Die Non-Profit-Organisation MITRE dokumentiert seit 2013 Taktiken, Techniken und Prozeduren (TTPs), die von bekannten Advanced Persistent Threats (ATPs) verwendet werden. Das Resultat daraus ist das MITRE ATT&CK® Framework. ATT&CK steht für «Adversarial Tactics, Techniques & Common Knowledge».
In unserem Oneconsult Blogartikel «So hilft Ihnen das MITRE ATT&CK Framework Ihr Unternehmen sicherer zu machen» haben wir das MITRE ATT&CK Framework detailliert vorgestellt und verschiedene Anwendungsfälle erläutert. Die imposante Grösse der Knowledge Base kann überwältigend erscheinen. An welchem Punkt sollte angesetzt werden? Und wie lässt sich die Wissensbasis effektiv nutzen, ohne dabei unverhältnismässig Ressourcen zu binden? Es ist verständlich, dass gewisse Vorbehalte bestehen, sich mit dem Konzept von ATT&CK auseinanderzusetzen. Mit dem Ziel, diese Barrieren zu überwinden, widmet sich dieser Blogbeitrag dem Einsatzszenario der Schwachstellenanalyse.
Inhaltsverzeichnis
Einstieg in MITRE ATT&CK
Um den Einstieg zu erleichtern, stellt MITRE selbst einen rudimentären Guide zur Verfügung, der die Nutzung von ATT&CK vereinfachen soll. In dem Guide werden einige Anwendungsfälle auf verschiedenen Maturitätsstufen durchleuchtet. Diese Abstufungen ermöglichen es bereits mit beschränkten Informationen nutzbringende Erkenntnisse zu gewinnen. Es wird dringend davon abgeraten, bereits zu Beginn den Anspruch auf eine vollumfängliche Analyse zu haben. Viel wichtiger ist es, sich mit der Thematik auseinanderzusetzen und zunächst die offensichtlichen Erkenntnisse zur Verbesserung der eigenen Verteidigung zu nutzen.
Der vollständige Guide ist unter nachfolgendem Link als eBook verfügbar: Getting Started with ATT&CK
MITRE ATT&CK Navigator
Der MITRE ATT&CK Navigator, entwickelt und als Open Source Software von MITRE zur Verfügung gestellt, ist eine interaktive Version der ATT&CK-Matrizen. Über das Web-GUI ist es möglich, für jede Technik oder sogar Subtechnik Kommentare zu erfassen, Scores zu vergeben oder manuelle Einfärbungen vorzunehmen. Die Anpassungen können daraufhin als «ATT&CK Layer» exportiert und mit anderen Layern kombiniert werden. Daraus lassen sich sehr einfach Heatmaps erstellen, die beispielsweise dazu verwendet werden können, Schwachstellen im eigenen Sicherheitsdispositiv aufzuzeigen. Durch die zusätzliche Einfärbung lässt sich dabei auch die Dringlichkeit visuell hervorheben.
Das folgende Einführungsvideo von MITRE gibt einen guten Überblick über die Möglichkeiten des MITRE ATT&CK Navigators.
Schwachstellenanalyse mit MITRE ATT&CK anhand eines Beispiels
Da der Guide von MITRE keine starren Vorgaben enthält, wird im Folgenden anhand einer fiktiven Beispielanalyse ein mögliches Vorgehen erläutert.
Ein Unternehmen möchte eine Schwachstellenanalyse auf Threat-Intel-Basis durchführen. Die bestehenden Detektionsmassnahmen sollen gegenüber der berüchtigten Threat-Gruppe «Wizard Spider» überprüft werden. Nachfolgend wird ein mögliches Vorgehen in vier Schritten erläutert.
1. Scope der Schwachstellenanalyse definieren
Zuerst wird ein klar überschaubarer Scope definiert. Dieser wird anhand des Auftrags präzise festgelegt. Als Schutzmechanismen werden lediglich reaktive Detektionsmassnahmen aufgenommen, während Mitigationen vorerst aussen vor bleiben. Für die Gegenüberstellung werden ausschliesslich TTPs des Threat Actors «Wizard Spider» beachtet, die bereits in ATT&CK dokumentiert sind. Zusätzliche Recherchen werden vorerst vernachlässigt. Die Gegenüberstellung erfolgt auf der Stufe der Technik, wobei Subtechniken ausser Acht gelassen werden.
2. Mapping der Detektionsmassnahmen auf ATT&CK-Techniken
Das Mapping der bestehenden Detektionsmassnahmen auf ATT&CK-Techniken ist der wohl aufwändigste Teil der Analyse. Mithilfe eines Dokumentationsstudiums der eingesetzten Detektionssysteme wird ein Mapping zu passenden Techniken vorgenommen. Viele Hersteller von Endpoint Detection & Response (EDR)-Systemen oder auch Network Detection & Response (NDR)-Systemen, beschreiben bereits in ihrer Dokumentation, welche MITRE ATT&CK-Techniken ihre Produkte abdecken. Dies kann lediglich in einem ATT&CK Navigator Layer zusammengefasst und dokumentiert werden.
3. Bewertung der Schutzabdeckung pro Technik
Um den Umfang der Bewertung nicht zu überschreiten, empfiehlt es sich, drei Kategorien für die Abdeckungsstufen von Techniken festzulegen. In unserem Beispiel sind es diese drei Abstufungen:
- high confidence of detection
- some confidence of detection
- low confidence of detection.
Zusätzlich ist Folgendes definiert:
- Techniken ohne dokumentierte Abdeckung durch einen Detektionsmechanismus werden der Kategorie «low» zugeordnet und bekommen einen Score von 0.
- Techniken mit einer Teilabdeckung werden der Kategorie «some» mit Score 1 zugeordnet.
- Techniken, die durch mehrere Detektionsmechanismen abgedeckt sind, erhalten die Kategorie «high» mit Score 2.
Bereits jetzt lässt sich eine Heatmap erstellen, die einen groben Überblick über die Gesamtabdeckung ermöglicht.
Wie in der Grafik unten erkennbar ist, überwiegen Techniken mit der Kategorie «low» (nicht eingefärbt) deutlich. Daher gestaltet es sich noch herausfordernd, Prioritäten für den Einsatz von Ressourcen zur Verbesserung festzulegen. Um diese Entscheidung besser zu unterstützen, wird in einem nächsten Schritt dieser Datensatz mit den bekannten Techniken der ausgewählten Threat-Gruppe verglichen.
4. Gegenüberstellung mit relevanten Angriffsvektoren
Nun kommen wir zur Gegenüberstellung der dokumentierten Detektionsmassnahmen und dem gewählten Threat Actor. Wie im ersten Schritt bereits festgelegt, konzentrieren wir uns in einer ersten Phase ausschliesslich auf die Techniken der Gruppierung «Wizard Spider», die bereits in ATT&CK dokumentiert sind.
Mit wenigen Klicks lässt sich über den ATT&CK Navigator ein Layer für den gewählten Threat Actor erstellen. Zum Zeitpunkt der Erstellung dieses Artikels sieht dieser Layer wie folgt aus:
Den Layer des Angreifers wird daraufhin dem der Schutzabdeckung gegenübergestellt. Dafür wird die Funktion «Create Layer from other layers» im ATT&CK Navigator verwendet. Die Scores des resultierenden Layers, der das Resultat der Gegenüberstellung visualisieren soll, werden durch einfache Subtraktion berechnet. Der Score der Abdeckungskategorie minus der Anzahl der Threat Actors pro Technik ergibt den Score der Technik im Resultat-Layer. Bei einem Threat Actor sowie zwei Detektionssystemen ergibt sich hier ein Wertebereich von -1 bis 2. Dieser Wertebereich kann nun im Color Setup des Resultat-Layers eingestellt werden. Daraus resultiert:
- Techniken, die von keinem Detektionsmechanismus abgedeckt sind, aber von «Wizard Spider» in der Vergangenheit verwendet wurden, erscheinen in roter Farbe.
- Techniken, die von «Wizard Spider» verwendet wurden, jedoch von mindestens einem Detektionssystem entdeckt werden können, erscheinen gelb.
- Techniken, die von mehreren Detektionssystemen abgedeckt sind, aber von «Wizard Spider» nicht verwendet wurden, in grün.
Daraus ergibt sich eine Heatmap, die klar visualisiert, an welchen Stellen es noch deutliche Lücken gibt und wo dementsprechend der Fokus für die Weiterentwicklung liegen sollte. Natürlich zeigt diese Heatmap lediglich die Priorität in Bezug auf den gewählten Threat Actor auf und ist nicht geeignet, um die allgemeine Sicherheitsmaturität festzustellen. Die Analyse soll in erster Linie aufzeigen, wo Lücken mit der höchsten Priorität bestehen. Sollte die Priorisierung weiterhin zu unklar sein, können auch zusätzliche Threat Actors in die Analyse aufgenommen werden. Auch eine Anpassung der Score-Berechnung in Form einer Gewichtung wäre denkbar.
Fazit
Die Schwachstellenanalyse mittels MITRE ATT&CK kann ein guter Einstieg in das Framework sein. Bereits die rudimentäre Anwendung des Frameworks bringt mit hoher Wahrscheinlichkeit neue Einsicht dazu, wo der Fokus in der Weiterentwicklung der Abwehrmassnahmen liegen sollte. Schliesslich werden hierdurch die Sicherheitsmassnahmen echten Bedrohungen gegenübergestellt. Bei den regelmässigen Assessments sollte auf die bereits durchgeführten Analysen aufgebaut werden, um eine immer höhere Sicherheitsmaturität zu erlangen. Dabei sind sowohl Veränderungen in der Bedrohungslage als auch interne Änderungen des Sicherheitsdispositivs zu berücksichtigen. Nur so ist es möglich, sich aktiv der Bedrohungslage anzupassen und die eigenen Ressourcen effektiv einzusetzen.
Oneconsult bietet verschiedene Dienstleistungen an, um Ihre Abwehr- und Detektionsmassnahmen nicht nur in der Theorie, sondern auch in der Praxis zu überprüfen. Es ist wichtig, die erwarte Schutzabdeckung kritisch zu hinterfragen und ganzheitlich zu prüfen. Dabei können Red Teaming Assessments in Verbindung mit individualisierbaren Angriffsszenarien wertvolle Einblicke in das Zusammenspiel der eingesetzten Abwehr- und Detektionsmassnahmen geben und Ihnen weitere wertvolle Erkenntnisse für die Weiterentwicklung Ihres Sicherheitsdispositivs liefern. Über Ihre unverbindliche Kontaktaufnahme freuen wir uns:
