MITRE ATT&CK Version 10: Das sind die Änderungen der neuen Version des Frameworks

SECTANK ICE

Kommentar von Paul Baird, UK CTSO bei Qualys 

Paul Baird, Qualys

MITRE ATT&CK®, eine weltweit zugängliche Wissensbasis über Taktiken und Techniken von Angreifern, die auf realen Beobachtungen beruht, veröffentlicht die Änderungen der neuen Version des Framworks. Die ATT&CK-Wissensbasis wird als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden im privaten Sektor, in der Regierung und in der Cybersicherheits-Community verwendet.

Mit der Schaffung von ATT&CK erfüllt MITRE seinen Auftrag, Probleme für eine sicherere Welt zu lösen, indem es Communities zusammenbringt, um eine effektivere Cybersicherheit zu entwickeln. ATT&CK ist offen und steht jeder Person oder Organisation zur kostenlosen Nutzung zur Verfügung.

Das führende Framework für die Planung und das Management von Bedrohungen MITRE gibt eine aktualisierte Version von ATT&CK heraus. Die neue Version 10 bietet eine Erweiterung der Datenquellen, das Hinzufügen von MacOS und Linux sowie die Erweiterung der Bereiche Cloud und Mobile mit einem neuen Zeitplan für das nächste Mobile-Update, das im April 2022 veröffentlicht werden soll.

„ATT&CK Version 9 war ein enormer Schritt nach vorn, denn es wurden Ansätze für neue Softwarebereitstellungsmethoden hinzugefügt. Dies umfasste eine Reihe neuer Technologien wie Container, die Zusammenlegung von Cloud-Plattformen zu einem einzigen IaaS und den Beginn der Überarbeitung der Datenquelle“, kommentiert Paul Baird, UK Chief Technology Security Officer bei Qualys. „In Version 10 sind die Ergänzungen und Änderungen weniger bahnbrechend, sie erweitern die Version 9 jedoch in die richtige Richtung.

Das Team hat den Abschnitt „Datenquellen“ so erweitert, dass er der Anzeige von „Mitigations“ ähnelt, was für ein einheitliches Erscheinungsbild sorgt. Ähnlich wirkten die Erkennungen in Version 9 eher wie eine Fußnote als wie eine Schlüsselinformation.

Das gute alte „Goldene Ticket“ in Version 9 erwähnt beispielsweise die Windows-Ereignis-IDs, auf die zu achten ist, während es in Version 10 jetzt die Datenquellen – in diesem Fall Active Directory und Anmeldesitzungen – sowie die Ereignis-IDs hervorhebt, auf die ebenso zu achten ist. Es werden auch die Plattformen genannt, auf denen es zu finden ist.

Die Abschnitte „Cloud“ und „Mobile“ wurden aktualisiert, was darauf verweisen könnte, dass wir nach der COVID-19-Pandemie die Sicherheit für Mitarbeiter, die von zu Hause aus arbeiten, neu gestalten. Die mobile Struktur soll im April 2022 veröffentlicht werden, sodass es sich lohnt, nach der Veröffentlichung Ausschau zu halten.

Auch MacOS und Linux haben durch die Ausweitung der Abdeckung der beiden Betriebssysteme einige Aufmerksamkeit erhalten. In der Vergangenheit galten MacOS und Linux als „perfekt“ und als unangreifbar – in Wirklichkeit gab es weniger Probleme, was auf die Verbreitung von Microsoft Windows zurückzuführen ist. Aber auch sie haben ihre eigenen Probleme, die berücksichtigt, verstanden und entschärft werden müssen. Ich stimme zu, dass die Zahl der gemeldeten Angriffe auf diese Umgebungen im Vergleich zu Microsoft Windows deutlich geringer ist, aber sie erhalten jetzt eine größere Sichtbarkeit und einen größeren Marktanteil in Bezug auf den Einsatz, sodass auch ihnen mehr Aufmerksamkeit gewidmet wird. Die Aufnahme dieser Betriebssysteme in ATT&CK bedeutet, dass es nun weniger blinde Flecken im Framework gibt, was allen hilft, ihre Sicherheit zu verbessern.“

Den Beitrag von MITRE zu den Änderungen der neuen Version finden Sie hier: https://medium.com/mitre-attack/introducing-attack-v10-7743870b37e3