloud

Wie schneidet MITRE ATT&CK im Vergleich zur Cyber ​​Kill Chain von Lockheed Martin ab?

Lockheed Martins Cyber ​​Kill Chain ist ein Konkurrenzsystem zur MITRE ATT&CK-Plattform. Obwohl sie in ihrer Struktur ähnlich aussehen mögen, arbeitet Cyber ​​Kill Chain nach einem siebenstufigen Verfahren, das die folgenden Schritte umfasst:

• Aufklärung
• Bewaffnung
• Lieferung
• Ausbeutung
• Installation
• Steuerung und Kontrolle
• Maßnahmen zu Zielen

Während die Enterprise ATT&CK-Matrix die folgenden 14 Taktiken enthält:

• Reconnaissance
• Ressourcenentwicklung
• Erster Zugriff
• Ausführung
• Beharrlichkeit
• Privilegieneskalation
• Verteidigungsumgehung
• Zugang zu Anmeldeinformationen
• Entdeckung
• Seitliche Bewegung
• Befehl und Kontrolle
• Sammlung
• Exfiltration
• Auswirkungen

Während sich jedes System auf denselben Gesamtprozess konzentriert, gliedert das MITRE ATT&CK-Framework die identifizierten Taktiken detaillierter auf. ATT&CK spezifiziert auch die Techniken, die in jeder Taktik verwendet werden, während dies bei der Lockheed-Plattform nicht der Fall ist.

Steigern Sie das Bewusstsein für Cybersicherheitsbedrohungen und Angriffsvektoren mit einem effektiven Cyber-Sensibilisierungstraining

Mit jedem neuen Cyberangriff, der Schlagzeilen macht, scheint es, als hätten Cyberkriminelle die Oberhand. Neue Technologien stellen sie einfach vor Herausforderungen, die sie zwangsläufig umgehen werden.

Das eigentliche Bild ist jedoch, dass ein Wandel im Gange ist. Sogar Heimcomputernutzer sind sich mittlerweile der Risiken bewusst, die das Klicken auf ungewöhnliche Links oder das Antworten auf seltsame E-Mails mit sich bringt. Mit der dramatischen Zunahme der Cyberkriminalität ist auch das Bewusstsein für Privatpersonen und Unternehmen gestiegen. Der Kampf gegen Cyberkriminalität ist im Gange und Kriminelle können besiegt werden.

Das MITRE ATT&CK-Framework bietet eine robuste Verteidigung gegen zukünftige Cyberkriminalität. Da die Schulungen der Mitarbeiter zur Bekämpfung von Cyberkriminalität rasant voranschreiten, geraten die Kriminellen in Angst und Schrecken. Traditionelle Wege, die sie in der Vergangenheit genutzt haben, bieten nicht mehr die gleichen Vorteile wie früher.

CybeReady widmet sich der Verbesserung des Wissens der Mitarbeiter von Unternehmen über Cyberkriminalität.. Unsere Mission ist es Machen Sie das Bewusstsein für Cybersicherheit für Ihr Unternehmen einfach, zugänglich und effektiv. Durch den Einsatz moderner Lehrmethoden in Kombination mit Datenwissenschaft und Automatisierung können wir Ihr Unternehmen dazu befähigenBleiben Sie sicher und freuen Sie sich über den Erfolg.