ATT&CK
ATT&CK oder MITRE ATT&CK ist eine Wissensdatenbank zur Klassifizierung und Beschreibung von Cyberbedrohungen der MITRE Corporation. ATT&CK steht dabei für Adversarial Tactics, Techniques, and Common Knowledge, übersetzt Taktiken, Techniken und allgemeines Wissen zu Angriffen und ist eine Ableitung des englischsprachigen Kürzels TTP (Tactics, Techniques & Procedures), der das Verhalten von Cyberangreifern beschreibt, die durch das ATT&CK-Framework gesammelt werden.[1]
ATT&CK beschreibt die bei einem Cyberangriff benutzten „Techniken“ (z. B. Phishing oder Exploits) und „Subtechniken“ und unterteilt diese in verschiedene „Taktiken“ (ähnlich der Phasen in einer Cyber Kill Chain). Das Framework dokumentiert dabei auch bereits konkrete, durch Advanced Persistent Threats (ATP) oder sonstigen Angreifern verwendete, Angriffsprozeduren sowie mögliche Mitigationen gegen die einzelnen Angriffstechniken. Das ATT&CK-Famework kann dadurch zur Erkennung von Cyberangriffen, zur Beschreibung und Analyse von Cyberbedrohungen, zur Emulierung von entsprechenden Bedrohungen durch Red Teams, zur Evaluierung von Sicherheitsmassnahmen im IT-Umfeld oder für die Beurteilung der Reaktionsfähigkeit eines Security Operation Center (SOC) auf verschiedene Bedrohungen verwendet werden.[2]
Geschichte
Seine Ursprünge hatte ATT&CK im 2010 gegründeten FMX-Forschungsumgebung von MITRE, mit der Forscher Methoden entwickeln konnten, um Bedrohungen besser zu erkennen. Dabei begann MITRE auch Methoden zu entwickeln, um ATPs schneller zu erkennen. Um dieses Ziel zu erreichen, kategorisierte MITRE die beobachteten Angriffsmethoden der ATP in verschiedene Kategorien und daraus entstand im September 2013 das erste ATT&CK-Framework, dass damals noch auf Windows-Umgebungen im Unternehmensumfeld fokussiert war. Im Mai 2015 wurde die erste Variante des Models mit 96 verschiedenen Techniken, die in neun Phasen eingeteilt waren, schließlich veröffentlicht. 2017 wurde das Model auf Mac und Linux ausgeweitet und wurde von nun an ATT&CK for Enterprise genannt, während im selben Jahr mit ATT&CK for Mobile auch ein Modell für mobile Endgeräte veröffentlicht wurde. 2019 wurde das Enterprise-Modell um Cloud-Methoden erweitert und 2020 erschien mit ATT&CK for ICS ein Modell für Industriesysteme.[3] Seit 2021 werden auch Container von ATT&CK erfasst.[4]
Techniken in der ATT&CK Matrix for Enterprise
Das MITRE ATT&CK-Framework im Enterprise-Umfeld wird üblicherweise in einer Matrix dargestellt und unterteilt sich in 14 verschiedene Taktiken (Stand: Januar 2025[5]) und den darin enthaltenen Techniken, geordnet nach ihrer typischen Anwendung im zeitlichen Ablauf einer Cyberattacke:
| Taktik | Beschreibung | Anzahl Techniken (ohne Subtechniken) |
|---|---|---|
| Reconnaissance | Informationsgewinnung über das Angriffsziel | 10 |
| Resource Development | Ausfindig machen und Entwicklung von Angriffstools/-resourcen | 8 |
| Initial Access | Erstmaliger Zugriff auf das Zielsystem oder Netzwerk | 10 |
| Execution | Ausführen von eigenem Code auf einem angegriffenen System | 14 |
| Persistence | Dauerhaftes Etablieren auf einem infizierten System, um beispielsweise einen Systemneustart zu überstehen | 20 |
| Privilege Escalation | Rechteausweisung auf dem infizierten System (z. B. als Administrator) | 14 |
| Defense Evasion | Ausschalten oder Umgehung von Verteidigungsmassnahmen | 44 |
| Credential Access | Sammeln von Anmeldeinformationen | 17 |
| Discovery | Ausfindigmachen von weiteren Resourcen und Hosts im angegriffenen Netzwerk | 32 |
| Lateral Movement | Bewegen innerhalb des angegriffenen Netzwerks | 9 |
| Collection | Datensammlung auf den infizierten Systemen | 17 |
| Command and Control | Kommunikation mit infizierten Systemen und Kontrolle durch den Angreifer | 18 |
| Exfiltration | Exfiltration der gesammelten Daten | 9 |
| Impact | Auswirkungen des Angriffes auf das Zielsystem (z. B. Verschlüsselung aller Daten oder Defacement einer Website) | 14 |
MITRE D3FEND
Neben dem ATT&CK gibt es von MITRE auch noch ein D3FEND-Framework, dass sich im gleichen Stil wie das ATT&CK-Framework auf die Verteidigungsmethoden gegen Cyberangriffe konzentriert. Dieses ist mit den jeweiligen Angriffsmethoden aus dem ATT&CK-Framework verknüpft.[6] D3FEND wurde am 20. Juni 2021 erstmals in einer Beta-Version veröffentlicht[7] und erreichte am 20. Dezember 2024 schließlich die Version 1.0.[8]
Weblinks
Einzelnachweise
- ↑ What is MITRE ATT&CK®: An Explainer. Exabeam, abgerufen am 19. Januar 2025 (englisch).
- ↑ Blake E. Strom, Andy Applebaum, Doug P. Miller, Kathryn C. Nickels, Adam G. Pennington und Cody B. Thomas: MITRE ATT&CK®: Design and Philosophy. März 2020, S. 3&4 (englisch, attack.mitre.org [PDF]).
- ↑ Blake E. Strom, Andy Applebaum, Doug P. Miller, Kathryn C. Nickels, Adam G. Pennington und Cody B. Thomas: MITRE ATT&CK®: Design and Philosophy. März 2020, S. 1&2 (englisch, attack.mitre.org [PDF]).
- ↑ Jamie Williams: Data Sources, Containers, Cloud, and More: What’s New in ATT&CK v9? MITRE ATT&CK, 29. April 2021, abgerufen am 19. Januar 2025 (amerikanisches Englisch).
- ↑ Enterprise Matrix. MITRE ATT&CK, abgerufen am 19. Januar 2025 (amerikanisches Englisch).
- ↑ MITRE D3FEND. Abgerufen am 19. Januar 2025 (englisch).
- ↑ Peter Kaloroumakis: D3FEND: Getting to 1.0. 23. Oktober 2023, abgerufen am 20. Dezember 2025 (englisch).
- ↑ Peter Kaloroumakis: D3FEND 1.0 General Availability. 20. Dezember 2025, abgerufen am 19. Januar 2025 (englisch).