Mit einer kostenlos zugänglichen Liste hat die Firma MITRE mit ATT&CK ein detailliertes Modell über die Verhaltensweisen von Angreifern veröffentlicht. Neben der ATT&CK Enterprise Liste, gibt es noch die PRE-ATT&CK Liste. In Kombination decken diese beiden Listen die Cyber Kill Chain ab und beschreiben ausführlich verschiedene Techniken, die von Angreifern verwendet werden.
PRE-ATT&CK – Vor dem Angriff
Die PRE-ATT&CK Liste spiegelt die ersten drei Phasen der Cyber Kill Chain ab. Die Cyber Kill Chain ist ein Modell, welches die Stufen eines Angriffs darstellt, indem der Angreifer immer tiefer vordringt. Dieses Modell wurde von Lockheed Martin entwickelt und findet auch heute noch viele Referenzierungen, da sich die Stufen der Angriffe in den letzten Jahren nicht wesentlich verändert hat, sondern lediglich die Techniken innerhalb der Stufen veränderten sich in den vergangenen Jahren.
Die PRE-ATT&CK Liste umfasst 15 Themengebiete die wiederum durchschnittlich 10 Techniken beinhalten. Die gesamte Matrix befasst somit rund 150 verschiedene Techniken, die allesamt ausführlich beschrieben werden. Ein Beispiel für die Kategorie “People Information Gathering” ist das sammeln von OSINT Daten.
ATT&CK Enterprise
In der Enterprise Kategorie befinden sich die letzten vier Stufen der Cyber Kill Chain. Inhaltlich geht es vom Erstzugriff, über die Laterale Bewegung und bspw. die Umgehung von Abwehrsystemen, bis hin zu der Ausschleusung. Das besondere an den Enterprise Matrizen ist, dass es für die bekanntesten Betriebssysteme (Windows, macOS, Linux) als auch für bekannte Cloud Anbieter (AWS, Azure, GCP, …) jeweils eine eigene Matrix gibt.
Der Grund dafür ist, dass diese Systeme ganz unterschiedlich aufgebaut sind, das heißt es werden abhängig vom Betriebssystem unterschiedliche Techniken verwendet um bspw. einen Befehl zur Ausführung zu bringen. Die Techniken, die vor einem Angriff stattfinden (PRE-ATT&CK) unterscheiden sich nicht zwischen den unterschiedlichen Systemen, da die Techniken um bspw. Informationen über ein Unternehmen zu sammeln, nicht von dem Betriebssystem der Computer innerhalb des Unternehmens abhängen.
Verwendung dieser Matrizen
Grundsätzlich helfen diese Matrizen in jeder Form dazu, einen Angriff besser zu verstehen und Verhaltensweisen der Angreifer zu erkennen. Daraus können sich verschiedene Nutzen entwickeln beispielsweise das Nennen von Akteuren. Denn verschiedene Hackergruppen benutzen unterschiedliche Funktionen und Angriffsmethoden. Erkennt man ein Muster der verwendeten Techniken kann so auf einen Akteur geschlossen werden.
Ein weiterer großer Nutzen ist, dass bei Penetrationstests beide Seiten, sowohl der Auftraggeber, als auch der Penetrationstester selber, in der gleichen Sprache kommunizieren können und beide jeweils die ATT&CK Matrix referenzieren können.