Blog

Informativ, aktuell und spannend – der Oneconsult Cybersecurity Blog.

Schwachstellenanalyse mit MITRE ATT&CK
Andreas Schibig
Andreas Schibig
|
17.04.2024
(aktualisiert am: 09.09.2024)

Die Non-Profit-Organisation MITRE dokumentiert seit 2013 Taktiken, Techniken und Prozeduren (TTPs), die von bekannten Advanced Persistent Threats (ATPs) verwendet werden. Das Resultat daraus ist das MITRE ATT&CK® Framework. ATT&CK steht für «Adversarial Tactics, Techniques & Common Knowledge».

In unserem Oneconsult Blogartikel «So hilft Ihnen das MITRE ATT&CK Framework Ihr Unternehmen sicherer zu machen» haben wir das MITRE ATT&CK Framework detailliert vorgestellt und verschiedene Anwendungsfälle erläutert. Die imposante Grösse der Knowledge Base kann überwältigend erscheinen. An welchem Punkt sollte angesetzt werden? Und wie lässt sich die Wissensbasis effektiv nutzen, ohne dabei unverhältnismässig Ressourcen zu binden? Es ist verständlich, dass gewisse Vorbehalte bestehen, sich mit dem Konzept von ATT&CK auseinanderzusetzen. Mit dem Ziel, diese Barrieren zu überwinden, widmet sich dieser Blogbeitrag dem Einsatzszenario der Schwachstellenanalyse.

Einstieg in MITRE ATT&CK

Um den Einstieg zu erleichtern, stellt MITRE selbst einen rudimentären Guide zur Verfügung, der die Nutzung von ATT&CK vereinfachen soll. In dem Guide werden einige Anwendungsfälle auf verschiedenen Maturitätsstufen durchleuchtet. Diese Abstufungen ermöglichen es bereits mit beschränkten Informationen nutzbringende Erkenntnisse zu gewinnen. Es wird dringend davon abgeraten, bereits zu Beginn den Anspruch auf eine vollumfängliche Analyse zu haben. Viel wichtiger ist es, sich mit der Thematik auseinanderzusetzen und zunächst die offensichtlichen Erkenntnisse zur Verbesserung der eigenen Verteidigung zu nutzen.

Der vollständige Guide ist unter nachfolgendem Link als eBook verfügbar: Getting Started with ATT&CK

MITRE ATT&CK Navigator

Der MITRE ATT&CK Navigator, entwickelt und als Open Source Software von MITRE zur Verfügung gestellt, ist eine interaktive Version der ATT&CK-Matrizen. Über das Web-GUI ist es möglich, für jede Technik oder sogar Subtechnik Kommentare zu erfassen, Scores zu vergeben oder manuelle Einfärbungen vorzunehmen. Die Anpassungen können daraufhin als «ATT&CK Layer» exportiert und mit anderen Layern kombiniert werden. Daraus lassen sich sehr einfach Heatmaps erstellen, die beispielsweise dazu verwendet werden können, Schwachstellen im eigenen Sicherheitsdispositiv aufzuzeigen. Durch die zusätzliche Einfärbung lässt sich dabei auch die Dringlichkeit visuell hervorheben.

Das folgende Einführungsvideo von MITRE gibt einen guten Überblick über die Möglichkeiten des MITRE ATT&CK Navigators.

Schwachstellenanalyse mit MITRE ATT&CK anhand eines Beispiels

Da der Guide von MITRE keine starren Vorgaben enthält, wird im Folgenden anhand einer fiktiven Beispielanalyse ein mögliches Vorgehen erläutert.

Ein Unternehmen möchte eine Schwachstellenanalyse auf Threat-Intel-Basis durchführen. Die bestehenden Detektionsmassnahmen sollen gegenüber der berüchtigten Threat-Gruppe «Wizard Spider» überprüft werden. Nachfolgend wird ein mögliches Vorgehen in vier Schritten erläutert.

1. Scope der Schwachstellenanalyse definieren

Zuerst wird ein klar überschaubarer Scope definiert. Dieser wird anhand des Auftrags präzise festgelegt. Als Schutzmechanismen werden lediglich reaktive Detektionsmassnahmen aufgenommen, während Mitigationen vorerst aussen vor bleiben. Für die Gegenüberstellung werden ausschliesslich TTPs des Threat Actors «Wizard Spider» beachtet, die bereits in ATT&CK dokumentiert sind. Zusätzliche Recherchen werden vorerst vernachlässigt. Die Gegenüberstellung erfolgt auf der Stufe der Technik, wobei Subtechniken ausser Acht gelassen werden.

2. Mapping der Detektionsmassnahmen auf ATT&CK-Techniken

Das Mapping der bestehenden Detektionsmassnahmen auf ATT&CK-Techniken ist der wohl aufwändigste Teil der Analyse. Mithilfe eines Dokumentationsstudiums der eingesetzten Detektionssysteme wird ein Mapping zu passenden Techniken vorgenommen. Viele Hersteller von Endpoint Detection & Response (EDR)-Systemen oder auch Network Detection & Response (NDR)-Systemen, beschreiben bereits in ihrer Dokumentation, welche MITRE ATT&CK-Techniken ihre Produkte abdecken. Dies kann lediglich in einem ATT&CK Navigator Layer zusammengefasst und dokumentiert werden.

Defense Layer no score

3. Bewertung der Schutzabdeckung pro Technik

Um den Umfang der Bewertung nicht zu überschreiten, empfiehlt es sich, drei Kategorien für die Abdeckungsstufen von Techniken festzulegen. In unserem Beispiel sind es diese drei Abstufungen:

  • high confidence of detection
  • some confidence of detection
  • low confidence of detection.

Zusätzlich ist Folgendes definiert:

  • Techniken ohne dokumentierte Abdeckung durch einen Detektionsmechanismus werden der Kategorie «low» zugeordnet und bekommen einen Score von 0.
  • Techniken mit einer Teilabdeckung werden der Kategorie «some» mit Score 1 zugeordnet.
  • Techniken, die durch mehrere Detektionsmechanismen abgedeckt sind, erhalten die Kategorie «high» mit Score 2.

Bereits jetzt lässt sich eine Heatmap erstellen, die einen groben Überblick über die Gesamtabdeckung ermöglicht.

Wie in der Grafik unten erkennbar ist, überwiegen Techniken mit der Kategorie «low» (nicht eingefärbt) deutlich. Daher gestaltet es sich noch herausfordernd, Prioritäten für den Einsatz von Ressourcen zur Verbesserung festzulegen. Um diese Entscheidung besser zu unterstützen, wird in einem nächsten Schritt dieser Datensatz mit den bekannten Techniken der ausgewählten Threat-Gruppe verglichen.

Defense Layer scored

4. Gegenüberstellung mit relevanten Angriffsvektoren

Nun kommen wir zur Gegenüberstellung der dokumentierten Detektionsmassnahmen und dem gewählten Threat Actor. Wie im ersten Schritt bereits festgelegt, konzentrieren wir uns in einer ersten Phase ausschliesslich auf die Techniken der Gruppierung «Wizard Spider», die bereits in ATT&CK dokumentiert sind.

Mit wenigen Klicks lässt sich über den ATT&CK Navigator ein Layer für den gewählten Threat Actor erstellen. Zum Zeitpunkt der Erstellung dieses Artikels sieht dieser Layer wie folgt aus:

Wizard Spider

Den Layer des Angreifers wird daraufhin dem der Schutzabdeckung gegenübergestellt. Dafür wird die Funktion «Create Layer from other layers» im ATT&CK Navigator verwendet. Die Scores des resultierenden Layers, der das Resultat der Gegenüberstellung visualisieren soll, werden durch einfache Subtraktion berechnet. Der Score der Abdeckungskategorie minus der Anzahl der Threat Actors pro Technik ergibt den Score der Technik im Resultat-Layer. Bei einem Threat Actor sowie zwei Detektionssystemen ergibt sich hier ein Wertebereich von -1 bis 2. Dieser Wertebereich kann nun im Color Setup des Resultat-Layers eingestellt werden. Daraus resultiert:

  • Techniken, die von keinem Detektionsmechanismus abgedeckt sind, aber von «Wizard Spider» in der Vergangenheit verwendet wurden, erscheinen in roter Farbe.
  • Techniken, die von «Wizard Spider» verwendet wurden, jedoch von mindestens einem Detektionssystem entdeckt werden können, erscheinen gelb.
  • Techniken, die von mehreren Detektionssystemen abgedeckt sind, aber von «Wizard Spider» nicht verwendet wurden, in grün.

Daraus ergibt sich eine Heatmap, die klar visualisiert, an welchen Stellen es noch deutliche Lücken gibt und wo dementsprechend der Fokus für die Weiterentwicklung liegen sollte. Natürlich zeigt diese Heatmap lediglich die Priorität in Bezug auf den gewählten Threat Actor auf und ist nicht geeignet, um die allgemeine Sicherheitsmaturität festzustellen. Die Analyse soll in erster Linie aufzeigen, wo Lücken mit der höchsten Priorität bestehen. Sollte die Priorisierung weiterhin zu unklar sein, können auch zusätzliche Threat Actors in die Analyse aufgenommen werden. Auch eine Anpassung der Score-Berechnung in Form einer Gewichtung wäre denkbar.

Defensen vs Wizard Spider

Fazit

Die Schwachstellenanalyse mittels MITRE ATT&CK kann ein guter Einstieg in das Framework sein. Bereits die rudimentäre Anwendung des Frameworks bringt mit hoher Wahrscheinlichkeit neue Einsicht dazu, wo der Fokus in der Weiterentwicklung der Abwehrmassnahmen liegen sollte. Schliesslich werden hierdurch die Sicherheitsmassnahmen echten Bedrohungen gegenübergestellt. Bei den regelmässigen Assessments sollte auf die bereits durchgeführten Analysen aufgebaut werden, um eine immer höhere Sicherheitsmaturität zu erlangen. Dabei sind sowohl Veränderungen in der Bedrohungslage als auch interne Änderungen des Sicherheitsdispositivs zu berücksichtigen. Nur so ist es möglich, sich aktiv der Bedrohungslage anzupassen und die eigenen Ressourcen effektiv einzusetzen.

Oneconsult bietet verschiedene Dienstleistungen an, um Ihre Abwehr- und Detektionsmassnahmen nicht nur in der Theorie, sondern auch in der Praxis zu überprüfen. Es ist wichtig, die erwarte Schutzabdeckung kritisch zu hinterfragen und ganzheitlich zu prüfen. Dabei können Red Teaming Assessments in Verbindung mit individualisierbaren Angriffsszenarien wertvolle Einblicke in das Zusammenspiel der eingesetzten Abwehr- und Detektionsmassnahmen geben und Ihnen weitere wertvolle Erkenntnisse für die Weiterentwicklung Ihres Sicherheitsdispositivs liefern. Über Ihre unverbindliche Kontaktaufnahme freuen wir uns:

Andreas Schibig

Autor

Andreas Schibig ist Penetration Tester bei der Oneconsult AG. Nebst Bachelorabschluss an der Hochschule Luzern in Information & Cyber Security ist er OPST und BSCP zertifiziert.

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 18.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen