ATT&CK
Wissensdatenbank zur IT-Sicherheit
From Wikipedia, the free encyclopedia
ATT&CK oder MITRE ATT&CK ist eine Wissensdatenbank der MITRE Corporation zur Klassifizierung und Beschreibung von Cyberbedrohungen. ATT&CK steht dabei für Adversarial Tactics, Techniques, and Common Knowledge, übersetzt Taktiken, Techniken und allgemeines Wissen zu Angriffen und ist eine Ableitung des englischsprachigen Kürzels TTP (Tactics, Techniques & Procedures), der das Verhalten von Cyberangreifern beschreibt, die durch das ATT&CK-Framework gesammelt werden.[1]
ATT&CK beschreibt die bei einem Cyberangriff benutzten „Techniken“ (z. B. Phishing oder Exploits) und „Subtechniken“ und unterteilt diese in verschiedene „Taktiken“ (ähnlich der Phasen in einer Cyber Kill Chain). Das Framework dokumentiert dabei auch bereits konkrete, durch Advanced Persistent Threats (APT) oder sonstigen Angreifern verwendete, Angriffsprozeduren sowie mögliche Mitigationen gegen die einzelnen Angriffstechniken. Das ATT&CK-Famework kann dadurch zur Erkennung von Cyberangriffen, zur Beschreibung und Analyse von Cyberbedrohungen, zur Emulierung von entsprechenden Bedrohungen durch Red Teams, zur Evaluierung von Sicherheitsmaßnahmen im IT-Umfeld oder für die Beurteilung der Reaktionsfähigkeit eines Security Operation Center (SOC) auf verschiedene Bedrohungen verwendet werden.[2]
Geschichte
Seine Ursprünge hatte ATT&CK im 2010 gegründeten FMX-Forschungsumgebung von MITRE, mit der Forscher Methoden entwickeln konnten, um Bedrohungen besser zu erkennen. Dabei begann MITRE auch Methoden zu entwickeln, um APTs schneller zu erkennen. Um dieses Ziel zu erreichen, kategorisierte MITRE die beobachteten Angriffsmethoden der APT in verschiedene Kategorien und daraus entstand im September 2013 das erste ATT&CK-Framework, dass damals noch auf Windows-Umgebungen im Unternehmensumfeld fokussiert war. Im Mai 2015 wurde die erste Variante des Models mit 96 verschiedenen Techniken, die in neun Phasen eingeteilt waren, schließlich veröffentlicht. 2017 wurde das Model auf Mac und Linux ausgeweitet und wurde von nun an ATT&CK for Enterprise genannt, während im selben Jahr mit ATT&CK for Mobile auch ein Modell für mobile Endgeräte veröffentlicht wurde. 2019 wurde das Enterprise-Modell um Cloud-Methoden erweitert und 2020 erschien mit ATT&CK for ICS ein Modell für Industriesysteme.[3] Seit 2021 werden auch Container von ATT&CK erfasst.[4]
Taktiken in der ATT&CK Matrix for Enterprise
Das MITRE ATT&CK-Framework im Enterprise-Umfeld wird üblicherweise in einer Matrix dargestellt und unterteilt sich in 14 verschiedene Taktiken (Stand: Januar 2025[5]) und den darin enthaltenen Techniken, geordnet nach ihrer typischen Anwendung im zeitlichen Ablauf einer Cyberattacke:
| Taktik | Beschreibung | Anzahl Techniken (ohne Subtechniken) |
|---|---|---|
| Reconnaissance | Informationsgewinnung über das Angriffsziel | 10 |
| Resource Development | Ausfindig machen und Entwicklung von Angriffstools/-ressourcen | 8 |
| Initial Access | Erstmaliger Zugriff auf das Zielsystem oder Netzwerk | 10 |
| Execution | Ausführen von eigenem Code auf einem angegriffenen System | 14 |
| Persistence | Dauerhaftes Etablieren auf einem infizierten System, um beispielsweise einen Systemneustart zu überstehen | 20 |
| Privilege Escalation | Rechteausweitung auf dem infizierten System (z. B. vom User zum Administrator) | 14 |
| Defense Evasion | Ausschalten oder Umgehung von Verteidigungsmaßnahmen | 44 |
| Credential Access | Sammeln von Anmeldeinformationen | 17 |
| Discovery | Ausfindigmachen von weiteren Ressourcen und Hosts im angegriffenen Netzwerk | 32 |
| Lateral Movement | Bewegen innerhalb des angegriffenen Netzwerks | 9 |
| Collection | Datensammlung auf den infizierten Systemen | 17 |
| Command and Control | Kommunikation mit infizierten Systemen und Kontrolle durch den Angreifer | 18 |
| Exfiltration | Exfiltration der gesammelten Daten | 9 |
| Impact | Auswirkungen des Angriffes auf das Zielsystem (z. B. Verschlüsselung aller Daten oder Defacement einer Website) | 14 |
Einsatz und Rezeption
ATT&CK wird von Microsoft in sein Sicherheitsprodukt Sentinel integriert.[6] Außerdem integrieren u. a. IBM und Cisco Systems Attack in ihre Produkte.[7][8] Laut Heise ist das ATT&CK-Framework „ein in Security-Kreisen bekanntes und bewährtes Werkzeug zum einheitlichen Klassifizieren von Angriffsstrategien“.[9] Die Computerwoche schrieb: „Das MITRE ATT&CK Framework entwickelt sich zum De-facto-Standard für vorausschauende IT-Sicherheit in Unternehmen.“[10]
MITRE D3FEND
Neben dem ATT&CK gibt es von MITRE auch noch ein D3FEND-Framework, dass sich im gleichen Stil wie das ATT&CK-Framework auf die Verteidigungsmethoden gegen Cyberangriffe konzentriert. Dieses ist mit den jeweiligen Angriffsmethoden aus dem ATT&CK-Framework verknüpft.[11] D3FEND wurde am 20. Juni 2021 erstmals in einer Beta-Version veröffentlicht[12] und erreichte am 20. Dezember 2024 schließlich die Version 1.0.[13]
Weblinks
- Offizielle Website von MITRE ATT&CK (englisch)