Leicht verschwommene Aufnahme mit Männern, die durch einen spärlich beleuchteten Gang laufen, darüber gelegt eine Grafik aus Programmierbefehlen
© Adobe Stock / Ysuel

Informationssicherheit

Eine Ontologie der Cyberbedrohungen

Das MITRE ATT&CK Framework

Egal, ob sofortiger Absturz oder heimliche, lange unerkannte Aktivitäten in fremden Netzen – die Möglichkeiten, Schwachstellen in IT-Systemen auszunutzen, sind vielfältig. Sie zu kennen und das Vorgehen von Hackern systematisch zu analysieren, ist im Sinne der Detektion ein entscheidendes Maßnahmenbündel, um IT-Systeme gegen Angriffe von außen fit zu machen.

Die 14 Stufen des APT

Mittlerweile konnten weltweit viele Fälle von Angriffen auf fremde IT-Systeme und -Netze studiert und analysiert werden. Die Mitre-Organisation hat in den vergangenen Jahren aus diesen Beobachtungen ein Ordnungsschema destilliert, welches sich zunehmender Beliebtheit in der Cybersecurity-Szene erfreut und das auch der HZD – unter anderem in der Zusammenarbeit mit dem Kunden Hessen3C – als wichtige Grundlage für die Analyse von Cyberangriffen dient: Dieses „Att&ck Framework“ beschreibt in 14 Phasen, welche Techniken und Methoden von Angreifern häufig verwendet werden, um in fremde Netze einzudringen und dort ihr Unwesen zu treiben – der sogenannte „Advanced Persistent Threat“ (APT). 

Die umfangreichste Darstellung bezieht sich auf Enterprise-Umgebungen mit typischen Rechenzentren und lokalen Anwendernetzen – also IT-Infrastrukturen, wie sie auch in der hessischen Landesverwaltung existieren. Sie zeigt die 14 Phasen eines typischen Cyberangriffs und beschreibt die jeweilige Zielsetzung der Angreifenden.

14 Phasen eines typischen Cyberangriffs

Reconaissance Der Angreifende versucht, vorab Informationen zu sammeln, die sein weiteres Vorgehen unterstützen.
Resource Development Der Angreifende versucht, Hilfsmittel zu organisieren, die für die folgenden Aktivitäten benötigt werden.
Initial Access

Der Angreifende versucht, in das fremde Netzwerk einzudringen.
Execution

Der Angreifende versucht, bösartige Software im fremden Netzwerk zu starten.
Persistence

Der Angreifende versucht, einen Brückenkopf im fremden Netzwerk einzurichten.
Privilege Escalation

Der Angreifende versucht, sich höhere Berechtigungen zu verschaffen.
Defense Evasion Der Angreifende versucht, Abwehrmaßnahmen zu umgehen und seine Entdeckung zu vermeiden.
Credential Access

Der Angreifende versucht, gültige Anmeldeinformationen zu erbeuten.
Discovery

Der Angreifende versucht, sich einen Überblick über das fremde Netz zu verschaffen.
Lateral Movement

Der Angreifende versucht, seine Kontrolle auf weitere Systeme auszudehnen.
Collection Der Angreifende versucht, an sensible Daten zu gelangen.
Command and Control Der Angreifende versucht, eine Fernsteuerung für die kompromittierten Systeme einzurichten.
Exfiltration

Der Angreifende versucht, erbeutete Daten aus dem fremden Netz zu schleusen.
Impact

Der Angreifende versucht, Manipulationen, Betriebsunterbrechungen oder Zerstörungen von Systemen und Daten im fremden Netz vorzunehmen.

 

Zu all diesen Techniken und Subtechniken bietet die Mitre-Organisation eine Beschreibung des Ablaufs sowie Möglichkeiten der Erkennung und Schadensbegrenzung. Somit ist das Framework eine große Wissensdatenbank zum Thema Cyberbedrohungen und den Möglichkeiten, sich als angegriffene Organisation zur Wehr zu setzen. Zahlreiche einschlägige Software-Lösungen zur Abwehr von Cyberbedrohungen nutzen mittlerweile die Terminologie des „Att&ck Framework“, um das beobachtbare Geschehen in verständlicher und definierter Form zu beschreiben.

Vorsorge per Erkennungsmechanismen

In der Praxis hat man in der Rolle des Angegriffenen natürlich vorab keine Information darüber, warum und wie wer einen möglichen Angriffsversuch auf das eigene Netz unternimmt. Es ist daher sinnvoll, Erkennungsmöglichkeiten in allen beschriebenen Phasen vorzusehen. Angesichts der Fülle an möglichen Aktivitäten und der Komplexität im Detail ist es nicht möglich, diese Aufgabe mit einem einzelnen Produkt zu bewältigen. Dazu braucht es vielmehr umfassende Konzepte für eine robuste Sicherheitsarchitektur. Diese Maßnahmen werden zumeist unter dem Schlagwort „Zero Trust“ gehandelt. Auch die HZD trifft für solche Maßnahmenkonzepte bereits Vorbereitungen.

Autor des Beitrags

Dr. Klaus-Dieter Niebling
Informationssicherheitsmanagement

Schlagworte zum Thema

Informationssicherheit
IT-Sicherheit
Datenschutz
Cyberabwehr
Zero Trust
ZUM SEITENANFANG