MITRE-ATT&CK -Framework – Übersicht

Freigeben Version: Xanadu

Aktualisiert 1. August 2024

3 Minuten Lesedauer

Das -Framework MITRE-ATT&CK ist eine Knowledge Base mit allgemeinen Taktiken, Techniken und Verfahren (TTP), auf die Ihr Unternehmen zugreifen kann, um spezifische Bedrohungsmodelle und Methoden gegen Cyberangriffe zu entwickeln.

Übersicht

Das MITRE Adversarial Taktics, Techniques, and Common Knowledge (ATT&CK)-Framework dokumentiert und verfolgt verschiedene Angreifertechniken, die während verschiedener Phasen eines Cyberangriffs verwendet werden.

Mithilfe der Knowledge Base des -Frameworks MITRE-ATT&CK kann die Cyberthreat Intelligence-Community Bedrohungen schnell identifizieren und Antworten auf Cyberangriffe koordinieren.

MITRE-ATT&CK und Security Operations

Im folgenden Diagramm können Sie sehen, wie die Informationen von Security Operations mit den Anwendungen MITRE-ATT&CK fließen.

Funktionsweise von MITRE ATT&CK mit Security Operations-Anwendungen.

Die zugehörigen Listen namens vorab geladen TAXII Client stellt eine Verbindung zum Server TAXII her, um die Datensammlungen in Threat Intelligencezu erfassen.
Vorhandene SIEM-Integrationen (Security Information and Event Manager) erfassen ihre Bedrohungsdaten (Warnungen und Ereignisse) mit relevanten TTPs und sind Security Incidents zugeordnet.
Wenn ein IoC mit einem Security Incident verknüpft ist,durchsucht Threat Intelligence Bedrohungs-Feeds automatisch nach relevanten Informationen und sendet IoCs zur zusätzlichen Analyse an Drittparteiquellen wie EDR, Sandbox oder TIP.
Wenn eine Drittanbieterquelle die Informationen MITRE-ATT&CK enthält, dann Threat Intelligence extrahiert die Technikinformationen und bereichert die Daten im Repository Threat Intelligence für Korrelationen und Analysen.
MITRE-ATT&CK stellt auch CVE-Kontextinformationen für die einzelnen Techniken bereit. Ihr Sicherheitsteam kann die in Vulnerability Response verwendeten Techniken überprüfen, um festzustellen, ob Ihre geschäftskritischen Assets Bedrohungen ausgesetzt sind.

MITRE-ATT&CK Matrizen, Taktiken und Techniken

Der Kern des MITRE-ATT&CK -Frameworks ist eine Matrix aus Angreifertaktiken und -techniken. Die Reihenfolge der Taktiken gibt an, was ein Angreifer in der Phase eines incident zu erreichen versucht. Wenn Ihr Sicherheitsteam diese Sequenz versteht, können Sie den nächsten Schritt des Angreifers vorhersehen und die Kill Chain durchbrechen. ATT&CK besteht aus den folgenden Matrizen:

Enterprise ATT&CK: Beschreibt die Verhaltensweisen und Aktionen eines Angreifers, um ein Unternehmensnetzwerk und eine Cloud zu kompromittieren und zu agieren.
Hinweis:
Die Pre-ATT&CK-Matrix wurde von MITRE als veraltet markiert und wird mit der Enterprise-Matrix zusammengeführt.
ICS ATT&CK: Beschreibt die Aktionen, die ein Angreifer während des Betriebs in einem ICS-Netzwerk (Industrial Control Systems) ausführt.
Mobile ATT&CK: Beschreibt die Verhaltensweisen und Aktionen des Angreifers, die sich auf Mobilgeräte konzentrieren.

Taktiken stellen das Warum einer ATT&CK-Technik dar. Es handelt sich um das Taktikziel des Angreifers für die Durchführung einer Aktion.

Techniken stellen dar, wie ein Angreifer ein strategisches Ziel erreicht, indem er eine Aktion ausführt.

Techniken können mit mehr als einer Taktik verknüpft sein. Beispielsweise wird die Manipulation von Zugriffstoken von einem Angreifer verwendet, um entweder die Taktik der Berechtigungseskalation oder der Umgehung der Verteidigung zu implementieren.

Verwendung eines absichtsbasierten Ansatzes für die Reaktion auf Incidents

Eine auf Absichten basierende Reaktion verwendet ein dynamisches und kontextbezogenes Kill Chain-Framework, das Ihrem Unternehmen helfen kann, Security Incidents zu korrelieren und eine Vielzahl von Angriffen zu identifizieren. Ihr Sicherheitsteam kann eine absichtsbasierte Reaktion verwenden, um zu verstehen, wie das Unternehmen angegriffen wird und was der Angreifer als Nächstes tun könnte. Mit dieser Art von Reaktion können Sie das Verhalten eines Angreifers vorhersagen, um Ihre Ressourcen effektiv zu konzentrieren.

Mit Security Incident Responsekann Ihr Sicherheitsteam den Lebenszyklus jedes Security Incidents von der Analyse bis zur Eindämmung verwalten, indem es sich auf Kompromittierungsindikatoren (IoCs) wie IP-Adressen, Datei-Hashes und Domänen konzentriert.

Durch die Integration von Security Incident Response in das MITRE-ATT&CK -Framework werden Security Incidents als Links in einem größeren unternehmensweiten Angriff behandelt.

Wie Ihre Organisation von MITRE-ATT&CK in Security Operations profitieren kann

Vorteile der Verwendung von MITRE ATT&CK

Das MITRE-ATT&CK -Framework kann Ihre Organisation bei folgenden Aufgaben unterstützen:

statten Sie Sicherheitsanalysten mit MITRE-ATT&CK Taktiken, Techniken und Verfahren (TTPs) aus, um Security Incidents besser analysieren und besser darauf reagieren zu können.
Automatisieren Sie die Incident-Workflows mit dem Playbook zum Erkennen und Eindämmen von Bedrohungen im Kontext des MITRE-ATT&CK -Frameworks.
Priorisieren Sie Indikatoren für Kompromittierung und Bedrohungssuche mit Informationen MITRE-ATT&CK.
Machen Sie sich mit der allgemeinen Sicherheitslage Ihrer Organisation im Kontext des MITRE-ATT&CK -Frameworks vertraut.