BLOG: Die Jagd nach ATT&CKen und die Rahmenbedingungen für den Erfolg (Deutsch)

25.02.2019

Die Jagd nach Cyberbedrohungen. MITRE ATT&CK. Diese Begriffe wurden in letzter Zeit stark strapaziert, miteinander in Verbindung gebracht und der Welt der Cybersicherheit in großem Stil aufgezwungen. Es gibt unzählige Blogbeiträge zu jedem dieser Begriffe oder beiden ...

Die Jagd nach Cyberbedrohungen. MITRE ATT&CK. Diese Begriffe wurden in letzter Zeit stark strapaziert, miteinander in Verbindung gebracht und der Welt der Cybersicherheit in großem Stil aufgezwungen. Es gibt unzählige Blogbeiträge zu jedem dieser Begriffe oder beiden Begriffen, in denen die Autoren versuchen, sie zu erklären, zu definieren und den Unternehmen aufzuzeigen, warum diese Themen von Belang sind. Auch dieser Blogbeitrag befasst sich mit diesen Themen, jedoch möchte ich weitere Aspekte in die Diskussion einbringen.

Die Jagd nach Cyberbedrohungen ist nicht neu. Ich werde den Begriff hier nicht definieren, neu definieren oder Ihnen sagen, um was es sich handelt und was nicht. Viele kluge Köpfe haben dies bereits getan, und zwar so detailliert, dass ich ihre Erläuterungen nur in anderen Worten wiedergeben würde. Leser, die mit dem Konzept der Jagd nach Cyberbedrohungen nicht vertraut sind, können hier einen aktuellen Blogbetrag zum Thema lesen oder die Beiträge der folgenden Autoren recherchieren:

  • Robert M Lee
  • David J Bianco
  • Richard Bejtlich
  • Kris Merritt

Auch MITRE ATT&CK ist kein neues Konzept – es wurde bereits im Jahr 2013 eingeführt und hat sich seitdem rasant weiterentwickelt. ATT&CK ist heute ein zentrales Rahmenwerk für Unternehmen.

Ich werde das Rahmenwerk hier nicht erläutern, aber ich empfehle Ihnen dringend, die Veröffentlichungen von MITRE zu lesen.1 Stattdessen möchte ich Ihnen kurz vorstellen, warum wir ATT&CK als Rahmen für unsere Strategie der Jagd nach Cyberbedrohungen nutzen.

Ein Rahmenwerk zu schaffen ist eine entscheidende Komponente für eine erfolgreiche Jagd nach Cyberbedrohungen. Es bietet einerseits Klarheit und andererseits Spielraum, um sich für die Jagd nach Cyberbedrohungen zu wappnen und sich von Angreifern nicht in die Irre führen zu lassen. Es hilft auch dabei, die erforderlichen Datenquellen, die Tools und auch die erwarteten Ergebnisse zu definieren.

Wenn wir die Jagd nach Cyberbedrohungen trainieren, wählen wir zunächst die Taktik eines potenziellen Gegners aus, auf die wir uns konzentrieren möchten. Lateral Movement2, das heißt, die Bewegung des Angreifers im Unternehmensnetzwerk, ist ein großartiger Ausgangspunkt, da die Wahrscheinlichkeit, dass ein Gegner genau auf den Computer gelangt, auf dem sich die gewünschten Daten befinden, äußerst gering ist. Das bedeutet, dass sich ein Gegner in der IT-Infrastruktur eines Unternehmens bewegen muss, oft über mehrere Endpunkte hinweg, bis er sein Ziel erreicht. In Anbetracht dieses Wissens können wir darauf vertrauen, dass wir Anzeichen von böswilligen Aktivitäten in unserem Netzwerk erkennen und Belege für Lateral Movement finden.

Im Rahmen der Taktik „Lateral Movement“ nutzen wir verschiedene Techniken, um Angreifer zu „jagen“. Falls wir über Informationen zu aktuellen Vorkommnissen von unserem Threat-Research-Team erhalten, werden wir mit Techniken starten, die für diese Vorkommnisse eingesetzt wurden. Falls nicht, werden wir eine Hypothese aufstellen, welche Techniken in den IT-Umgebungen unserer Kunden am wahrscheinlichsten sind, basierend auf unserem bisherigen Wissen und unserer Erfahrung.

Es ist am besten – vor allem zu Beginn – die Jagd nach Cyberbedrohungen auf eine oder zwei Techniken zu beschränken. Dies gilt umso mehr, wenn wir uns die Datenquellen ansehen, die erforderlich sind, um diese Art von Aktivität aufzudecken. Sobald wir uns für die Technik(en) entschieden haben, identifizieren wir die Datenquellen, die erforderlich sind, um in unserer Umgebung nach den Angreifern zu suchen. Lateral Movement kann überall dort auftreten, wo eine Tastatur zum Einsatz kommt. Auf Basis des Verhaltens am Endpunkt können wir feststellen, wo sich der Gegner befindet beziehungsweise befunden hat, um seine Operation auszuführen.

Die Daten, die am Endpunkt aufgenommen werden, schaffen die notwendige Transparenz und Genauigkeit für die Techniken, die für die Erkennung von Lateral Movement eingesetzt werden. Wir können auch nach Admin-Tools, die in die Betriebssystem-Umgebung integriert sind, suchen, da Gegner ihre schadhaften Aktivitäten gerne im Grundrauschen des IT-Betriebs verstecken – und damit wie die Made im Speck leben.

Beispiele für „wie die Made im Speck leben“ sind unter anderem die Nutzung der Windows-Kommandozeilen-Tools net und psexec, um die Technik T1077 „Windows Admin Shares“ zu nutzen.3

Am Ende unserer Jagd nach Cyberbedrohungen analysieren wir die Ergebnisse, um festzustellen, ob wir schädliche Aktivitäten entdeckt haben. Nicht jede Jagd wird den nächsten APT aufdecken, und das ist absolut akzeptabel.

In der Regel bietet die Jagd nach Cyberbedrohungen zusätzliche Vorteile, die für die IT-Sicherheit ebenso wichtig sein können. Haben wir Anzeichen für ein riskantes Nutzerverhalten oder Aktivitäten, die gegen die Richtlinien verstoßen, entdeckt? Konnten wir feststellen, dass unsere Detection- und Monitoring-Systeme nicht ausreichend transparent sind? Wie können wir sicherstellen, dass diese bei der nächsten Jagd nach Cyberbedrohungen erfolgreich sind?

Vielleicht haben wir die Nutzung einer bestimmten Technik nicht aufdecken können, aber wir wissen jetzt, wie man die Suche nach dieser Technik in Zukunft automatisieren kann. Was immer auch das Ergebnis sein mag, wir sollten immer neue Erkenntnisse gewinnen und Rückschlüsse ziehen können, die für die künftige Jagd nach Cyberbedrohungen und andere Sicherheitsmaßnahmen wertvoll sein könnten.

Warum sprechen wir über dieses Thema also auf diesem Niveau? Sie sagen sich möglicherweise: „Toll, ein weiterer abstrakter, konzeptioneller Blogbeitrag, der mir wenig über die Umsetzung in der realen Welt verrät“ – und Sie haben Recht. Dieser Blogbeitrag ist der Einstieg in eine Serie, die wir in Kürze fortsetzen möchten.

Als Teil des MDR-Service von Fidelis suchen wir – im Auftrag unserer Kunden – nach Cyberbedrohungen. Wie Sie im voran gegangenen Absatz erfahren haben, können wir auf der Jagd nach Cyberbedrohungen manches Mal böswillige Aktivitäten aufdecken, in anderen Fällen wiederum nur neue Erkenntnisse gewinnen.

In jedem Fall möchten wir Sie über unsere Aktivitäten und unsere Ergebnisse auf der Jagd nach Cyberbedrohungen – anonymisiert – weiterhin auf dem Laufenden halten, damit Sie sich über unsere Methodik informieren und auch in Ihrer eigenen IT-Umgebung „auf die Jagd gehen“ können

 

1 Strom, B. (2018, July 24). The Philosophy of ATT&CK. Retrieved February 10, 2019, from https://www.mitre.org/capabilities/cybersecurity/overview/cybersecurity-blog/the-philosophy-of-attck

2 Lateral Movement. (n.d.). Retrieved February 9, 2019, from https://attack.mitre.org/tactics/TA0008/

3 Windows Admin Shares. (n.d.). Retrieved February 9, 2019, from https://attack.mitre.org/techniques/T1077/

 

Roland Messmer - Director Fidelis Cybersecurity GmbH