Mitre Att&ck: was es ist und warum es für Unternehmen nützlich ist
Wenn es um Systeme und Abwehrmechanismen für Unternehmensinfrastrukturen geht, kann man nicht von einer universellen Lösung sprechen: Für jede Angriffsmethode ist es notwendig, unterschiedliche, angemessene und maßgeschneiderte Antworten zu implementieren, die auf den Verhaltensweisen und Techniken abgestimmt sind, die Cyber-Kriminelle wählen, um ihren Angriff durchzuführen. Aus diesem Grund war ein entscheidender Faktor in der Informationssicherheit immer das detaillierte Wissen über die Bedrohung, ihre Entwicklung, bevorzugte Methoden und gewählte Tools. Mitre Att&ck wurde geschaffen, um diesem Bedürfnis gerecht zu werden und es der gesamten Cyber-Community zu ermöglichen, die am besten geeigneten und zeitnahen individuellen Antworten zu implementieren.
Was ist Mitre Att&ck
Mitre Att&ck ist eine Wissensdatenbank, die eine Reihe von Informationen zu den Techniken, Taktiken und Verfahren enthält, die von Hackern und Cyber-Kriminellen Organisationen verwendet werden. Die im Mitre Att&ck enthaltenen Informationen werden von der Informationssicherheitsgemeinschaft gesammelt und dokumentieren das Verhalten der Angreifer und ihre Interaktionsweise mit den Elementen des ins Visier genommenen Computersystems.
Das Tool wurde von der Mitre Corporation, einem gemeinnützigen amerikanischen Verband, vorgestellt, der das Ziel hat, Regierungsbehörden in verschiedenen Bereichen, einschließlich der Informationssicherheit, zu unterstützen. Der Name des Tools, Att&ck, steht für Adversarial Tactics, Techniques & Common Knowledge.
Das Framework ermöglicht es daher, die von Hackern verwendeten Techniken präzise zu identifizieren, indem sie in leicht zugängliche Matrizen eingefügt werden..
Mitre Att&ck besteht aus drei Elementen:
- Taktiken: Die taktischen Ziele des Angreifers werden beschrieben, zum Beispiel der Zugang zu Anmeldedaten;
- Techniken: Die Methoden, die der Angreifer verwendet, um die oben definierten Ziele zu erreichen, wie brute-force-Angriffe, werden beschrieben;
- Untertechniken: Spezifische Aktionen, die von Hackern ausgeführt werden, um die Ziele zu erreichen, werden beschrieben.
Mitre Att&ck ermöglicht nicht nur die Einführung eines auf Verhalten basierenden Verteidigungsmodells, sondern bietet vor allem ein nützliches Tool, um die beste Art der Antwort zu definieren.
Die Matrix der Informationssicherheitsbedrohungen
Um das Verhältnis zwischen Taktiken und Techniken darzustellen und die beste Darstellung und Verständnis der gesammelten Informationen zu ermöglichen, verwendet Mitre Att&ck die Matrix der Informationssicherheitsbedrohungen. Insbesondere hat Mitre das Framework in vier Hauptmatrizen unterteilt, die sich darauf konzentrieren, wie der Angreifer „interagiert“ mit den Systemen der Zielorganisation:
- Die Pre-Att&ck-Matrix bringt alle Aktivitäten zusammen, die Hacker und Cyber-Kriminelle-Organisationen vor dem direkten Angriff auf ein Ziel, ein System oder ein Netzwerk unternehmen. Es bezieht sich daher auf die Phase der Informationsbeschaffung und der Vorbereitung des Angriffs;
- Die Enterprise-Matrix konzentriert sich auf die Angriffsphase, von dem initialen Zugang bis zur Exfiltration und Auswirkung, durch die Ausführung. Die Enterprise-Matrix ist wiederum in Unter-Matrizen unterteilt, basierend auf den verschiedenen Plattformen, auf denen Angreifer Taktiken und Techniken anwenden können: von Windows über Linux bis MacOS und die Cloud-Welt mit AWS, GCP, Office365, SaaS-Plattform;
- Die Mobile-Matrix bringt Taktiken und Techniken zusammen, die auf mobile Geräte, Android- und iOS-Plattformen angewendet werden können;
- Die Industrial Control System (ICS) Matrix bringt Taktiken und Techniken zusammen, die von Angreifern in Operational Technologies-Umgebungen verwendet werden. Die Matrix bezieht sich daher auf den industriellen Bereich, der spezifische Architekturen und Probleme hat.
Warum Mitre Att&ck für Unternehmen nützlich ist
Mitre Att&ck kann in verschiedenen Situationen nützlich sein für Unternehmen und Unternehmen sowie für Sicherheitsprofis, die sich mit dem Schutz der Unternehmens-IT-Infrastruktur vor Angriffen befassen. Jede Verteidigungsmaßnahme kann die im Mitre Att&ck enthaltenen Informationen nutzen, um das Verhalten und die Entscheidungen der Angreifer zu verstehen, insbesondere:
- Das Framework kann verwendet werden, um Red Teaming-Pläne zu entwerfen, um Operationen zu organisieren, die defensive Maßnahmen vermeiden könnten, die in einem Netzwerk implementiert sein könnten;
- Att&ck ist sehr nützlich bei der Erstellung von Angriffssimulationsszenarien, um die in einem Unternehmen vorhandenen Abwehrmaßnahmen zu testen;
- Die Matrizen können als verhaltensorientierte Modelle verwendet werden, um Tools und die Überwachung der bestehenden Verteidigungen innerhalb des Unternehmens zu bewerten;
- Att&ck kann auch verwendet werden, um die Wirksamkeit eines Security Operation Centers bei der Erkennung, Analyse und Reaktion auf Angriffe zu bestimmen.
Die ACS-Lösung: Managed Detection & Response
Gerade wegen der Bedeutung, die die Verhaltensanalyse zur Verteidigung der unternehmerischen IT-Infrastrukturen hat, haben wir von ACS eine maßgeschneiderte Lösung für Unternehmen entwickelt. Der Managed Detection and Response bietet eine kontinuierliche Verhaltensanalyse aller unternehmenseigenen Endpunkte durch die Professionalität eines Expertenteams für Sicherheit und modernste Technologien. Die von uns bei ACS entwickelte Lösung ermöglicht es, externe Bedrohungen schnell zu blockieren, indem sie die schnellste, zuverlässigste und effektivste Sicherheitsantwort findet. Der Managed Detection & Response vereint die Kompetenzen des ACS Cyber-Security-Teams mit einem hochmodernen EDR-Produkt, das von einem zentralen Kontrollpanel verwaltet wird, das die Überwachung der mit dem Unternehmensnetzwerk verbundenen Endpunkte ermöglicht. Die Nutzung ist einfach: Nach der Installation erkennt die Software die Aktivitäten der Endpunkte und basiert auf Verhaltensanalyse-Algorithmen und den Matrizen von Mitre Att&ck, blockiert anomale Ereignisse und meldet sie den Experten. Das ACS-Team klassifiziert dann die gemeldeten Ereignisse nach ihrer Gefährlichkeit und plant die besten Antworten.
Reaktiver als klassische Antivirenprogramme analysiert ACS.Managed Detection & Response die Prozesse, den Datenverkehr und die Anwendungen, die alle Endpunkte betreffen, und garantiert maximale, effektive und zeitnahe Sicherheit.