MITRE-ATT&CK Framework-Übersicht

Sicherheitsmanagement Zürich

Release

zurich

ft:locale

de-DE

ft:publication_title

Sicherheitsmanagement Zürich

ft:clusterId

security

bundleId

security

workflow

Technology

MITRE-ATT&CK Framework-Übersicht

Freigeben Version: Zurich

Aktualisiert 31. Juli 2025

3 Minuten Lesedauer

Die MITRE-ATT&CK Framework ist eine Knowledge Base mit allgemeinen Taktiken, Techniken und Verfahren (TTP), auf die Ihre Organisation zugreifen kann, um spezifische Bedrohungsmodelle und -Methoden gegen Cyberangriffe zu entwickeln.

Übersicht

Die MITRE Das Framework für Angreifertaktiken, Techniken und Common Knowledge (ATT&CK) dokumentiert und verfolgt verschiedene Angreifertechniken, die in verschiedenen Phasen eines Cyberangriffs verwendet werden.

Mithilfe von MITRE-ATT&CK Die Knowledge Base des Frameworks, die Community für Cyberbedrohungsinformationen, kann Bedrohungen schnell identifizieren und Antworten auf Cyberangriffe koordinieren.

MITRE-ATT&CK Und Security Operations

Im folgenden Diagramm finden Sie Informationen dazu MITRE-ATT&CK Informations-Flows mit Security Operations Anwendungen.

Funktionsweise VON MITRE ATT&CK mit Security Operations-Anwendungen.

Die zugehörigen Listen namens Vorab geladen TAXII Client Stellt eine Verbindung mit her TAXII Server zum Erfassen von Datensammlungen Bis Threat Intelligence.
Vorhanden SIEM-Integrationen (Security Information and Event Manager) Erfassen Sie ihre Bedrohungsdaten (Warnungen und Ereignisse) mit relevanten TTPs und sind Ist Security Incidents zugeordnet .
Wenn IOC ist einem Security Incident zugeordnet , Threat Intelligence Sucht automatisch Bedrohungsfeeds nach relevanten Informationen und sendet IoCs an Drittparteiquellen wie EDR, Sandbox oder TIP zur zusätzlichen Analyse.
Wenn eine Drittparteiquelle enthält MITRE-ATT&CK Dann Informationen Threat Intelligence Extrahiert die Technikinformationen Und reichert die Daten in an Threat Intelligence Repository für Korrelation und Analyse.
MITRE-ATT&CK Gibt auch frei CVE-Kontextinformationen Für jede Technik. Ihr Sicherheitsteam kann die ausgenutzten Techniken in überprüfen Vulnerability Response Um festzustellen, ob Ihre geschäftskritischen Assets bedroht sind.

MITRE-ATT&CK Matrizen, Taktiken und Techniken

Der Kern von MITRE-ATT&CK Framework ist eine Matrix von Angreifertaktiken und -Techniken. Die Sequenz der Taktiken stellt dar, was ein Angreifer in der Phase eines Incident zu erreichen versucht. Wenn Ihr Sicherheitsteam diese Sequenz versteht, haben Sie die Möglichkeit, den nächsten Schritt eines Angreifers zu antizipieren und die Kill Chain zu durchbrechen. ATT&CK besteht aus den folgenden Matrizen:

Enterprise ATT&CK: Beschreibt das Verhalten und die Aktionen, die ein Angreifer ergreift, um in einem Unternehmensnetzwerk und einer Cloud zu kompromittieren und zu arbeiten.
Hinweis:
Die Matrix vor ATT&CK wurde von veraltet MITRE Und wird mit der Enterprise-Matrix zusammengeführt.
ICs ATT&CK: Beschreibt die Aktionen, die ein Angreifer beim Betrieb in einem ICs-Netzwerk (Industrial Control Systems) ausführt.
Mobile ATT&CK: Beschreibt das Verhalten und die Aktionen von Angreifern, die sich auf Mobilgeräte konzentrieren.

Taktiken stellen den Grund für eine ATT&CK-Technik dar. Dies ist das taktische Ziel des Angreifers zum Ausführen einer Aktion.

Techniken stellen dar, wie ein Angreifer durch die Ausführung einer Aktion ein taktisches Ziel erreicht.

Techniken können mehreren Taktiken zugeordnet sein. Beispielsweise wird die Manipulation von Zugriffstoken von einem Angreifer verwendet, um entweder die Taktik der Berechtigungseskalation oder der Abwehrumgehung zu erreichen.

Verwendung eines absichtsbasierten Ansatzes für Incident-Antworten

Eine absichtsbasierte Antwort verwendet ein dynamisches und kontextbezogenes Kill Chain-Framework, das Ihrer Organisation helfen kann, Security Incidents zu korrelieren und einen großen Umfang von Angriffen zu identifizieren. Ihr Sicherheitsteam kann eine absichtsbasierte Antwort verwenden, um zu verstehen, wie die Organisation angegriffen wird und was der Angreifer als Nächstes tun könnte. Mit dieser Art von Antwort können Sie das Verhalten eines Angreifers vorhersagen, damit Sie Ihre Ressourcen effektiv fokussieren können.

Verwenden Security Incident Response, Ihr Sicherheitsteam kann den Lebenszyklus jedes Security Incidents von der Analyse bis zur Eindämmung verwalten, indem Sie sich auf Indikatoren für Kompromittierung (IOCs) wie IP-Adressen, Datei-Hashes und Domänen konzentrieren.

Durch Integration Security Incident Response Mit MITRE-ATT&CK Framework, Security Incidents werden bei einem größeren unternehmensweiten Angriff als Links behandelt.

Wie Ihre Organisation davon profitieren kann MITRE-ATT&CK In Security Operations

Vorteile der Verwendung von MITRE ATT&CK

Mit MITRE-ATT&CK Framework kann Ihrer Organisation bei Folgendem helfen:

Statten Sie Sicherheitsanalysten mit aus MITRE-ATT&CK Taktiken, Techniken und Verfahren (TTPs), um Security Incidents besser zu analysieren und darauf zu reagieren.
Automatisieren Sie die Incident-Workflows mithilfe des Playbooks, um Bedrohungen im Kontext von zu erkennen und einzudämmen MITRE-ATT&CK Framework.
Priorisieren Sie Indikatoren für Kompromittierung und Bedrohungssuche mit MITRE-ATT&CK Informationen.
Machen Sie sich mit der allgemeinen Sicherheitslage Ihrer Organisation im Kontext von vertraut MITRE-ATT&CK Framework.