Unter dem Namen "Adversarial Tactics, Techniques & Common Knowledge" (ATT&CK) begannen die Forscher von MITRE 2013 damit, Informationen über IT-basierte Angriffsarten auf Unternehmen zusammenzutragen und in einem Framework zu systematisieren. MITRE betreibt eine Reihe von Forschungsinstituten im Auftrag der USA. Das Non-Profit-Unternehmen forscht im Bereich der technischen und organisatorischen Sicherheit und verwaltet beispielsweise die Liste der Common Vulnerabilities and Exposures (CVE) von Computersystemen.
Die in ATT&CK enthaltenen Informationen sollen dazu dienen, spezielle Bedrohungsmodelle für Unternehmen, Behörden und Anbieter von IT-Sicherheitsprodukten oder -Services zu entwerfen. Diese Modelle sollen Organisationen in die Lage versetzten, bereits vor einem Angriff möglichen Bedrohungen aktiv entgegenzuwirken.
Das Framework kann auch die Basis für sogenannte Cyber Defence Maturity Assessments bilden. Bei so einere Bewertung definiert ein Unternehmen anhand der ATT&CK-Matrizen einen Soll-Zustand bezüglich Cyberschutz. Anschließend wird der Ist-Zustand ermittelt und Maßnahmen erarbeitete, um das Delta zwischen beiden zu verkleinern.
Wie ist das ATT&CK Framework aufgebaut?
Die Informationen sind nach verschiedenen Angriffstaktiken in einer Matrix geordnet. Dazu zählen etwa der initiale Zugang zum Netzwerk, Zugriff auf Login-Informationen, Missbrauch von Privilegien, Datendiebstahl oder Zerstörung. Unter diesen Kategorien sind die jeweiligen Angriffstechniken im Detail aufgelistet wie etwa Brute-Force-Attacken, Spearphishing oder Festplattenverschlüsselung.
Mittlerweile existieren drei verschiedene "Matrizen" des ATT&CK-Frameworks für verschiedene Einsatzgebiete:
ATT&CK for Enterprise ist ein Framework, das Angriffsmethoden beschreibt, um in ein Unternehmensnetzwerk einzudringen und darin zu agieren. Das Modell soll das wahrscheinliche Verhalten von Aggressoren beschreiben, nachdem sich diese Zugang in die eigenen Systeme verschafft haben. Damit sollen Security-Teams die Schutzmaßnahmen für ihr Netzwerk priorisiert auf die jeweiligen Bedrohungen ausrichten können. Die Enterprise-Matrix besteht aus Techniken und Taktiken für Windows-, Linux-, MacOS-Systeme und die Cloud. Letztete umfasst Amazon Web Services (AWS), Google Cloud Plattform, Microsoft Azure, Office 365, Azure Active Directory (AD) sowie Software-as-a-Service (SaaS) im Allgemeinen.
ATT&CK for Mobile ist ein speziell auf mobile Umgebungen zugeschnittenes Framework, das Informationen für Android und iOS bietet. Es basiert auf dem Mobile Threat Catalogue des National Institute of Standards and Technology (NIST) und beschreibt Angriffsmethoden auf Mobilgeräte und andere Elemente des mobilen Ökosystems wie etwa IoT-Devices. Dabei werden auch verwandte netzwerkbasierte Effekte wie DoS-Angriffe berücksichtigt und Effekte auf Remote-Services wie Clouddienste oder MDM-Services mit einbezogen, für die Angreifer keinen direkten Zugriff auf Geräte benötigen.
ATT&CK for Industrial Control Systems (ICS) ist der neueste Zugang unter den Frameworks. Es befasst sich mit Angriffsszenarien auf industrielle Kontrollsysteme in vernetzten Fabriken. Diese Matrix wird wahrscheinlich weiter an Bedeutung gewinnen, das IT und Operation technology (OT) zunehmend ineinandergreifen. MITRE bietet innerhab des Frameworks auch Listen der gängigen Software in diesem Umfeld, bekannter Angreifergruppen und verschiedener Assets in ICS-Umgebungen.
PRE-ATT&CK soll, aufbauend auf ATT&CK for Enterprise, dabei helfen, Angriffe abzuwehren, noch bevor sie stattfinden. Das Framework erfasst die Taktiken, Techniken und Verfahren, mit denen Angreifer ein Ziel auswählen, Informationen sammeln und eine Attacke starten.
Gemeinsam decken diese Frameworks alle sieben Stadien der von Lockheed Martin definierten "Cyber Kill Chain" (PDF) ab.
PRE-ATT&CK beschäftigt sich dabei mit den ersten beiden Schritten:
Ausspähen (Reconnaissance) - E-Mail-Adressen und Hintergrundinformationen sammeln;
Vorbereitung des Angriffs (Weaponization) - Einen Exploit mit einer Backdoor zu einem Angriff verbinden;
ATT&CK for Enterprise, Mobile und ICS zielen auf die restlichen fünf Schritte ab:
Auslieferung des Angriffs (Delivery) - den Angriff via E-Mail, USB-Stick oder Web-Interface an das Opfer senden;
Ausnutzen der Schwachstelle (Exploitation) - eine Backdoor verwenden, um Code in den Systemen des Opfers auszuführen;
Installation - Malware beim Ziel installieren;
Command and Control (C2) - einen Kommandokanal aufbauen, um die Systeme des Opfers per Fernsteuerung zu manipulieren;
Aktionen und Zielsetzungen (Actions and Objectives) - über den direkten Zugang das eigentliche Ziel des Angriffs erreichen.
Für welche Unternehmen eignet sich das ATT&CK-Framework?
Prinzipiell eignet sich das Framework für alle Unternehmensgrößen und Branchen. Für Thomas Uhlemann, Security-Spezialist bei ESET, sollten sich jedoch Betriebe aus dem Bereich kritischer Infrastrukturen (KRITIS) besonders mit ATT&CK auseinandersetzen. Auch für den durchschnittlichen, mittelständischen Handwerksbetrieb seien die Informationen aus den einzelnen Matrizen grundsätzlich wertvoll, aber Uhlemann schränkt ein: Das gleiche eher dem "Schießen mit Kanonen auf Spatzen".
Der Aufwand, die eigene Infrastruktur für die Erkenntnisse aus dem MITRE ATT&CK Framework vorzubereiten, sei zu Beginn recht groß, so Uhlemann. Zudem seien nicht alle Informationen für alle Empfänger gleich wertvoll und müssten individuell begutachtet und eingeordnet werden. Das brauche Ressourcen, die erst einmal im Unternehmen vorhanden sein müssen.
Was sind notwendige technische und organisatorische Voraussetzungen für ATT&CK?
Für Richard Cassidy, Security-Manager bei Exabeam, muss das IT-Sicherheits-Team zuerst alle Grundlagen im Rahmen eines umfangreichen Sicherheits-, Audit- und Compliance-Frameworks gelegt haben, bevor ATT&CK sinnvoll genutzt werden kann. Zudem gelte es, eine Lösung zur Datenerfassung wie einen Data-Lake, ein Log-Management oder eine SIEM-Lösung zu implementieren, die alle Daten über die gesamte Infrastruktur erfasst.
Laut ESET-Manager Uhlemann brauchen Unternehmen nicht unbedingt eine SIEM-Lösung oder ein Security Operations Center (SOC), um das ATT&CK Framework umzusetzen. Umgekehrt sei ATT&CK aber essenziell für die Threat Intelligence Feeds in einem SOC. "IT-Security-Lösungen, etwa für den Endpoint-Schutz, nutzen die Informationen für Schutzmodule wie Exploit-Blocker und verhaltensbasierte Erkennungsmethoden," sagt der Security-Spezialist. Darüber hinaus könnten alle möglichen Komponenten der Sicherheitsarchitektur wie etwa Mobile-Device-Management- (MDM-)Lösungen und Gateways von den Erkenntnissen aus dem Framework profitieren. Zudem verweist Uhlemann auf notwendige Tools, die von Penetrationstestern und Red-Team-Mitgliedern verwendet werden.
Auch Klaus Nemelka, Technical Evangelist bei Varonis Systems, sieht gängige Sicherheitslösungen als Basis, um ATT&CK verwenden zu können. Dazu zählt er neben dem Endpoint-Schutz beispielsweise auch Firewalls. Log-Aggregatoren oder SIEM-Lösungen seien zwar nicht zwingend erforderlich, machten aber die Analyse, Bewertung und Forensik von Angriffen deutlich einfacher.
Laut Matthias Maier, Sicherheits-Experte bei Splunk, funktioniert das Framework im Unternehmen am besten, wenn ein dediziertes Sicherheitsteam vorhanden ist, das Cyberangriffe erkennt und untersucht. Auf organisatorischer Ebene gelte es, Kommunikationsschnittstellen zu den einzelnen Fachbereichen festzulegen und wichtige Schritte abzustimmen. Hier rät Maier, auf diese Punkte zu achten:
Die Auditierung und Protokollierung angelieferter Daten auf den Systemkomponenten sollte nach Best Practices konfiguriert sein. Über die Logeinträge sollten sich die in den ATT&CK-Matrizen beschriebenen Angriffstechniken erkennen lassen.
Beim Incident Response ist die Kommunikation mit dem Fachbereich entscheidend, um Benutzer oder Geräte im Ernstfall schnell zu isolieren.
Beim Post Mortem Incident Review sollten die Verantwortlichen aus vergangenen Security Incidents lernen können. Ziel ist es, die Architektur beziehungsweise System-Konfiguration im Hinblick auf Cyberangriffe zu verbessern.
Systeme, Infrastrukturkomponenten und Applikationen gilt es dahingehend zu priorisieren und zu klassifizieren, wie wichtig sie für das Unternehmen und die Geschäftsprozesse sind. Auf diese Weise lassen sich anschließend wiederum die Implementierungen und Sicherheitsvorfälle priorisieren.
Was sind häufige Probleme bei der Umsetzung von ATT&CK?
Ein Problem mit dem Framework sei ESET-Manager Uhlemann zufolge die Masse an Informationen, die es bereitstellt. IT-Teams seien oft mit der Frage überfordert, welche Techniken sie abbilden müssten. Allerdings ließen sich die für die Unternehmen wichtigen Daten anhand einiger Hilfsmittel herausfiltern. Zum einen geben die Matrizen eine grob passende Auswahl vor. Zum anderen bietet der ATT&CK Navigator eine tiefer gehende Navigationsoberfläche für die Enterprise und Mobile-Matrix, wobei die PRE-ATT&CK-Einträge in beiden mit aufgenommen sind. Die Open-Source-Web-Anwendung erlaubt es zudem, die Matrizen beliebig zu filtern, zu bearbeiten und mit Anmerkungen zu versehen, so dass das Framework auf die individuellen Bedürfnisse angepasst werden kann.
Zudem brauchten die IT-Teams Freiräume für Schulungen oder Planungszeiten sowie Budget für nötige Ressourcen, so Uhlemann. Beides werde oft erst nach einem Zwischenfall bereitgestellt. Hier bedürfe es einer Top-down-Entscheidung durch das Management und Aufklärungsarbeit bei allen Beteiligten.
Auch für Matthias Maier von Splunk ist es wichtig, die Entscheider-Ebene früh zu involvieren. Anstatt sofort Produkte zu implementieren, gelte es vorerst, den Sicherheitsbedarf als Ziel zu identifizieren und mit einer Gap-Analyse die notwendigen Maßnahmen festzustellen. Erst dann sollte Geld ausgegeben werden.
Die Vielzahl an ausgelösten Alarmen sei laut Maier ein weiterer ATT&CK-Stolperstein. Hier sollte strategisch priorisiert werden, etwa durch automatisierte Aktionen für Standard-Alerts, Machine Learning für die Erkennung und Mechanismen zur Risikobewertung. Letztere ließen sich etwa durch Risikokennzahlen, die jeder ATT&CK-Angriffstechnik zugewiesen werden, relativ einfach umsetzen.
Laut Exabeam-Manager Cassidy versage das ATT&CK-Framework in der Praxis meist dann, wenn das angewandte Sicherheitskonzept an sich Lücken aufweise. Das Sicherheitsteam sei dann in Bezug auf bestimmte Angriffsvektoren blind. Man benötige also eine Strategie, und schlussendlich auch entsprechende Sicherheitslösungen, die komplette Transparenz schaffen und damit alle möglichen Angriffe erkennen könnten. Cassidy rät zu einer SIEM-Lösung.
Varonis-Sprecher Nemelka betont, dass bei ATT&CK oft die Bedeutung der beiden letzten Buchstaben - Common Knowledge - vergessen werde. Sich zu sehr auf die "nächste große Sache" bei den in ATT&CK beschriebenen Cyberangriffen zu konzentrieren, vernachlässige zentrale Security Best Practices. Es gelte, die grundlegende Sicherheitshygiene, wie Zugriffe auf Daten zu kontrollieren oder Server und Workstations zu patchen, nicht aus den Augen zu verlieren.
Welches Know-how muss im Unternehmen für ATT&CK vorhanden sein?
Was das notwendige Fachwissen angeht, gibt ESET-Sprecher Uhlemann Entwarnung. Bei entsprechender Zeit und guten Englischkenntnissen sei das Framework so verständlich, dass IT-Teams sich das Know-how zu großen Teilen selbst erarbeiten könnten. Je nach Grad des Vorwissens ließen sich die Kenntnisse erweitern und dank des Navigators auch prüfen, ob bei den aktuellen Maßnahmen eventuell nachgebessert werden müsse. Wichtig für die Umsetzung sei es aber, die eigene Infrastruktur exakt zu kennen.
Cassidy von Exabeam ergänzt, dass für Sicherheitsanalysten in einem SOC Know-how über moderne Tools zur Datenanalyse und Plattformen zur Orchestrierung und Automatisierung der IT-Security sehr nützlich sei. Dadurch ließen sich manuelle Prozesse vermeiden und die Flut an Alarmen bewältigen. Zudem könnten stark automatisierte Lösungen auch von weniger qualifiziertem Personal bedient werden, was dem Fachkräftemangel entgegenwirke.
Industriezertifizierungen, wie der Certified Ethical Hacker von EC Council, der CISSP von ISC2 sowie der SANS 511 Kurs "Continuous Monitoring and Security Operations" seien aus Sicht von Splunk-Mann Maier gängige Zertifizierungen für das Personal in IT-Sicherheitsteams und auch für die Umsetzung von ATT&CK nützlich. Grundsätzlich sollten die Security-Verantwortlichen ein Grundverständnis für Risikomanagement mitbringen. Sie sollten wissen, wie Cyberangriffe ablaufen und welche Tools sowie Maßnahmen zur Risikominimierung eingesetzt werden könnten.
Nemelka von Varonis, unterstreicht, wie wichtig der Wissensaustausch für den Erfolg des Frameworks ist. Risikobewusstsein, Fantasie und Lernbereitschaft seien nützliche Qualitäten bei den Teammitgliedern, aber vor allem müssten Verteidigungsmaßnahmen kritisch hinterfragt und ehrlich die vorhandenen Lücken und Defizite benannt werden. Technische Fähigkeiten seien notwendig, aber die Demokratisierung des Wissens zwischen den Teams und gelebte Zusammenarbeit könne zu einer soliden Verteidigung führen. Das funktioniere insbesondere dann, wenn es die Mitarbeiter verstehen, wie Angreifer zu denken und entsprechend zu reagieren.