MITRE-ATT&CK -Framework – Übersicht

Washington DC Security Management

Release

washingtondc

ft:locale

de-DE

ft:publication_title

Washington DC Security Management

ft:clusterId

security

bundleId

security

workflow

Technology

MITRE-ATT&CK -Framework – Übersicht

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

3 Minuten Lesedauer

Das Framework MITRE-ATT&CK ist eine Knowledge Base mit allgemeinen Taktiken, Techniken und Verfahren (TTP), auf die Ihre Organisation zugreifen kann, um spezifische Bedrohungsmodelle und Methoden gegen Cyberangriffe zu entwickeln.

Übersicht

Das ATT&CK-Framework ( MITRE Adversarial Taktiken, Techniken und allgemeines Wissen) dokumentiert und verfolgt verschiedene Angreifertechniken, die in verschiedenen Phasen eines Cyberangriffs verwendet werden.

Mithilfe der Knowledge Base des Frameworks MITRE-ATT&CK kann die Cyberthreat Intelligence-Community Bedrohungen schnell identifizieren und Reaktionen auf Cyberangriffe koordinieren.

MITRE-ATT&CK und Security Operations

Im folgenden Diagramm erfahren Sie, wie die Informationen von Security Operations mit Anwendungen von MITRE-ATT&CK fließen.

Funktionsweise von MITRE ATT&CK mit Anwendungen von Security Operations.

Die zugehörigen Listen namens vorinstalliert TAXII Client stellt eine Verbindung zum Server TAXII her, um die Datensammlungen für Threat Intelligencezu erfassen.
Vorhandene SIEM-Integrationen (Security Information and Event Manager) erfassen ihre Bedrohungsdaten (Warnungen und Events) mit relevanten TTPs und sind Security Incidents zugeordnet.
Wenn ein IoC einem Security Incident zugeordnetist, durchsucht Threat Intelligence Bedrohungsfeeds automatisch nach relevanten Informationen und sendet IoCs zur zusätzlichen Analyse an Drittanbieterquellen wie EDR, Sandbox oder TIP.
Wenn eine Drittparteiquelle die Informationen MITRE-ATT&CK enthält, dann Threat Intelligence extrahiert die Technikinformationen und erweitert die Daten im Repository Threat Intelligence für Korrelation und Analyse.
MITRE-ATT&CK gibt auch CVE-Kontextinformationen für jede Technik frei. Ihr Sicherheitsteam kann die verwendeten Techniken in Vulnerability Response überprüfen, um festzustellen, ob Ihre geschäftskritischen Assets gefährdet sind.

MITRE-ATT&CK Matrizen, Taktiken und Techniken

Der Kern des MITRE-ATT&CK -Frameworks ist eine Matrix von Angreifertaktiken und -techniken. Die Reihenfolge der Taktiken stellt dar, was ein Angreifer in der Phase eines Incident erreichen möchte. Wenn Ihr Sicherheitsteam diese Sequenz versteht, haben Sie die Möglichkeit, den nächsten Schritt eines Angreifers zu antizipieren und die Kill Chain zu durchbrechen. ATT&CK besteht aus den folgenden Matrizen:

Enterprise ATT&CK: Beschreibt die Verhaltensweisen und Aktionen eines Angreifers, um in einem Unternehmensnetzwerk und in der Cloud zu kompromittieren und dort zu operieren.
Hinweis:
Die Pre ATT&CK-Matrix wurde von MITRE veraltet und wird mit der Enterprise-Matrix zusammengeführt.
ICS ATT&CK: Beschreibt die Aktionen, die ein Angreifer ausführt, während er in einem ICS-Netzwerk (Industrial Control Systems) agiert.
Mobile ATT&CK: Beschreibt die Verhaltensweisen und Aktionen von Angreifern, die sich auf Mobilgeräte konzentrieren.

Taktiken stellen den Grund einer ATT&CK-Technik dar. Es ist das taktische Ziel des Angreifers für die Ausführung einer Aktion.

Techniken stellen dar, wie ein Angreifer ein taktisches Ziel erreicht, indem er eine Aktion ausführt.

Techniken können mehr als einer Taktik zugeordnet werden. Beispielsweise wird die Zugriffstoken-Manipulation von einem Angreifer verwendet, um entweder die Taktik der Berechtigungseskalation oder der Verteidigungsumgehung zu erreichen.

Verwenden eines absichtsbasierten Ansatzes für die Reaktion auf Incidents

Eine absichtsbasierte Antwort verwendet ein dynamisches und kontextbezogenes Kill Chain-Framework, das Ihrem Unternehmen helfen kann, Security Incidents zu korrelieren und eine Vielzahl von Angriffen zu identifizieren. Ihr Sicherheitsteam kann eine absichtsbasierte Antwort verwenden, um zu verstehen, wie die Organisation angegriffen wird und was der Angreifer als Nächstes tun könnte. Mit dieser Art von Reaktion können Sie das Verhalten eines Angreifers vorhersagen, sodass Sie Ihre Ressourcen effektiv einsetzen können.

Mit Security Incident Responsekann Ihr Sicherheitsteam den Lebenszyklus jedes Security Incident von der Analyse bis zur Eindämmung verwalten, indem es sich auf Gefährdungsindikatoren (IoCs) wie IP-Adressen, Datei-Hashes und Domänen konzentriert.

Durch die Integration von Security Incident Response mit dem Framework MITRE-ATT&CK werden Security Incidents als Links in einem größeren unternehmensweiten Angriff behandelt.

Wie Ihre Organisation von MITRE-ATT&CK in Security Operations profitieren kann

Vorteile der Verwendung von MITRE ATT&CK

Die Verwendung des MITRE-ATT&CK -Frameworks kann Ihrer Organisation bei folgenden Aufgaben helfen:

Statten Sie Sicherheitsanalysten mit MITRE-ATT&CK Taktiken, Techniken und Verfahren (TTPs) aus, um Security Incidents besser zu analysieren und darauf zu reagieren.
Automatisieren Sie die Incident-Workflows mit dem Playbook zum Erkennen und Eindämmen von Bedrohungen im Kontext des MITRE-ATT&CK -Frameworks.
Priorisieren Sie Indikatoren für Gefährdung und Bedrohungssuche mit Informationen von MITRE-ATT&CK.
Machen Sie sich mit der allgemeinen Sicherheitslage Ihrer Organisation im Kontext des Frameworks MITRE-ATT&CK vertraut.