Auf bekannte Cyber-Angriffe schnell reagieren und das Unternehmen vor größerem Schaden schützen. Dabei hilft das MITRE ATT&CK Framework.
MITRE ist ein gemeinnütziges Unternehmen, welches das MITRE ATT&CK Framework entwickelt hat. Das Framework dient dazu, Lücken in der Abwehr von bekannten Angriffsmustern zu erkennen. Es basiert auf dem Model der Cyber Kill Chain. Dieses Konzept wurde von dem Unternehmen Lockheed Martin entwickelt. Durch die Cyber Kill Chain lässt sich ein Angriff in sieben Phasen unterteilen. In jeder diese Phasen verfolgt der Angreifer ein unterschiedliches Ziel. Ich blende die Cyber Kill Chain hier im Bild ein.
In der ersten Phase der Cyber Kill Chain versucht der Angreifer alle öffentlich verfügbaren Informationen über sein Opfer zu sammeln. Hierzu zählen E-Mail-Adressen, Telefonnummern und öffentliche Server und verfügbare Dienste. Nachdem diese Informationen vorhanden sind, sucht sich der Angreifer eine Schwachstelle, die er nutzen kann, um in die IT-Systeme des Opfers zu gelangen.
Er beginnt einen sogenannten Exploit zu entwickeln. Diesen Exploit verwendet der Angreifer, um ihn in der Phase „Delivery“ an das Opfer zu senden. Das Opfer erhält den Exploit beispielsweise durch eine E-Mail oder durch eine Webseite, die es besucht. Nachdem der Angreifer das Opfer dazu ermutigt hat, den Exploit zu starten, nutzt der Exploit die zuvor festgestellten Schwachstellen, um sich einen Zugang zum System des Opfers zu verschaffen. Der Exploit beginnt mit der Installation weiterer Tools und beginnt mit dem Aufbau eines „Command and Control“ Kanals. Dieser Kanal ermöglicht es dem Angreifer eine dauerhafte Verbindung zur IT des Opfers aufrecht zu halten und diese zu steuern. Der Angreifer kann nun aktiv die IT-Infrastruktur seines Opfers durchsuchen und an Daten des Opfers kommen. Diese Daten kann er nun auf einem geeigneten Weg aus der IT-Umgebung des Opfers extrahieren.
Nachdem wir nun wissen, was die Cyber Kill Chain ist, kennen wir die Basis der MITRE ATT&CK Matrix. Einen Ausschnitt dieser Matrix blende ich hier ein.
Diese Spalten dieser Matrix stellen hierbei die einzelnen Phasen der Cyber Kill Chain dar. Jede Zelle einer Spalte entspricht einer Angriffstechnik, die in der entsprechenden Phase beobachtet wurde. Diese Matrix wird permanent erweitert und verfügt über mehr als Einhundert Techniken und Subtechniken, die bei Cyberangriffen beobachtet wurden.
ATT&CK ist ein Framework, welches ständig erweitert wird. So gibt es die Matrix der Angriffstechniken speziell für die jeweiligen Umgebungen und Betriebssysteme. Es existieren ebenfalls Angriffstechniken für mobile Geräte und für Cloud-Umgebungen.
Das ursprüngliche ATT&CK Framework hat die ersten Phasen der Cyber Kill Chain nicht mit abgebildet. Diese wurde allerdings mit dem Pre-ATT&CK Framework nachgeholt. Dies umfasst Techniken, die der Angreifer nutzt, um einen Cyber-Angriff vorzubereiten. Dies ist von Interesse, wenn man sich dafür interessiert, bevor der Angreifer durch Techniken der MITRE ATT&CK Matrix erkannt werden kann.
Fassen wir das Ganze noch einmal zusammen. Das MITRE ATT&CK Framework ist eine Sammlung von Techniken, die bei Cyber-Angriffen beobachtet wurden und die sich bestimmten Phasen der Cyber Kill Chain zuordnen lassen.
Auf bekannte Cyber-Angriffe schnell reagieren und das Unternehmen vor größerem Schaden schützen. Dabei hilft das MITRE ATT&CK Framework. Was das ist, erkläre ich in diesem Video.
Ich möchte hier noch einmal deutlich sagen, dass ATT&CK nur dafür geeignet ist bekannte Angriffsmuster zu entdecken. Diese sollte daher die Basis einer guten IT-Security Strategie darstellen. Angriffsmuster, die unbekannt sind, kann man dadurch nicht erkennen. Das Ziel sollte es aber sein, durch die Überwachung der IT-Infrastruktur im Unternehmen an so vielen Stellen wie möglich Stolperdrähte aufzustellen. Ein unbekannter Cyber-Angriff mag vielleicht einige der Stolperdrähte umgehen, aber mit großer Wahrscheinlichkeit nicht alle, wenn das Security Monitoring richtig implementiert wurde. Zu Security Monitoring verlinke ich hier oben ein anderes Video. Security Monitoring, was ist das?
Wie geht es nun weiter? Nachdem wir nun wissen, was die MITRE ATT&CK Matrix ist, müssen wir diese auch auf geeignete Weise in unserem Unternehmen zur Erkennung von Cyber-Angriffen einsetzen. Eine Möglichkeit der Umsetzung sind SIEM Use Cases.
Unter einem SIEM Use Case verstehen wir ein bestimmtes Szenario, welches wir mit einem SIEM beobachten wollen. Das Szenario beschreibt hierbei ein ungewöhnliches oder auffälliges Verhalten, welches näher analysiert werden sollte, sobald es auftritt. Tritt ein solches Szenario auf, so wird ein Alarm erzeugt, der analysiert werden sollte. Ein Beispiel wäre hier das Hinzufügen von neuen Benutzern in eine Admin-Gruppe oder die Verwendung eines Ports, der nicht durch einen Business Service benutzt wird. Solche Aktivitäten sind ungewöhnlich und sollten fast nie auftreten. Wenn sie dennoch vorkommen, dann muss hier geprüft werden, ob eine legitime Handlung vorliegt, oder ob es Hinweise auf einem Cyber-Angriff gibt.
Als nächstes stellt sich die Frage, welche SIEM Use Cases brauchen wir in unserem Unternehmen? Es existiert eine große Auswahl an öffentlich verfügbaren SIEM Use Cases, die wir aus der MITRE ATT&CK Matrix ableiten können.
Alle verfügbaren SIEM Use Cases zu implementieren macht keinen Sinn, da diese einfach nicht wirtschaftlich wäre. Man würde auch gar nicht die notwendigen Ressourcen bekommen, um diese Aufwände handhaben zu können. Wenn man also nicht alle SIEM Use Cases einführen kann, muss man einen Weg finden, die wichtigsten SIEM Use Cases für das Unternehmen zu finden. Hierfür gibt es mehrere Möglichkeiten. Eine Möglichkeit ist risikobasiert vorzugehen. Das IT-Risikomanagement analysiert die Angriffsvektoren, denen das Unternehmen ausgesetzt ist. Aus dieser Analyse ergeben sich Gefahren und das Schadenspotenzial, welches beim Eintreten der Gefahren entsteht. Daraus leitet sich das zu erwartende Risiko für das jeweils identifizierte Angriffsszenario ab.
Auf Basis der identifizierten Risiken können nun die SIEM Use Cases ausgewählt werden. Die SIEM Use Cases orientieren sich dabei an den größten Risiken. Also den Risiken, welche den größten Schaden verursachen und gleichzeitig auch die größte Wahrscheinlichkeit haben, dass sie eintreten.
Mit dieser Vorgehensweise wählt man die SIEM Use Cases, die am meisten zur Reduktion der Risiken beitragen. Durch dieses Vorgehen fällt es auch leichter die Aufwände für die Umsetzung von SIEM Use Cases zu rechtfertigen, denn man kann zeigen, dass die Maßnahmen direkt zur Reduktion von Risiken beitragen.
Wie geht es jetzt weiter? Nachdem wir wissen, welche SIEM Use Cases Sinn machen und diese Implementiert haben, müssen die Use Cases getunt werden. Das bedeutet, dass Fehlalarme, soweit es geht, reduziert werden. Fehlalarme treten auf, wenn Use Cases Alarme produzieren, es aber gar kein Sicherheitskritisches Ereignis vorliegt. Diese Fehlalarme sind teuer. Warum? Ganz einfach, die Security Analysten wissen vor der Analyse eines Alarms nicht, ob es sich um einen echten Sicherheitsvorfall oder nur um einen Fehlalarm handelt. Daher steigt durch Fehlalarme die Menge an Alarmen, die durch Security Analysten zu bearbeiten sind. Die Bearbeitung und Analyse kostet Zeit und bindet somit wertvolle Ressource, die eh schon zu knapp vorhanden sind. Außerdem erhöhen Fehlalarme auch das Sicherheitsrisiko. Durch ein großes Volumen an Fehlalarmen steigt die Wahrscheinlichkeit, dass echte Sicherheitsvorfälle nicht oder erst verspätet bearbeitet werden.
Daher ist es wichtig die SIEM Use Cases ausreichend zu testen und kontinuierlich zu verbessern und die Quote der Fehlalarme zu reduzieren. Hierfür gibt es keine allgemeine Formel. Jeder SIEM Use Case muss an die IT-Umgebung des Unternehmens angepasst werden, damit die Sec