MITRE ATT&CK
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) ist ein öffentlich zugängliches, systematisches Framework zur Beschreibung und Kategorisierung von Angreifermethoden und -techniken in der Cyberabwehr. Es dient als Referenzmodell für Security-Teams, um Angriffe besser zu verstehen, zu erkennen und gezielt dagegen vorzugehen.
Das Framework gliedert sich in mehrere Taktiken (die Ziele eines Angriffs, z. B. Initial Access, Persistence) und darunterliegende Techniken (konkrete Methoden, z. B. PhishingPhishing Phishing ist eine der häufigsten und gefährlichsten Formen von Social Engineering. Dabei versuchen Angreifer, sensible Informationen wie Pa... Mehr, Credential Dumping), die Angreifer typischerweise nutzen.
Nutzen von MITRE ATT&CK:
- Ermöglicht einheitliche Kommunikation und Analyse von Angriffsszenarien
- Unterstützt Threat HuntingThreat Hunting Threat Hunting bezeichnet einen proaktiven Sicherheitsansatz, bei dem Sicherheitsexperten gezielt nach Hinweisen auf bisher unentdeckte... Mehr, Detection EngineeringDetection Engineering Detection Engineering bezeichnet den Prozess der Entwicklung, Implementierung und Optimierung von Erkennungsmechanismen für Cyb... Mehr und Incident ResponseIncident Response (Reaktion auf Sicherheitsvorfälle) Incident Response bezeichnet den strukturierten Prozess zur Erkennung, Analyse, Eindämmung und ... Mehr
- Hilft bei der Identifikation von Sicherheitslücken und Priorisierung von Maßnahmen
- Wird von vielen SIEM-, EDR- und SOAR-Lösungen als Grundlage genutzt
Wichtige Komponenten:
- Taktiken: Phasen des Angriffszyklus (z. B. Reconnaissance, Execution)
- Techniken: Spezifische Angriffsmethoden innerhalb der Taktiken
- Sub-Techniken: Detailliertere Varianten der Techniken
Anwendungsbeispiele:
- Mapping von Sicherheitsvorfällen auf bekannte Angriffstechniken
- Entwicklung von Detektionsregeln und Playbooks
- TrainingTraining Training im Projektkontext bezeichnet strukturierte Schulungsmaßnahmen zur Vorbereitung von Mitarbeitenden auf neue Systeme, Prozesse oder T... Mehr und Sensibilisierung von Security-Teams
Verwandte Begriffe:
Kill ChainKill Chain (Cyber Kill Chain) Die Cyber Kill Chain ist ein Modell zur systematischen Darstellung von Phasen eines Cyberangriffs. Ursprünglich von Loc... Mehr, Threat Hunting, Detection Engineering, Incident Response, SIEMSIEM (Security Information and Event Management) SIEM ist eine zentrale Technologie im Bereich der Cybersicherheit, die Sicherheitsinformationen und E... Mehr, EDREDR (Endpoint Detection and Response) Endpoint Detection and Response (EDR) ist eine Sicherheitslösung zur Überwachung und Absicherung von Endgerät... Mehr, XDRXDR (Extended Detection and Response) Extended Detection and Response (XDR) ist eine erweiterte Sicherheitsplattform, die Daten und Bedrohungen über ... Mehr