Das MITRE ATT&CK-Framework ist eine Datenbank mit Taktiken, Techniken und Verfahren (TTPs), die fortlaufend aktualisiert wird. Sie dient dazu, Angriffe zu klassifizieren, Ziele zu identifizieren und Vorschläge für die Erkennung und Eindämmung von Bedrohungen und Schwachstellen bereitzustellen.
Im Vergleich zu anderen IT-Security-Ansätzen fokussiert das MITRE ATT&CK-Framework die Perspektive des Angreifers (Profiling).
(Bild: Gorodenkoff - stock.adobe.com)
Das MITRE ATT&CK-Framework konzentriert sich auf das Beobachten von Hacker-Angriffen, um häufiges Verhalten dieser Angreifer (Profiling) zu dokumentieren. Wenn neue Schwachstellen und Angriffsmethoden auftauchen, werden sie dem Framework hinzugefügt. Das Akronym ATT&CK steht für Adversarial Tactics, Techniques, and Common Knowledge und ist eine Wissensdatenbank über die von Hackern eingesetzten Taktiken und Techniken. Das MITRE ATT&CK-Framework wird weltweit als ein Standard für die Katalogisierung von Verhaltensweisen von Angreifern betrachtet.
Im Gegensatz zu anderen IT-Security-Modellen nimmt das MITRE ATT&CK-Framework die Sichtweise des Angreifers ein. Diese Perspektive hilft den Experten zu verstehen, wie Hacker sich auf Cyberangriffe vorbereiten und sie ausführen. In früheren Jahren beschränkte sich das MITRE ATT&CK-Framework auf die Erkennung von Bedrohungen. In letzter Zeit fand zudem eine Ausweitung auf Instrumente des Schwachstellen-Managements statt.
Anatomie der MITRE ATT&CK-Matrix
Das Schema enthält eine Reihe von Taktiken und Techniken, die von Hackern zur Durchführung eines Angriffs häufig verwendet werden. Jede der vier Matrizen bietet detaillierte Beschreibungen der Taktiken und Techniken der Angreifer sowie allgemeines Wissen. Ferner skizzieren sie Erkennungs- und Schadensbegrenzungsansätze sowie Beispiele für den Einsatz in der Praxis.
Pre-ATT&CK: Viele der Aktivitäten, die Hacker unternehmen, bevor sie ein Unternehmen kompromittieren, werden außerhalb des Netzwerks der Organisation durchgeführt. Diese Taktiken und Techniken sind schwer zu erkennen. Die Pre-ATT&CK-Matrix hilft Unternehmen, die Aktivitäten außerhalb ihres Netzwerks besser zu überwachen und zu verstehen.
Enterprise ATT&CK: Hacker können viele Maßnahmen ergreifen, um ihre Aktivitäten in einem Unternehmensnetzwerk auszuführen. Die Enterprise ATT&CK Matrix beschreibt die spezifischen Taktiken und Techniken für eine breite Palette von Plattformen, darunter Windows, macOS, Linux, Azure AD, Office 365, Google Workspace, SaaS, IaaS, Netzwerke und Container.
Mobile ATT&CK: Die Mobile ATT&CK Matrix beschreibt die Taktiken und Techniken, die auf mobilen Geräten (iOS- und Android) durchgeführt werden. Außerdem werden Taktiken und Techniken beschrieben, die verwendet werden, wenn kein Zugriff auf das tatsächliche Mobilgerät erforderlich ist.
ICS ATT&CK: Die MITRE ATT&CK Matrix für Industrial Control Systems (ICS) ähnelt der Enterprise ATT&CK Matrix, außer dass ihr Schwerpunkt auf den industriellen Steuerungssystemen liegt, die zur Verwaltung von Stromnetzen, Fabriken, Mühlen usw. verwendet werden.
Hacker-Taktiken der MITRE ATT&CK-Matrix
Die Matrix beschreibt eine Reihe von Techniken, die Hacker einsetzen, um bestimmte Ziele zu erreichen. Solche Ziele werden in der Matrix als Taktiken wie folgt dargestellt:
Aufklärung: Sammeln von Informationen über die Zielorganisation zur Planung zukünftiger Angriffe.
Entwicklung von Ressourcen: Bereitstellung von Ressourcen zur Angriffsvorbereitung.
Erstzugriff: Angriff per Spear-Phishing etc. auf das Netzwerk des Opfers.
Bösartiger Code ausführen: Versuch, bösartigen Code auszuführen, indem ein Fernzugriffstool verwendet wird.
Persistenz: Angreifer versuchen über die Veränderung von Konfigurationen in einem Netzwerk Fuß zu fassen.
Eskalation der Privilegien: Hacker erlangen Berechtigungen auf höherer Ebene, indem sie Schwachstellen ausnutzen, um Zugriffe zu erhalten.
Zugriffe über Anmeldedaten: Diebstahl von Kontonamen und Passwörtern.
Tarnung: In dieser Phase versuchen Hacker einer Entdeckung zu entgehen, indem sie vertrauenswürdige Prozesse nutzen, um Malware zu verbergen.
Exploration: Hacker erkunden die Netzwerk-Umgebung, um herauszufinden, was sie unter ihre Kontrolle bringen können. Laterale Bewegungen (Wechsel der Systeme) unter Verwendung legitimer Anmelde-Informationen.
Daten sammeln: Daten identifizieren und einsammeln, die für die Ziele des Hackers von Interesse sind, wie beispielsweise Zugriff auf Daten im Cloud-Speicher.
Übernahme der Kontrolle: Kommunikation mit kompromittierten Systemen, um diese zu kontrollieren. Das heißt, Nachahmung des normalen Webverkehrs, um mit einem Opfernetzwerk zu kommunizieren.
Exfiltration: Diebstahl der Daten durch Übertragung auf ein Cloud-Konto.
Auswirkungen: Systeme und Daten werden manipuliert, unterbrochen, verschlüsselt oder zerstört.
Einsatz von MITRE ATT&CK-Matrix
ATT&CK eignet sich für die Erstellung von verschiedenen Hacker-Szenarien, um effektive Abwehrmaßnahmen zu testen bzw. zu überprüfen. Dies ermöglicht eine zuverlässige Bewertung von IT-Security-Maßnahmen. Das MITRE ATT&CK-Framework kann eine Unternehmung bei der Erkennung und Eindämmung von Bedrohungen auf unterschiedliche Art und Weise unterstützen:
Red Teaming: Mithilfe des Red Teaming wird über hauseigene Aktionen des Hackings die Sicherheit der Systeme getestet. Auf diese Weise kann unter anderem das Team dem Management die möglichen Auswirkungen von Verstößen demonstrieren. Mit ATT&CK lassen sich Red-Team-Pläne erstellen und Security-Prozesse organisieren.
Entwicklung von Verhaltensanalysen: Das Framework erkennt verdächtige Aktivitäten und verknüpft verschiedene Muster, um die Aktivitäten von Hackern zu studieren und zu überwachen.
Defensive Gap Assessment: Mit dieser Methode lässt sich bestimmen, in welchen Teilen des Unternehmens es an Abwehrmaßnahmen mangelt. ATT&CK kann vorhandene Tools oder auch neue Tools vor dem Kauf testen, um den Sicherheitsumfang zu ermitteln und Investitionen zu priorisieren.
SOC Maturity Assessment: Ähnlich wie beim Defensive Gap Assessment kann ATT&CK bestimmen, wie effektiv ein Security Operations Center (SOC) bei der Erkennung, Analyse und Reaktion auf Verstöße arbeitet.
Cyber Threat Intelligence Enrichment: Dieser Ansatz optimiert Informationen über Bedrohungen und Angreifer. Mit ATT&CK können Unternehmen beurteilen, ob sie in der Lage sind, sich gegen bestimmte Advanced Persistent Threats (ATP) und allgemeine Verhaltensweisen mehrerer Bedrohungsakteure zu verteidigen.
Eine Implementierung von MITRE ATT&CK umfasst in der Regel auch die Integration von Security-Tools wie beispielsweise Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) und Cloud Access Security Broker (CASB).
Die Verwendung von MITRE ATT&CK mit einem SIEM umfasst die Aggregation von Protokolldaten von Endpunkten, Netzwerken und Cloud-Diensten, die Identifizierung von Bedrohungen und deren Zuordnung zu MITRE ATT&CK. Änderungen an der Sicherheitslage werden dann in den Sicherheitstools vorgenommen, die ihre Protokolldaten bereitstellen (d. h. EDR oder CASB).
MITRE ATT&CK mit EDR umfasst die Zuordnung von Ereignissen, die vom Endpunktagenten beobachtet werden, sodass Verteidiger die Phasen eines Bedrohungsereignisses bestimmen, das damit verbundene Risiko bewerten und die Reaktion priorisieren können.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7a/f2/7af27244e2a7e2020c8cf1e428560094/0129336301v2.jpeg "Self-hosted GitHub Actions Runner eignen sich aufgrund ihrer Eigenschaften – wie der Fähigkeit, beliebigen Code auszuführen und persistenten Zugriff auf interne Netzwerke zu bieten – für Angreifer perfekt, um dort Backdoors zu verstecken. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/ba/7dbaa635d6a6c618f72199882f8b838f/0129755658v2.jpeg "Das Personal der BDH-Klinik in Greifswald habe nach einem Cyberangriff einige digitale Abläufe analog ausführen müssen, die Versorgung der Patienten sei jedoch sichergestellt gewesen. (©peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/89/1889ed31c2dce0a86bd0e07c2f125197/0129714473v2.jpeg "Deepfakes sind zur realen Bedrohung für Unternehmen geworden. Zero Trust muss künftig auch die Echtheit von Inhalten verifizieren, nicht nur die Identität von Nutzern. (Bild: © Flash memory - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/70/8070dd073ca803c665eed95cc230a701/0128735549v1.jpeg "Der Autor: Trevor Dearing ist Director of Critical Infrastructure Solutions bei Illumio (Bild: Illumio)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db155e114b7d535ee7ec9cbed89079/0129714250v2.jpeg "KMU stehen unter Compliance-Druck durch Vendor-Management und NIS-2. Minimum Viable Security ermöglicht strukturierte Informationssicherheit ohne Vollzeit-CISO und teure Zertifizierung. (Bild: © sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/01/6c0154fdb59eb48f6829cd91be1c03b8/0129232045v1.jpeg "Frontansicht der 1-HE-Appliance „genuline“: Rackgerät für IPsec-basierte Standortkopplung mit Managementschnittstellen und modularen Netzwerkports. (Bild: genua)")
:quality(80)/p7i.vogel.de/wcms/1d/cf/1dcfd91e73b22fe28bb14755027091e2/0128758121v1.jpeg "Zwei Gesetze stärken das Cloud-Switching: Der EU Data Act durch Vorgaben zu Interoperabilität und Datenexport und die DSGVO, die mit dem Recht auf Datenübertragbarkeit ergänzend personenbezogene Daten beim Anbieterwechsel absichert.
(Bild: © MemoryMan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/6d/346d2bf387bf6e611f8392810a17bbf6/0129601265v2.jpeg "Mit VirtualBox können Nutzer mehrer VMs auf einem Computer betreiben. Derzeit steht die Open-Source-Lösung unter Beschuss, da die ZDI sieben Zero-Day-Schwachstellen darin entdeckt hat. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b1/36/b136397b968cdf16f587a9aaa72082fe/0128624921v1.jpeg "Nicht nur in Sachen Datenmanagement wird Digitale Souveränität immer wichtiger. Auch bei den Herstellern von Soft- und Hardware achten Unternehmen zunehmend auf Souveränität oder greifen zu Open Source. (Bild: © Nazuro - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1f/77/1f776e33a8b7268ea99a5ef15848b1db/0129545820v2.jpeg "Confidential Computing schließt die letzte Sicherheitslücke der Cloud: Daten bleiben durch Hardware-Enklaven auch während der Verarbeitung verschlüsselt – selbst vor Cloud-Providern und Administratoren. (Bild: © diowcnx - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/da/b0da219a083f51ec8d1a177ed2f734ed/0129623165v2.jpeg "Die RTL Group ist Europas größter kommerzieller Radio- und Fernsehanbieter und hat damit Zugang zu sensiblen Informationen und Quellen, die für ihre Berichterstattung und investigativen Recherchen von entscheidender Bedeutung sind. Somit ist die Gruppe ein besonders interessantes Ziel für Cyberkriminelle. (Bild: Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/f7/6af7e879055983e8e04b8342915cf5fd/0129654017v1.jpeg "Bahnchefin Evelyn Palla kündigte an, die freiwillige Ausstattung mit Bodycams noch in diesem Jahr auf alle Beschäftigte mit Kundenkontakt ausweiten zu wollen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/19/1d1934d9186ce6069c917f0ec4b52751/0129652501v2.jpeg "Bankverbindungen, Identitäten von Kontoinhabern, Adressen und teilweise auch Steueridentifikationsnummern sind von dem Cyberangriff auf die FICOBA betroffen. Den Kontostand einzusehen oder Überweisungen zu tätigen war dem Angreifer nicht möglich. (Bild: Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/b6/bdb6d8c8c6a9e25cee49897e97737bf5/0129495526v2.jpeg "In dieser Folge des Security-Insider-Podcasts sprechen wir mit Security-Schulungsanbietern und Schülerinnen, Schülern und Studierenden, die sich für die IT-Sicherheit interessieren. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:quality(80)/p7i.vogel.de/wcms/3c/8e/3c8e91b8127c896414fdbfefac119ab1/93726949.jpeg "MITRE ATT&CK ist eine strukturierte Wissensbasis über Taktiken und Techniken von Angreifern, die auf realen Beobachtungen basieren. Sie wird als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden verwendet. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/53/38/53380ffd68b342645f8561b694169860/96630295.jpeg "Nur wer sowohl sich als auch seine Feinde kennt, kann sich vor Angriffen schützen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c7/8a/c78aa5ab75547eb20a7c1a968b2539ab/98199527.jpeg "Security-Teams sollten sich auf die Schwachstellen konzentrieren, die aufgrund des individuellen Risikoprofils für das Unternehmen am kritischsten sind. (©valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/5c/445c0893aca0919eb44c637e59fc1f00/0127381701v1.jpeg "Vorausschauende Cloud-Sicherheit erkennt Risiken, bevor sie entstehen, durch intelligente Analysen, Automatisierung und kontinuierliche Transparenz in allen Ebenen der Infrastruktur. (Bild: © Bo Dean - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/82/1082ac3d761567c0e6088d2fcd935cfd/0126091441v2.jpeg "Der CrowdStrike-Report 2025 verdeutlicht, dass Cyberkriminelle generative KI nutzen, um Angriffe zu skalieren, Social-Engineering-Methoden zu verfeinern und in allen Phasen komplexer Intrusionen effizienter vorzugehen. (Bild: Dall-E / KI-generiert)")