MITRE ATT&CK Framework: Nutzen abhängig vom Reifegrad einer Organisation

Sicherheitsexperten agieren seite Jahrzehnten nach dem gleichen Muster

Von unserem Gastautor Falk Schwendike, Threat Intel Engineer Central Europe bei ThreatQuotient

[datensicherheit.de, 13.04.2019] Seit Jahrzehnten agieren Sicherheitsexperten immer nach dem gleichen Muster: sie beschaffen neueste Technologien oder Threat Feeds in der Hoffnung das Sicherheitsniveau verbessern zu können. Offensichtlich funktioniert dieser Ansatz jedoch nicht. Die Anzahl der Angriffe nimmt ständig zu und die durchschnittlichen Kosten einer Datensicherheitsverletzung steigen weiter an – laut der neuesten Ponemon-Studie von 3,62 Millionen USD in 2017 auf 3,86 Millionen USD in 2018. Was steckt also hinter diesen steigenden Kosten? Ein wesentlicher Faktor ist die Verweildauer, die ebenfalls gestiegen ist – von 191 Tagen in 2017 auf 197 – sowie die längere Zeit bis zur Eindämmung einer Bedrohung, die jetzt bei 69 Tagen gegenüber 66 Tagen in 2017 liegt.

MITRE ATT&CK™ Framework: Werkzeug zur Beschleunigung der Erkennung von und Reaktion auf Sicherheitsvorfälle

Eines der neuesten Werkzeuge um die Erkennung von und Reaktion auf Sicherheitsvorfälle zu beschleunigen ist das MITRE ATT&CK™ Framework. Dieses Framework findet derzeit hohe Beachtung und beschäftigt sich tiefgreifend mit der Vorgehensweise bekannter Angreifergruppen. Das ermöglicht den Sicherheitsanalysten bei Anwendung dieser Informationen wiederum einen Wissensvorsprung. Es ist ein großer Schritt nach vorn in dem Bemühen, eine Wissensdatenbank über Kriminelle und die ihnen zuzuordnenden Taktiken, Techniken und Verfahren (TTPs) zu schaffen. Eine der Herausforderungen bei der Nutzung dieses Frameworks ist jedoch, dass Sicherheitsteams bereits mit einer massiven Menge an Protokoll- und Ereignisdaten aus einzelnen Security-Produkten und/oder ihrem SIEM bombardiert werden. Ganz zu schweigen von den Millionen Indicators of Compromise (IoC), die kommerzielle und Open-Source-Quellen, Sicherheits- und andere Branchenanbieter liefern und die zur Kontextualisierung und Priorisierung der Warnmeldungen verwendet werden können.

Es stellt sich an dieser Stelle also die Frage, wie das Framework ideal genutzt werden kann. Das Interesse der Unternehmen und Organisationen ist groß – so gut wie jeder möchte es nutzen – allerdings herrscht kein Konsens darüber, wie das Framework in Abhängigkeit der Qualität der SecOps- Prozesse in den einzelnen Unternehmen am effektivsten eingesetzt werden sollte. Es muss sichergestellt werden, dass das MITRE ATT&CK Framework nicht zu einer weiteren, nur halbherzig genutzten Quelle von Bedrohungsdaten wird, zu einer vorübergehenden Modeerscheinung degeneriert oder zu einem Werkzeug wird, das nur die erfahrensten SecOps- Teams effektiv einsetzen können. Nachfolgend einige Anwendungsbeispiele, wie das Framework – je nach Reifegrad – genutzt werden kann.

Stufe 1: Referenz- und Datenanreicherung

Das MITRE ATT&CK Framework enthält eine enorme Menge an Daten, die für jedes Unternehmen wertvoll sein können. Der MITRE ATT&CK Navigator bietet eine Matrixansicht sämtlicher Techniken, die dem Sicherheitsanalysten zeigt, welche Methoden ein Angreifer anwenden könnte, um in deren Unternehmen einzudringen. Um diese Daten einfacher nutzen zu können empfiehlt es sich mit Werkzeugen zu beginnen, die den Zugriff auf diese Daten und den Austausch zwischen den Teams erleichtern. Dies kann über ein Anreicherungstool oder eine Plattform mit einer zentralen Bedrohungsbibliothek geschehen, mit deren Hilfe ein Anwender die Daten aggregieren und leicht nach Angreiferprofilen suchen kann. Fragen wie „Wer ist dieser Gegner? Welche Techniken und Taktiken setzt er ein? Welche Gegenmaßnahmen kann ich anwenden?“ werden so geklärt. Sicherheitsanalysten können die Daten aus dem Framework als detaillierte Informationsquelle nutzen, um ihre Analyse von Vorkommnissen und Warnmeldungen manuell anzureichern. Es wird ermöglicht Untersuchungen zu unterstützen und geeignete Maßnahmen zu bestimmen, die je nach Relevanz und spezifischer Bedrohung in ihrer Umgebung zu ergreifen sind.

Stufe 2: Indikator- oder ereignisgesteuerte Reaktionen

Aufbauend auf der Fähigkeit, die MITRE ATT&CK-Daten zu referenzieren und zu verstehen, integrieren die Sicherheitsteams in Stufe 2 Ressourcen der Plattform in ihre operativen Arbeitsabläufe, um bestimmte Aktionen effektiver auf die Daten anwenden zu können. Wenn die Daten beispielsweise in eine zentrale Bedrohungsbibliothek aufgenommen werden, können die Teams automatisch Beziehungen zwischen diesen Daten aufbauen, ohne dass der einzelne Anwender diese Beziehungen mühsam manuell herstellen muss. Durch die automatische Korrelation von Ereignissen und zugehörigen Indikatoren aus der Umgebung (aus Quellen wie dem SIEM-System, dem Log Management Repository, dem Case-Management-System und der Sicherheitsinfrastruktur) mit Indikatoren aus dem MITRE ATT&CK-Framework erhalten Analysten den Kontext, um sofort das Wer?, Was?, Wo?, Wann?, Warum? und Wie? eines Angriffs zu verstehen. Sie können dann automatisch nach Relevanz für ihr Unternehmen priorisieren und risikoreiche IoCs festlegen, die in ihrer Umgebung untersucht werden müssen. Durch die Möglichkeit, ATT&CK- Daten einfacher und automatisierter zu nutzen, können die Sicherheitsteams Vorfälle untersuchen, entschärfen und Bedrohungsinformationen an Sensoren weiterleiten, um Bedrohungen effektiver zu erkennen und aufzuspüren.

Stufe 3: Proaktive Taktik oder technikgesteuerte Bedrohungssuche

In diesem Stadium können die Threat-Hunting-Teams von der simplen Suche nach relevanten Indikatoren dazu übergehen, die gesamte Bandbreite des ATT&CK- Frameworks zu nutzen. Anstatt sich strikt auf bestimmte, verdächtig erscheinende Daten zu konzentrieren, kann die Plattform dazu verwendet werden, die Geschehnisse von einer höheren Perspektive aus zu betrachten und bei Informationen über Angreifer und den zugehörigen TTPs ansetzen. Sie können einen proaktiven Ansatz wählen – beginnend beim Risikoprofil ihres Unternehmens, über die Zuordnung der identifizierten Risiken zu bestimmten Angreifergruppen und deren Taktiken, bis hin zu Techniken, die diese Angreifer verwenden – und dann untersuchen, ob entsprechende Daten im internen Netz identifiziert wurden. So könnte sich ein Team beispielsweise mit der Gruppe APT28 beschäftigen und dabei Fragen zu Techniken, potenziellen IoCs im Unternehmen, damit verbundenen Systemereignissen, beziehungsweise deren Erkennung durch Endpunkt-Technologien beantworten.

Der Erfolg von MITRE ATT&CK wird davon abhängen, wie einfach es ist, dieses Framework effektiv in die Praxis umzusetzen. Mit einem Verständnis für die entsprechenden Reifegrade der einzelnen SecOps-Prozesse und den daraus abzuleitenden Anwendungsfällen sowie der Fähigkeit von Technologien SecOps-Teams in jeder Phase zu unterstützen, können Unternehmen das Framework zu ihrem Vorteil nutzen. Unternehmen werden in der Lage sein, das MITRE ATT&CK-Framework intensiver zu nutzen und einen noch höheren Mehrwert zu generieren.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2018
2019: IoT, OT und Collaboration sind Top-Themen

datensicherheit.de, 24.04.2018
ThreatQuotient präsentiert den ersten virtuellen Kontrollraum für Cybersicherheit