MITRE ATT&CK Framework & Threat Intelligence Eine Frage der Quellen

Autor / Redakteur: Markus Auer / Peter Schmitz

Das MITRE ATT&CK Framework gewinnt in immer mehr Bereichen der IT-Sicherheit Anwendung. Die Threat Intelligence stellt hier keine Ausnahme da. Für die Umsetzung sind vor allem die Anzahl und Art der Quellen der Bedrohungsinformationen wichtig, um das Framework erfolgreich umsetzen zu können und die Sicherheit zu erhöhen.

MITRE ATT&CK ist eine strukturierte Wissensbasis über Taktiken und Techniken von Angreifern, die auf realen Beobachtungen basieren. Sie wird als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden verwendet.
MITRE ATT&CK ist eine strukturierte Wissensbasis über Taktiken und Techniken von Angreifern, die auf realen Beobachtungen basieren. Sie wird als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden verwendet.
(Bild: gemeinfrei / Pixabay )

Das MITRE ATT&CK Framework findet in immer mehr Bereichen der Cybersicherheit Verwendung, so auch in der Erkennung von Bedrohungsakteuren, ihren Techniken und ihrem Verhalten. Unternehmen benötigen dafür eine Wissensdatenbank, um frühzeitig zu erkennen, mit wem sie es zu tun haben. Informationen über die Vorgehensweise künftiger Angreifer, auf der Grundlage von Beobachtungen bei Sicherheitsvorfällen in anderen Unternehmen, sind letztlich für alle Organisationen interessant und relevant. Die Kartierung dieser als Bedrohungsinformationen zusammengefassten Daten ist letztlich eine der Hauptaktivitäten, die IT-Sicherheitsabteilungen vornehmen sollten. Sie verfügen über zwei Möglichkeiten, diese Daten für die Aufklärung von Bedrohungen zu nutzen; als Konsument und als Produzent. Ein Konsument der Daten zu sein, bedeutet, die bereits erstellten Daten zur Verbesserung der Entscheidungsfindung in der Bedrohungsabwehr zu nutzen. Die zweite Methode besteht darin, diese Informationen zu nutzen und darauf als Produzent zusätzlicher Informationen aufzubauen. Sicherheitsabteilungen, die über die entsprechenden Fähigkeiten und Kapazitäten verfügen, sollten sich auch auf diese Weise international engagieren.

Ein Konsument zu sein, beginnt mit der Eingrenzung der Bedrohungslandschaft auf bestimmte Gruppen von Cyberkriminellen oder anderen Bedrohungsakteuren. Denn dann kann ein Unternehmen davon ausgehen, dass diese ein Interesse an ihren Daten, Vermögenswerten oder Ressourcen haben. Um die Bedrohungslandschaft zu reduzieren, sollten frühere Angriffe auf ähnliche Organisationen untersucht und die Gruppen identifiziert werden, die im Rahmen dieser Angriffe verdächtigt werden. Sobald die Bedrohungsgruppen, die von Interesse sind, identifiziert wurden, kann die Sicherheitsabteilung einen Datensatz nutzen, um die sogenannten TTPs (tactics, techniques and procedures) für diese Gruppen einzusehen. Während sich einige Techniken vielleicht nicht überschneiden, ist es sehr wahrscheinlich, dass dies bei anderen der Fall ist. Wenn sich die Verantwortlichen die TTPs ansehen, die bei den identifizierten Gruppen üblich sind, kann damit begonnen werden, eine priorisierte Liste von Erkennungs- und Präventionsfähigkeiten zu erstellen, über die das Security Operations-Team verfügen muss. Hierbei handelt es sich um eine grundlegende Nutzung der bereits von anderen MITRE-Teams erstellten Daten, die auch für kleine Teams sehr zu empfehlen ist.

Daten anreichern

Darüber hinaus empfiehlt es sich, weitere Bedrohungsinformationen über die vorhandenen hinaus zu erstellen. Hier sind vor allem auch eigene Daten gemeint, die einem Gesamt-Datensatz hinzugefügt werden können. Für diese Aktivität müssen Unternehmen den Analysten Zeit und die nötige Aus- und Weiterbildungsmöglichkeit geben, damit sie die verfügbaren Incident Response-Reports (sowohl geschlossene als auch quelloffene, interne und externe) analysieren können, um Daten zu extrahieren und sie mit den ATT&CK-Metriken abzugleichen. In der Praxis bedeutet dies, diese Berichte Zeile für Zeile zu lesen, Werkzeuge, Techniken, Taktiken und Gruppennamen hervorzuheben und die Daten zu extrahieren, um die Informationen, die das Team über die mutmaßlichen Angreifer hat, weiter zu füttern. Hierzu entwickeln die Macher von MITRE das neue TRAM (Threat Report Attacks Mapper)-Tool, das Analysten dabei hilft, diesen Prozess teilweise zu automatisieren. Mit den zusätzlichen Informationen sollte sich die Entscheidungsfindung verbessern, wenn die Analyse der TTPs der Angreifer durch den „Kontextfilter“ der Organisation geleitet wurde.

Während bei der Verwendung der ATT&CK-Matrix für die Kartierung von Cyber Threat Intelligence die externen Bedrohungen im Mittelpunkt stehen, ist der nächste übliche Schritt nach innen gerichtet. Zunächst werden alle Techniken mit Informationen darüber aufgelistet, wie Sicherheitsabteilungen diese identifizieren, erkennen und eindämmen. Das Extrahieren dieser Informationen ist eine hervorragende Möglichkeit für die Sicherheitsabteilung, ihre eigene Fähigkeit zur Verteidigung und zur Priorisierung besser zu verstehen. Der erste Schritt in diesem Prozess ist die programmatische Extraktion von Datenquelleninformationen. Es gibt mehrere Möglichkeiten, um dies mit den APIs, die MITRE zur Verfügung stellt, oder anderen Open-Source-Tools auf GitHub zu erreichen. Nach der Fertigstellung kann der Vergleich der Datenquellen, auf die die Sicherheitsexperten Zugriff hatten, und der Gruppen von Benutzern und Systemen, die Zugriff auf diese Datenquellen haben, wichtige Erfassungs- und Sichtbarkeitslücken aufzeigen. Wenn die von ihnen gesammelten Bedrohungsinformationen beispielsweise auf eine Hackertechnik hinweisen, bei der geplante Tasks anvisiert werden, kann eine bestimmte Gruppierung dahinterstecken. Die Sicherheitsexperten sind dann in der Lage herauszufinden, ob sie diese Technik erkennen können oder nicht. Die in der Technik aufgeführten Datenquellen – Datei- und Prozessüberwachung sowie Prozessbefehlszeilenparameter und Windows-Ereignisprotokolle – liefern diese Antwort.

Wissenslücken schließen

Wenn der Sicherheitsabteilung keine dieser Datenquellen zur Verfügung steht oder wenn sie nur auf einer Teilmenge der IT-Systeme verfügbar sind, sollte der nächste logische Schritt darin bestehen, dieses Problem zu beheben. Es ist gleichgültig, ob sie diese neuen Informationsquellen durch integrierte Betriebssystemprotokollierung oder durch die Erweiterung mit neuen Sicherheitstools (Netzwerküberwachung, Netzwerkerkennung und -reaktion [NDR], host-basiertes IDS/IPS, Endpunkterkennung und -reaktion [EDR] usw.) erfassen. Wichtig ist, dass die Identifizierung der wichtigsten fehlenden Daten stattgefunden hat. Wenn diese Informationen klar kommunizierbar sind, kann dies dazu beitragen, den zusätzlichen Aufwand und die potenziellen Kosten im Zusammenhang mit der Implementierung der neuen Datensammlung zu rechtfertigen.

Das Sammeln der benötigten Datenquellen ist zwar bereits ein wichtiger Meilenstein, aber es ist erst der erste Schritt in diesem Prozess. Nachdem die Daten beschafft und an ein zentralisiertes Sammelsystem geschickt wurden, besteht der nächste Schritt darin, ein geeignetes Analysewerkzeug zu finden. Schließlich muss hervorgehoben werden, wann ein Angreifer diese Technik auch wirklich einsetzt. MITRE erleichtert diesen Schritt für viele Hackertechniken mit seinem vorprogrammierten Cyber Analytics Repository (CAR) und bietet sogar Open-Source-Analyseoptionen wie das BZAR-Projekt, das eine Reihe von Zeek/Bro-Skripten für die Erkennung einiger ATT&CK-Techniken enthält.

Fazit

Mit diesen gesammelten Informationen können Sicherheitsabteilungen Prioritäten für Angriffsgruppen und -techniken ermitteln, die gegen ihre eigene Organisation eingesetzt werden können. Sie können diese Informationen auch durch ihre eigenen internen Daten ergänzen. Dadurch erhält die Sicherheitsabteilung das bestmögliche Wissen darüber, welche Techniken und Taktiken die Angreifer nutzen und wahrscheinlich gegen die Organisation einsetzen werden. Nach Beurteilung des Bedrohungsgrades können sich die Sicherheitsexperten dann anhand der integrierten Datenquelleninformationen ein Bild von den potenziellen Verteidigungsmöglichkeiten machen. Wo Schlüsselinformationen fehlen, müssen sie zusammenarbeiten, um die Daten zu sammeln und Analysen für diese Techniken durchzuführen. Werkzeuge wie der ATT&CK Navigator können die Visualisierung der Anforderungen erleichtern. Open-Source- und andere Anbieter von Sicherheitsvorrichtungen und -software können dazu beitragen, den Prozess des Abgleichs der erforderlichen Daten mit den tatsächlich gesammelten Daten und der Durchführung der Analysen zu beschleunigen. Der letzte Schritt ist der Test und die kontinuierliche Überprüfung des MITRE ATT&CK Frameworks, der mit den Threat Intelligence-Informationen zu Bedrohungen angereichert wird.

Über den Autor: Markus Auer ist Regional Sales Manager Central Europe bei ThreatQuotient.

(ID:47047645)