Dieser Artikel wurde maschinell übersetzt.
Das MITRE ATT&CK Framework ist eine Sammlung von Hacker-Zielen und -Techniken. Die MITRE Corporation hat diese Wissensdatenbank entwickelt und pflegt sie.
Der Name ATT&CK ist ein Akronym, das für "Adversarial Tactics, Techniques, and Common Knowledge" steht.
Lassen Sie uns erklären, was diese Datenbank enthält, und wir werden skizzieren, wie Sie diese Informationen nutzen können, um die Ressourcen Ihres Unternehmens sicher und gesund zu halten.
MITRE ATT&CK Framework Aufschlüsselung
Was wäre, wenn Sie eine ständig aktualisierte Liste aller Dinge hätten, die Ihre Feinde Ihnen antun wollen? Und was wäre, wenn diese Liste auch Informationen darüber enthielte, wie sie Ihnen schaden wollten?
Im Jahr 2013 beschlossen die Verantwortlichen der MITRE Corporation, diese Frage im Rahmen des Forschungsprojekts FMX zu beantworten. Sie sammelten Daten über Angriffe auf Unternehmensnetzwerke und testeten verschiedene Abwehrmechanismen, um zu sehen, ob sie funktionieren. Mit der Zeit wurde die Datenbank so robust und wertvoll, dass das Team beschloss, sein Wissen mit der ganzen Welt zu teilen. Die MITRE ATT&CK-Matrix war geboren.
Informationen innerhalb der Matrix werden im Tabellenformat freigegeben. Mit Links können Sie tiefer in die Forschung eintauchen und regelmäßig vorbeischauen, um zu sehen, wie sich eine Bedrohung im Laufe der Zeit ändert.
Die Matrix ist in zwei entscheidende Bereiche unterteilt.
- Taktik: Warum unternehmen Angreifer einen bestimmten Schritt? Was hoffen sie zu erreichen? MITRE-Beamte nennen diese Motivationsfaktoren "Taktiken".
- Techniken: Was tun Angreifer, um ihre Ziele zu erreichen? Welche konkreten Schritte unternehmen sie? MITRE-Beamte nennen diese Pläne "Techniken".
Das Verständnis der MITRE-Terminologie erfordert Zeit und ein wenig Übung. Aber die Mühe lohnt sich. Da die MITRE ATT&CK-Forschung immer beliebter wird, neigen IT-Experten dazu, die Worte in Gespräche über die Bedrohungen einfließen zu lassen, denen sie ausgesetzt sind. Je mehr Sie über den Fortschritt der Forschung wissen, desto besser können Sie an diesen Gesprächen teilnehmen.
MITRE ATT&CK-Taktiken
Jede Taktik beantwortet die Frage "Warum?" Betrachten Sie sie als die Motivationen, die Angreifer dazu bringen, das zu tun, was sie tun.
Das Team von MITRE hat 14 davon für Personen identifiziert, die in einer Unternehmensumgebung arbeiten. Wir verlinken auf die spezielle MITRE-Seite, die diesem Angriff gewidmet ist, damit Sie sich in die Forschung vertiefen und jede Taktik verstehen können und verstehen, wie sich die Dinge im Laufe der Zeit ändern.
Zu den anerkannten Unternehmenstaktiken gehören:
- Entwicklung von Ressourcen. Ihr Angreifer möchte sicherstellen, dass Angriffe erfolgreich verlaufen. Wenn dem Angreifer viele Tools zur Verfügung stehen, könnte dieser und der nächste Hack noch effektiver sein.
- Aufklärung. Ihr Angreifer möchte entweder passiv oder aktiv Informationen über Sie sammeln, daher ist der Angriff datengesteuert und hat eine höhere Erfolgswahrscheinlichkeit.
- Erster Zugriff. Ihr Angreifer möchte erfolgreich in Ihre Umgebung eindringen und sich einen Zugang verschaffen, der ausgenutzt werden kann, wenn der Angriff weiter vertieft wird.
- Ausführung. Der Angreifer möchte die Kontrolle übernehmen, indem er Code entweder auf einem lokalen System oder einer Remoteversion ausführt.
- Beharrlichkeit. Der Hacker möchte an Ort und Stelle bleiben, auch wenn Sie das System neu starten, Anmeldedaten ändern oder anderweitig versuchen, Ihre Umgebung zu sichern.
- Rechteausweitung. Ihr Hacker möchte mehr tun, als nur ein einfacher Benutzer des Netzwerks zu sein. Der Hacker möchte mehr Privilegien, damit er seine Ziele verfolgen kann.
- Ausweichen der Verteidigung. Der Hacker möchte verborgen bleiben, auch wenn Sie nach einem Eindringling mit Sicherheitssoftware suchen.
- Anmeldedaten access. Der Angreifer möchte Anmeldedaten, einschließlich Benutzernamen und Passwörter, stehlen, die verkauft oder später verwendet werden könnten.
- Erkennung. Ihr Eindringling möchte mehr über Ihr System-Setup und Ihr Netzwerk erfahren, damit der nächste Schritt reibungslos verläuft.
- Seitliche Bewegung. Ihr Hacker möchte in alle Remote-Systeme in Ihrem Netzwerk eindringen und diese steuern.
- Sammlung. Ihr Eindringling möchte noch mehr Informationen über Sie und Ihre Ressourcen sammeln.
- Befehl und Kontrolle. Ihr Angreifer möchte mit Systemen in Ihrem Netzwerk kommunizieren. Vorzugsweise kann die Person auch diese Systeme steuern.
- Exfiltration. Der Hacker will Daten stehlen und die IT aus Ihrem System verdrängen.
- Auswirkungen. Ihr Angreifer möchte Ihre Verfügbarkeit einschränken oder Ihre Prozesse manipulieren.
Wenn Sie in einer mobilen Umgebung arbeiten, sind die Taktiken weitgehend dieselben. Auf dieser Liste erscheinen jedoch zwei neue Taktiken , die nicht auf Unternehmenssituationen anwendbar sind. Sie sind:
- Netzwerk-Effekt. Ihr Gegner möchte den Datenverkehr, der zu einem Gerät geht oder von diesem ausgeht, abfangen oder manipulieren.
- Auswirkungen von Remote-Diensten. Ein Hacker versucht, ein Gerät mit Remote-Diensten entweder zu steuern oder zu überwachen.
Stellen Sie sich diese Taktiken als eine Hacker-Wunschliste vor. Befolgen Sie sie der Reihe nach, und Sie werden verstehen, was jemand tun möchte, wenn er Ihre Umgebung betritt, und wie jeder Schritt auf den letzten folgt. Vielleicht beginnen Sie zu verstehen, warum es so wichtig ist, einen Angriff in der Anfangsphase zu stoppen.
MITRE ATT&CK Techniken
Welche Schritte muss Ihr Angreifer unternehmen, um die Hacking-Ziele zu erreichen? Diese Aktionen sind Techniken.
In der MITRE ATT&CK-Matrix werden Techniken nach der gleichen Methodik gruppiert, die auch für Taktiken gilt. Das bedeutet, dass es zwei Gruppen gibt: eine für Unternehmensumgebungen und eine für mobile Umgebungen.
Wenn Sie sich diese Daten genauer ansehen, werden Sie verstehen, was Ihr Angreifer vorhat, zusammen mit den Tools und Technologien, die für die Erledigung der Arbeit erforderlich sind.
3 Möglichkeiten zur Verwendung der MITRE ATT&CK-Matrix
Es erwarten Sie viele Daten, wenn Sie sich für die MITRE-Website entscheiden. Und die Informationen ändern sich regelmäßig, so dass Sie regelmäßig vorbeischauen müssen, um zu verstehen, wie Hacker ihre Arbeit ändern.
Warum sollten Sie sich den Ärger machen? Sie können die Daten für Folgendes verwenden:
- Auswerten. Wie gut würden Ihre Tools einem prominenten Hacker-Ansatz standhalten? Passieren neue Dinge, die Sie nie geplant haben?
- Priorisieren Sie. Jedes Sicherheitssystem könnte ein wenig verbessert werden. Wo sollten Sie anfangen? Wenn Sie die aktuelle Situation verstehen, können Sie die größten Schwachstellen erkennen, die Sie beheben müssen.
- tracken. Wie verändert sich die Sicherheitslandschaft? Was machen Ihre bekannten Gegner? Sie können diese Daten in der Datenbank überwachen.
Im Allgemeinen hilft das MITRE-Team beim Austausch von Bedrohungsinformationen und Zusammenfassungen, damit Sie Ihre Arbeit noch besser erledigen können. Es lohnt sich, von Zeit zu Zeit in die Matrix einzudringen, damit Sie genau wissen, was als nächstes zu tun ist, um Eindringlingen einen Schritt voraus zu sein.
Suchen Sie nach noch mehr Informationen über aktuelle Bedrohungen? Wir haben ein Webinar zum Thema Echtzeit-Sicherheitsinformationen , das Ihre Zeit wert ist. Probieren Sie es aus.
Referenzen
Häufig gestellte Fragen. Die MITRE Corporation.
Aufklärung. Die MITRE Corporation.
Erschließung von Ressourcen. Die MITRE Corporation.
Erster Zugriff. Die MITRE Corporation.
Ausführung. Die MITRE Corporation.
Beharrlichkeit. Die MITRE Corporation.
Rechteausweitung. Die MITRE Corporation.
Umgehung der Verteidigung. Die MITRE Corporation.
Anmeldedaten Access. Die MITRE Corporation.
Erkennung. Die MITRE Corporation.
Seitwärtsbewegung. Die MITRE Corporation.
Sammlung. Die MITRE Corporation.
Befehl und Kontrolle. Die MITRE Corporation.
Exfiltration. Die MITRE Corporation.
Auswirkungen. Die MITRE Corporation.
Mobile Taktiken. Die MITRE Corporation.
Enterprise Techniken. Die MITRE Corporation.
Mobile Techniken. Die MITRE Corporation.
