Eine stetige Weiterentwicklung des MITRE Att&ck Frameworks
Cyberkriminelle gehen je nach Angriffsziel unterschiedlich vor. So verwenden sie beispielsweise andere Taktiken, Techniken und Verfahren (TTPs), um Unternehmenssysteme zu kompromittieren, als wenn sie industrielle Steuerungssysteme oder mobile Geräte angreifen. MITRE bietet verschiedene Matrizen an, um den unterschiedlichen Umgebungen gerecht zu werden. MITRE initiierte 2013 die Entwicklung des ATT&CK-Frameworks, um Technikteams durch die Untersuchung von Angriffsmethoden bei der Implementierung einer robusten Cybersicherheit zu unterstützen. Das MITRE ATT&CK-Framework ermöglicht den Austausch von Angriffsverhalten über alle Angriffslebenszyklen hinweg und bietet eine gemeinsame Taxonomie für die Analyse und Erforschung von Cyberbedrohungen.
In diesem Artikel werden wir MITRE ATT&CK im Detail kennenlernen und MITRE-Angriffsvektoren, die Cyber-Kill-Chain und die Rolle des Privileged Access Management besprechen.
Was ist das MITRE ATT&CK Framework?
Das MITRE ATT&CK-Framework ist ein sich ständig weiterentwickelnder Knotenpunkt, eine kuratierte Wissensbasis und ein Modell für das Verhalten von Angreifern, die verschiedene Phasen des Lebenszyklus eines Cyber-Angriffs auf Zielplattformen widerspiegeln. ATT&CK steht für Adversarial Tactics, Techniques, and Common Knowledge. Die Taktik- und Technikabstraktion im Rahmenwerk bietet eine gemeinsame Taxonomie der gegnerischen Aktionen, die von der jeweils offensiven, angreifenden und defensiven, angegriffenen Seite der Cybersicherheit verstanden werden. Darüber hinaus bietet das Framework eine geeignete Kategorisierungsebene für Cyber-Angriffe und bestimmte Möglichkeiten zu deren Abwehr.
Das MITRE ATT&CK-Framework ist eine anerkannte Autorität für das Verständnis der Taktiken, Verhaltensweisen und Techniken, die Angreifer gegen Unternehmen einsetzen. Das Framework ist ein Standardverfahren zur Dokumentation gängiger bösartiger Cyber-Angriffe, eingesetzter Techniken und Verfahren, unterfüttert mit Erfahrungen aus der Praxis. Die Informationen über einen Cyber-Angriff können von Incident Response Teams und IT-Abteilungen verwendet werden, um proaktiv oder nach einem erfolgten Cyber-Angriff, Bereiche zu priorisieren, die zuerst angegangen werden müssen, und um Lücken in den Sicherheitsprozessen, Kontrollen und Tools aufzudecken.
Das MITRE-Framework kann als Grundlage für die Erkennung von Schwachstellen und den Aufbau von Schutzmaßnahmen gegen bestimmte Bedrohungen durch Cyberkriminelle verwendet werden.
- Tactics
Die Taktik eines Angreifers ist ein bestimmtes technisches Ziel, das ein Krimineller zu erreichen beabsichtigt, z. B. ein defensives Eindringen, eine seitliche Bewegung oder eine Exfiltration von Daten. Das MITRE ATT&CK-Framework besteht aus 11 Taktiken, die das Verhalten von Angreifern beschreiben. Bei ATT&CK wird die Bedeutung der Sicherheitsabdeckung für jede Taktik gleich gewichtet.
- Techniques
Zu jeder Taktik gehört eine Vielzahl von Techniken. Dabei handelt es sich im Grunde um die Art und Weise, wie ein Krimineller ein Ziel erreicht, und um die Maßnahmen, die er für die Infiltration ergreift. Jede Technik besteht aus einer Beschreibung der Methode, der genutzten Plattformen und der Systeme, auf die sie sich bezieht, der gegnerischen Gruppen, die sie anwenden, und der Möglichkeiten, die Aktivität zu mitigieren.
- Procedure
Die Verfahren des MITRE-Frameworks sind bestimmte Schritte, die ein Angreifer unternimmt, um eine Technik auszuführen und zu implementieren.
MITRE ATT&CK-Taktiken
Die Angriffsmatrix kategorisiert die verschiedenen Taktiken, die Kriminelle in den verschiedenen Phasen anwenden. Es folgt eine Auflistung einiger Taktiken, die ein Angreifer während des gesamten Angriffszyklus einsetzt.
- Reconnaissance – Die Aufklärung.
Dies ist der erste Schritt, bei dem der Angreifer Informationen sammelt, um sich seine Angriffe zu erleichtern. Einige gängige Beispiele für einen Angriff sind aktives Scannen, Phishing oder das gezielte Sammeln von Informationen über das potentielle Opfer. - Resource development – Das Aufstocken.
Der Kriminelle hat die Fähigkeiten und Ressourcen aufgebaut, die für die Durchführung eines Cyberangriffs erforderlich sind. Zu den Techniken gehören die Kompromittierung von Konten, der Erwerb von Infrastruktur und die Entwicklung von Fähigkeiten. - Initial access – Der erste Schritt.
Der erste Versuch eines Kriminellen, auf ein IT-Netzwerk zuzugreifen. Zu den Techniken gehören Spear-Phishing, Drive-By-Compromise und das Ausnutzen schwacher Passwörter und externer Remote-Dienste. - Execution – Die Durchführung.
Der Angreifer führt bösartigen Code im Zielnetzwerk aus. Dies kann durch die Kompromittierung integrierter Skriptumgebungen und Interpreter geschehen, um Code zum Datendiebstahl und zur Netzwerkerkundung auszuführen. - Persistence – Das Festsetzen.
Der Kriminelle versucht Fuß zu fassen und Abwehrversuche zu vermeiden. Sie setzen Techniken wie die Manipulation von Konten und die Änderung von SSH-Authentifizierungsschlüsseln ein. - Privilege escalation – Die Übernahme.
Der Hacker hat sich Zugang zu erhöhten Berechtigungen im Netzwerk verschafft. Zu den Techniken gehören die Überwachung von Ports, das Zwischenspeichern von sudo und die Umgehung der Benutzerzugriffskontrolle.
- Defense evasion – Die Selbstverteidigung.
Der Kriminelle umgeht der eigenen Entdeckung, indem Sicherheitssysteme und Skripte deaktiviert werden. Zu den angewandten Techniken gehören die Ausführung auf einer höheren Ebene, die Token-Impersonation und der Missbrauch von Elevation Control-Mechanismen. - Credential access – Die neue Identität.
Der Angreifer stiehlt die Anmeldeinformationen von Konten. Zu den Techniken gehören Keylogging, Passwortknacken und Brute-Force. - Discovery – Die Entdeckung.
Der Kriminelle durchforstet das Netzwerk und versteht die Einstiegspunkte sowie die entsprechende umliegende Netzwerkumgebung. - Lateral Movement – Das Auspähen.
Der Kriminelle bewegt sich seitlich durch die Netzwerkumgebung. Zu den Techniken gehören die Ausnutzung von Remote-Diensten, internes Spear-Phishing und SSH-Hijacking. - Collection – Die Datensammlung.
Der Angreifer sammelt Informationen und Ressourcen, die für die Exfiltration von Daten erforderlich sind. - Exfiltration – Der Datenabfluss.
Der Angreifer exfiltriert Daten aus dem kompromittierten Netzwerk. Zu den Techniken gehören die automatische Exfiltration und die Exfiltration über Webserver. - Impact – Die Auswirkungen.
Der Lebenszyklus endet mit der Manipulation oder Zerstörung kompromittierter Systeme, Netzwerke, Daten und Konten. Zu den Techniken gehören das Entfernen von Kontenzugängen, die Verschlüsselung und Manipulation von Daten, Denial-of-Service-Angriffe und das Hijacking von Ressourcen.
Wie unterstützt ein Privileged Access Management (PAM-Lösung) beim Schutz gemäß der MITRE ATT&CK-Vektoren?
Angreifer dringen oft mit unprivilegiertem Zugang in ein Netzwerk ein und erkunden es, benötigen aber höhere Berechtigungen, um ihre Ziele zu verfolgen. Das Erhöhen dieser Privilegien besteht aus Techniken, die Kriminelle anwenden, um höhere Berechtigungen in einem Netzwerk oder System zu erhalten. Übliche Methoden sind das Ausnutzen von Systemschwächen, Sicherheitslücken und Fehlkonfigurationen. Ein Privileged Access Management (PAM) hilft Unternehmen, ihre Anwendungen und Infrastruktur zu schützen und die Vertraulichkeit kritischer Infrastrukturen und sensibler Daten zu wahren.
Zu Jeder Zeit wissen, wer was wann wo getan hat.
Unternehmen implementieren eine PAM Lösung, um sich vor Datenlecks, Systemeinbrüchen, Infiltration und Bedrohungen durch den Diebstahl von Zugangsdaten zu schützen. Das Prinzip der geringsten Privilegien gilt als beste Cybersicherheitspraxis zum Schutz vor Cyber-Angriffen, einschließlich Aufzeichnungen von lateralen Bewegungen, Verweigerung von erhöhten Privilegien und Admin-Takeovers.
VISULOX – PAM vom führenden deutschen Hersteller
Mit VISULOX von amitego können IT-Sicherheitsteams den Zugriff auf privilegierte Konten rechtzeitig sichern, indem sie eine Multi-Faktor-Authentifizierung durchsetzen und Zugriffsrichtlinien auf der Grundlage von Ort, Zeit, Benutzerrolle und anderen definierbaren Faktoren konfigurieren. Auf diese Weise wird sichergestellt, dass der Zugriff nur autorisierten Benutzern gewährt wird, und zwar nur dann, wenn er unmittelbar erforderlich ist. VISULOX ermöglicht die Zusammenarbeit sowohl für interne als auch für externe Benutzer, ohne die Sicherheit zu beeinträchtigen, wobei Audits ein echtes Vier-Augen-Prinzip gewährleisten.
Sicherheitsteams können außerdem alle Zugriffe auf administrativer Ebene auf kritische IT-Anwendungen und OT-Komponenten über ein zentrales Dashboard einfach und aus der Ferne überwachen. Die Sitzungsaufzeichnungsfunktionen der Lösung ermöglichen es Sicherheitsteams, Benutzeraktivitäten während privilegierter Sitzungen per Video aufzuzeichnen und zu protokollieren, wer jede privilegierte Sitzung autorisiert hat. Diese Aufzeichnungen können dann verwendet werden, um robuste Prüfpfade zu erstellen und forensische Beweise für riskante Verhaltensweisen zu liefern. Alle Audit-Daten werden automatisch gesichert, um eine zusätzliche Sicherheitsebene zu schaffen und die Einhaltung strenger Datenschutzbestimmungen zu gewährleisten.
amitego ist ein globaler Cybersecurity-Anbieter, der sich auf Identitäts- und Zugangssicherheit, Remote-Benutzerkontrolle und sichere Datenübertragungstechnologien spezialisiert hat. VISULOX ist die Privileged-Access-Management-Lösung von amitego. VISULOX wurde entwickelt, um Unternehmen auf der ganzen Welt dabei zu helfen, alle Zugriffe auf kritische Geschäftssysteme zu sichern und zu überwachen. VISULOX mindert das Risiko der Kompromittierung privilegierter Konten und schützt privilegierte Zugangsdaten vor Diebstahl durch externe und interne Bedrohungsakteure.
