Warum es so wichtig ist, das Verhalten und die Tools von Cyberkriminellen zu verstehen

0
51

This post is also available in: Englisch Französisch Italienisch Portugiesisch, Brasilien Spanisch Russisch

Die Angriffslandschaft wächst rapide an. Damit einher geht die komplexe Herausforderung, einen Überblick über die Taktiken, Techniken und Prozeduren (TTPs) zu behalten, die von den verschiedenen Bedrohungsakteuren verwendet werden. Das Computer Security Resource Center des National Institute of Standards and Technology (NIST) bezeichnet diese TTPs als das „Verhalten“ eines Bedrohungsakteurs. Die Verfolgung dieses Verhaltens zählt für CTI-Analysten (Cyber Threat Intelligence) mittlerweile zu den wesentlichen Konzepten. Durch das Profiling und die Dokumentation krimineller TTPs können Netzwerkverantwortliche verbrecherisches Verhalten und die Koordination bestimmter Angriffe besser verstehen. Dadurch sind sie auf aktuelle und künftige Bedrohungen vorbereitet, können darauf reagieren und sie abwehren.

Definition von Taktiken, Techniken und Prozeduren

Im Folgenden wird der Begriff „TTP“ genauer aufgeschlüsselt. Taktiken steht für die übergeordneten Verhaltensweisen oder Aktionen, die ein Bedrohungsakteur ausüben möchte. So ist beispielsweise „Initial Access“ (Erstzugriff) eine Taktik, mit der Kriminelle versuchen, in ein Netzwerk einzudringen.

Techniken sind detaillierte Beschreibungen der Verhaltensweisen oder Aktionen, die für eine bestimmte Taktik erwartet werden. Als Technik für den Erstzugriff auf ein Netzwerk könnte zum Beispiel ein Phishing-Angriff dienen.

Prozeduren enthalten die technischen Details oder Anweisungen, mit denen ein Bedrohungsakteur die Technik umsetzt, um sein Ziel zu erreichen. Die Prozedur eines Phishing-Angriffs würde beispielsweise die Reihenfolge der einzelnen Schritte oder die Phasen der Kampagne umfassen. Darunter fallen Einzelheiten über die Infrastruktur, die zum Versenden der schadhaften E-Mail genutzt wird, über die Zielpersonen und die Art und Weise, wie sie deren Rechner kompromittieren wollen.

Leider erweist es sich in unserer Branche als echte Herausforderung, das Verhalten von Bedrohungsakteuren immer genau im Blick zu behalten. Das liegt hauptsächlich daran, dass kein allgemein anerkanntes und standardisiertes Framework vorliegt, an das wir uns halten können. Wie in Teil 1 unseres Hacker’s Almanac erwähnt, gibt es für eine Bedrohungsgruppe, die als APT10 von Mandiant bekannt ist, je nach der Sicherheitsorganisation, die einen Angriff zuordnet, auch andere Bezeichnungen: menuPass von Fireeye, Stone Panda von Crowdstrike oder Red Apollo, Cloud Hopper und POTASSIUM von Microsoft. Das macht die Dokumentation, Berichterstattung und Diskussion in Bezug auf Bedrohungsakteure enorm schwierig.

Glücklicherweise hat die Branche in den vergangenen Jahren begonnen, auf breiter Basis das ATT&CK Enterprise-Framework von MITRE einzuführen. Damit sollen eine Community-basierte Standardisierung sowie ein Katalog bereitgestellt werden, der die von Bedrohungsakteuren verwendeten TTPs und ihre bekannten Aliasnamen enthält.

Was ist MITRE ATT&CK?

Beim MITRE ATT&CK Enterprise-Framework handelt es sich um eine offene Wissensdatenbank, in der schädliche Taktiken und Techniken auf Basis tatsächlicher Beobachtungen erfasst werden. Das Framework wurde von der MITRE Corporation entwickelt, einer gemeinnützigen Organisation, die FFRDCs (Federally Funded Research and Development Centers) zur Unterstützung der US-Regierung betreibt. Das MITRE ATT&CK-Framework hat sich im Laufe der Jahre als wertvolle Ressource für Unternehmen weltweit etabliert, die bestimmte sie betreffende Bedrohungen besser verstehen möchten.

Das MITRE ATT&CK Enterprise-Framework verfolgt bösartige Bedrohungen und erstellt dafür übersichtliche Profile, in denen detaillierte Aktionen beschrieben sind, mit denen Kriminelle ein Unternehmensnetzwerk kompromittieren möchten. Das MITRE ATT&CK-Framework bietet eine ausführliche Liste mit bekannten Angriffstechniken, die in 14 verschiedene Taktikkategorien unterteilt sind, von „Reconnaissance“ (Erkundung) bis „Impact“ (Auswirkung).

MITRE ATT&CK

[Gefällt Ihnen dieser Artikel? Melden Sie sich jetzt an, um wöchentlich die neuesten Radware-Meldungen per E-Mail zu erhalten. Außerdem bekommen Sie Zugriff auf Radwares Premium-Inhalte.]

Dieses Framework wird laufend auf den neuesten Stand gebracht, um aktuelle Prüfungen durchzuführen und die Abwehrmaßnahmen und Erkennungsmethoden besser zu strukturieren. Des Weiteren sorgt das MITRE ATT&CK-Framework für eine einheitliche Sprache über alle Branchen hinweg. Wenn die Struktur und Namenskonventionen der MITRE ATT&CK-Matrix in die Sicherheitsrichtlinien eines Unternehmens aufgenommen werden, entsteht innerhalb des Unternehmens und in der Branche eine gemeinsame Sprache. Dadurch lassen sich Bedrohungsgruppen einfacher dokumentieren, melden und diskutieren.

ATT&CK – Native Sicherheitskontrollen der Azure-Plattform

Im Juni veröffentlichte Microsoft in Zusammenarbeit mit dem Center for Threat-Informed Defense (CTID) von MITRE eine Matrix, in der native Sicherheitskontrollen der Azure-Plattform mit dem MITRE ATT&CK-Framework in Beziehung gesetzt wurden. Das Azure Security Stack-Framework ist das erste seiner Art, weil es eine Verbindung zwischen den Sicherheitskontrollen eines Produkts (Azure) und dem ATT&CK Enterprise-Framework schafft. Nun können andere diesem Beispiel folgen. Wie in einem kürzlich erschienenen Blogartikel von MITRE Engenuity zu lesen war, soll Amazon Web Services (AWS) die nächste Plattform sein, die gemeinsam mit MITRE eine solche Zuordnung erstellt.

[Das könnte Sie auch interessieren: Consistent Security Meets Continuous Deployment on Azure]

Das Microsoft Azure Security Stack-Framework für native Sicherheitskontrollen bezieht sich auf die ursprünglichen TTPs, die im MITRE ATT&CK Enterprise-Framework abgedeckt werden, und stellt Abwehrressourcen speziell für die Azure-Plattform bereit. Dadurch können sich Netzwerkverantwortliche auf aktuelle und künftige Bedrohungen der Azure-Umgebung vorbereiten, darauf reagieren und sie abwehren. Nehmen wir noch einmal das Beispiel von Initial Access über Phishing, für das im Microsoft Security Stack Mapping für Azure folgende Maßnahmen vorgeschlagen werden: Verwendung von Azure DNS Analytics, Azure Defender für App Services und Microsoft Antimalware für Azure, um ein Minimum an Schutz und Erkennung für diesen Angriffsvektor zu erreichen.

Microsoft Security Stack Mapping für Azure

Die Zuordnung von Sicherheitskontrollen für Produkte zum MITRE ATT&CK-Framework, damit Unternehmen ihre Vorkehrungen im Hinblick auf die TTPs realer Bedrohungsakteure bewerten können, entspricht genau dem heutigen Bedarf in der Branche. Wie im MITRE Engenuity-Blog angesprochen, ist die Zuordnung eines Sicherheits-Stacks zum MITRE Enterprise-Framework jedoch ein arbeitsintensives und subjektives Unterfangen, weil sich die Bedrohungslandschaft laufend verändert. Trotz der Schwierigkeiten, die bei einer solchen Zuordnung auftreten, bin ich davon überzeugt, dass die Branche ihre Sicherheits-Stacks in absehbarer Zeit mit dem MITRE ATT&CK Enterprise-Framework in Beziehung setzen wird. Diese Art von gemeinsamen, öffentlichen Projekten sorgt für eine branchenweit einheitliche Sprache und schafft eine Grundlage, auf der Netzwerkverantwortliche ihre Berichte dokumentieren und über produktspezifische Bedrohungen diskutieren können.

Warum das Verständnis der Bedrohungslandschaft so wichtig ist

Heutige Bedrohungen erfordern zweifellos umfassende Lösungen, aber auch eine detaillierte Kenntnis der Bedrohungslandschaft. Eine der besten Möglichkeiten, um mit der dynamischen Bedrohungslandschaft Schritt zu halten, ist die Auseinandersetzung mit Bedrohungsdaten und die Mitwirkung an deren Standardisierung. Wenn die Muster von Bedrohungsakteuren analysiert, in Profilen erfasst und mit der Community geteilt werden, können wir kriminelles Verhalten und die Koordination bestimmter Angriffe besser verstehen. Ein tieferes Verständnis der TTPs von Cyberkriminellen hilft der Community und den Unternehmen, sich auf die meisten Bedrohungen vorzubereiten, darauf zu reagieren und sie abzuwehren.

Sobald Sie die TTPs Ihrer Angreifer verstehen, können Sie Ihr Sicherheitskonzept speziell darauf abstimmen. So sind Benutzer in der Lage, sich gegen die TTPs von Bedrohungsakteuren zu wappnen, sie zu erkennen, zu isolieren, zu täuschen und von ihrer konkreten Umgebung fernzuhalten.

Laden Sie den „Hacker’s Almanac 2021 – Series 1“ von Radware herunter.

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here