MITRE ATT&CK Tactics – Die Bedrohungslage im Bereich der Cybersicherheit entwickelt sich ständig weiter, weshalb Unternehmen und Organisationen gezwungen sind, ihre Verteidigungsstrategien kontinuierlich zu verbessern. Ein zentrales Werkzeug, das sich in den letzten Jahren als Branchenstandard etabliert hat, ist das MITRE ATT&CK Framework. Besonders die sogenannten „Tactics“ bilden das Rückgrat dieses Frameworks und ermöglichen es Sicherheitsexperten, Angriffe systematisch zu verstehen und abzuwehren. In diesem Artikel erfahren Sie, was MITRE ATT&CK Tactics sind, wie sie aufgebaut sind und warum sie für die moderne IT-Sicherheit unverzichtbar sind.
Was ist das MITRE ATT&CK Framework?
Das MITRE ATT&CK Framework ist eine frei zugängliche Wissensdatenbank, die reale Angriffsvektoren und Verhaltensweisen von Angreifern dokumentiert. Es wurde entwickelt, um Organisationen dabei zu unterstützen, Cyberangriffe besser zu erkennen, zu analysieren und abzuwehren. Während das Framework eine Vielzahl von Elementen umfasst, stehen die sogenannten „Tactics“ im Mittelpunkt, denn sie beschreiben die strategischen Ziele, die Angreifer mit ihren Aktionen verfolgen.
Die Bedeutung der Tactics im MITRE ATT&CK Framework
Tactics stellen die übergeordneten Ziele dar, die ein Angreifer während eines Angriffs zu erreichen versucht. Sie bilden die erste Ebene der ATT&CK-Matrix und strukturieren den Angriff in verschiedene Phasen. Jede Tactic umfasst mehrere „Techniques“, also konkrete Methoden, mit denen das Ziel erreicht werden kann. Dadurch lassen sich Angriffsverläufe systematisch analysieren und Schwachstellen gezielt adressieren.
Warum sind Tactics so wichtig?
- Strukturierte Analyse: Mithilfe der Tactics können Sicherheitsteams Angriffe besser nachvollziehen und entsprechende Gegenmaßnahmen entwickeln.
- Priorisierung von Maßnahmen: Da die Tactics die Ziele der Angreifer offenlegen, können Verteidigungsmaßnahmen gezielt und effizient priorisiert werden.
- Vergleichbarkeit: Durch die einheitliche Struktur lassen sich verschiedene Angriffe miteinander vergleichen und Trends erkennen.
- Förderung der Zusammenarbeit: Die gemeinsame Sprache des Frameworks erleichtert den Austausch zwischen Unternehmen und Behörden.
Die 14 MITRE ATT&CK Tactics im Überblick
Das MITRE ATT&CK Framework unterscheidet aktuell 14 Tactics, die den gesamten Lebenszyklus eines Angriffs abdecken. Im Folgenden werden die einzelnen Tactics vorgestellt:
1. Initial Access (Erster Zugriff)
Angreifer versuchen, einen ersten Zugang zum Zielsystem zu erlangen. Dies geschieht beispielsweise durch Phishing, Drive-by-Downloads oder das Ausnutzen von Schwachstellen in öffentlich zugänglichen Diensten.
2. Execution (Ausführung)
Nachdem der Zugriff gelungen ist, führen die Angreifer schädlichen Code aus, um ihre Kontrolle über das System zu festigen. Hierzu zählen unter anderem das Ausführen von Skripten oder das Starten von Schadsoftware.
3. Persistence (Beharrlichkeit)
Damit Angreifer auch nach einem Neustart des Systems oder nach Abwehrmaßnahmen Zugriff behalten, implementieren sie Persistenzmechanismen. Dies kann durch das Anlegen neuer Benutzerkonten oder das Manipulieren von Autostart-Einträgen geschehen.
4. Privilege Escalation (Rechteausweitung)
Oftmals verfügen Angreifer zunächst nur über eingeschränkte Rechte. Deshalb versuchen sie, ihre Berechtigungen zu erweitern, um tiefer ins System einzudringen oder kritische Aktionen auszuführen.
5. Defense Evasion (Umgehung von Verteidigungsmaßnahmen)
Um nicht entdeckt zu werden, setzen Angreifer verschiedene Techniken ein, um Sicherheitslösungen wie Antivirenprogramme oder Firewalls zu umgehen. Dazu gehört beispielsweise das Verschleiern von Code oder das Deaktivieren von Sicherheitsfunktionen.
6. Credential Access (Zugangsdaten abgreifen)
Ein zentrales Ziel vieler Angriffe ist es, Zugangsdaten zu stehlen. Angreifer nutzen Methoden wie Keylogging, das Auslesen von Passwortdatenbanken oder das Abfangen von Authentifizierungsdaten im Netzwerk.
7. Discovery (Erkundung)
Nachdem sie sich Zugang verschafft haben, verschaffen sich Angreifer einen Überblick über das Netzwerk und die vorhandenen Ressourcen. Sie suchen nach weiteren Zielen, wertvollen Daten oder potenziellen Schwachstellen.
8. Lateral Movement (Seitliche Bewegung)
Angreifer bewegen sich innerhalb des Netzwerks, um weitere Systeme zu kompromittieren. Dies geschieht häufig durch den Einsatz legitimer Verwaltungstools oder gestohlener Zugangsdaten.
9. Collection (Datensammlung)
Sobald sie relevante Daten gefunden haben, sammeln Angreifer diese. Dazu zählen beispielsweise sensible Unternehmensinformationen, Zugangsdaten oder persönliche Daten von Mitarbeitern.
10. Command and Control (Fernsteuerung)
Um die Kontrolle über kompromittierte Systeme zu behalten, richten Angreifer Command-and-Control-Kanäle ein. Über diese Kanäle können sie Befehle senden, Daten abziehen oder weitere Schadsoftware nachladen.
11. Exfiltration (Datenabfluss)
Im Rahmen dieser Tactic werden die gesammelten Daten aus dem Zielnetzwerk herausgeschafft. Angreifer nutzen dabei verschiedene Methoden, um den Datenabfluss zu verschleiern und unentdeckt zu bleiben.
12. Impact (Schadenswirkung)
Im letzten Schritt verursachen Angreifer gezielt Schaden. Dies kann etwa durch Verschlüsselung von Daten (Ransomware), Zerstörung von Systemen oder Manipulation von Informationen geschehen.
13. Reconnaissance (Aufklärung)
Obwohl diese Phase oft vor dem eigentlichen Angriff stattfindet, gehört sie ebenfalls zu den Tactics. Angreifer sammeln Informationen über das Ziel, um Schwachstellen zu identifizieren und den Angriff zu planen.
14. Resource Development (Ressourcenaufbau)
Angreifer bauen eigene Ressourcen auf, wie etwa Infrastruktur für Phishing-Kampagnen, gefälschte Webseiten oder die Entwicklung von Schadsoftware.
Wie lassen sich ATT&CK Tactics in der Praxis nutzen?
Die Kenntnis der ATT&CK Tactics ermöglicht es Unternehmen, ihre Verteidigungsmaßnahmen gezielt auszurichten. Beispielsweise können Sie Ihre Sicherheitslösungen so konfigurieren, dass sie verdächtige Aktivitäten frühzeitig erkennen. Darüber hinaus können Sie Schwachstellen im eigenen Netzwerk identifizieren, indem Sie das eigene Sicherheitskonzept mit den Tactics abgleichen.
Praktische Anwendungsmöglichkeiten
- Threat Hunting: Sicherheitsteams können gezielt nach Indikatoren für bestimmte Tactics suchen und so Angriffe frühzeitig erkennen.
- Security Awareness: Durch die Schulung von Mitarbeitern in Bezug auf die verschiedenen Angriffstaktiken wird das Sicherheitsbewusstsein gestärkt.
- Incident Response: Im Falle eines Angriffs hilft das Framework dabei, die Angriffskette schnell zu rekonstruieren und geeignete Gegenmaßnahmen einzuleiten.
- Gap-Analyse: Unternehmen können prüfen, welche Tactics im eigenen Sicherheitskonzept noch unzureichend abgedeckt sind.
Fazit: Warum jedes Unternehmen die MITRE ATT&CK Tactics kennen sollte
Die MITRE ATT&CK Tactics bieten eine strukturierte und praxisnahe Grundlage, um Cyberangriffe besser zu verstehen und abzuwehren. Unternehmen, die dieses Wissen gezielt einsetzen, erhöhen nicht nur ihre Resilienz gegenüber Angriffen, sondern profitieren auch von einer verbesserten Zusammenarbeit und einem höheren Sicherheitsniveau. Da die Bedrohungslage weiterhin dynamisch bleibt, lohnt es sich, stets auf dem aktuellen Stand zu bleiben und die eigenen Schutzmaßnahmen regelmäßig zu überprüfen.