Wissen ist Sicherheit

von Thorsten Scherf

Die Absicherung der eigenen Unternehmens-IT gestaltet sich mitunter als Sisyphusaufgabe. Trotz aller Sorgfalt bleiben den Verantwortlichen die einen oder anderen Sorgenfalten erhalten. Ein Überblick über die eigene IT-Infrastruktur ist zunächst die Grundlage, und dann gilt es, sich die Angriffsvektoren noch einmal genau anzusehen. Der Security-Tipp in diesem Monat stellt Ihnen die Wissensdatenbanken der MITRE vor und zeigt Ihnen, wie Sie diese bei der Absicherung Ihrer IT nutzen können.

IT-Sicherheit betrifft viele unterschiedliche Bereiche eines Unternehmens. Diese umfänglich im Blick zu halten, um mögliche Angriffsvektoren frühzeitig zu erkennen und mit effektiven Gegenmaßnahmen die IT-Infrastruktur zu schützen, ist eine Mammutaufgabe. Vor allem für Unternehmen ohne eigene SOCs, wo das eine kleine IT-Abteilungen nebenbei erledigen muss. Bei der Umsetzung von Sicherheitsmaßnahmen kommt es vor allem auf das Wissen und die Erfahrung der Mitarbeiter an.

Als eine Referenz im Bereich IT-Sicherheit gilt die US-amerikanische MITRE Corporation, eine Non-Profit-Organisation, die im Auftrag der US-Regierung Forschungseinrichtungen mit unterschiedlichen Schwerpunkten betreibt. Auch wenn Sie selbst bisher keinen direkten Kontakt zur MITRE hatten, kennen Sie vermutlich das CVE-System zur Zuordnung und Identifikation von Schwachstellen zu eindeutigen Bezeichnern. Aufmerksame Leser unseres Security-Tipps kennen von MITRE auch STIX und CyBox, die zum Austausch von Bedrohungsinformationen und Angriffsindikatoren genutzt werden.

Um die Schritte von Angreifern nachvollziehen zu können und diese auch zu verhindern, gibt es seit 2015 mit dem "MITRE ATT&CK"-Framework [1] eine Wissensdatenbank mit Angriffstechniken und -methoden, angereichert mit Details über Hackergruppen und deren individuellen Vorgehensweisen. Um Informationen aus der Datenbank zu verwenden, bestehen unterschiedliche Möglichkeiten.

ATT&CK

Um einen ersten Überblick zu erhalten, besuchen Sie die Webseite und sehen Sie sich in der Wissensdatenbank um. Unter dem Menüpunkt "Matrices" erhalten Sie einen ersten Einblick in Aufbau und Struktur der Daten. Diese sind aufgeteilt in Unternehmens-IT ("Enterprise"), Smartphones ("Mobile") und Industriesteuersysteme ("ICS"), wobei Enterprise und Mobile direkt in die Oberfläche integriert sind und ICS aktuell noch auf ein Wiki mit weiterführenden Informationen verlinkt.

Die Matrizen sind zeitlich sortiert und orientieren sich an der Cyber Kill Chain von Lockheed Martin [2]. Im linken Bereich beginnt die Darstellung mit vorbereitenden Techniken in der Aufklärungsphase "Reconnaissance" und rechts finden Sie unter den Punkten "Exfiltration" und "Impact" mögliche Aktivitäten der Angreifer nach erfolgreicher Übernahme von Systemen.

Um einzelne Techniken näher zu betrachten, widmen wir uns an dieser Stelle exemplarisch dem unter "Reconnaissance" angegebenen Punkt "Phishing for Information" [3]. Wenn Sie diesen auswählen, gelangen Sie zu einer Detailseite mit weiteren Informationen. Dort ist beschrieben, dass Angreifer Phishingnachrichten an potenzielle Opfer senden, um weitere Informationen, etwa Logindaten zu Computersystemen, von Unternehmen zu erhalten. Zusätzlich wird die Abgrenzung zu "Phishing" in der Angriffsphase deutlich gemacht, in der es weniger um die reine Informationssammlung geht als vielmehr um das Ausführen von Schadsoftware, die im Rahmen von Phishingkampagnen per E-Mail rausgeht.

Unter "Procedure Examples" sind exemplarisch Gruppen referenziert, die entsprechende Techniken in der Vergangenheit angewendet haben, häufig mit kurzen Kommentaren versehen. Direkt darunter folgen "Mitigations", also mögliche Gegenmaßnahmen. Für Phishing for Information finden Sie hier etwa eine Referenz auf SPF, DKIM und DMARC (vergleichen Sie hierzu auch unseren Security-Tipp im letzten Monat und den Open-Source-Tipp in diesem Heft), um den Erfolg von klassischem E-Mail-Phishing einzudämmen.

Als zweite Gegenmaßnahme sind die Aufklärung und Schulung von Mitarbeitern gelistet, um entsprechende Versuche zu erkennen und zu vereiteln. Der Abschnitt "Detection" beschreibt vor allem automatisierte beziehungsweise automatisierbare Möglichkeiten zur Erkennung der Technik, was Sie zum Schutz selbst, aber auch zur Erstellung von Lagebildern verwenden können. Unter "References" sind Quellen und weiterführende Informationen gesammelt. Hier finden Sie wissenschaftliche Papiere, Berichte und Artikel zur weiteren Recherche.

D3FEND

Analog zu den im ATT&CK-Framework angegebenen Angriffstechniken erhalten Sie in der Wissensdatenbank "MITRE D3FEND" Informationen aus der Verteidigersicht. Hier gibt es eine Matrix mit fünf unterschiedlichen Techniken zur Absicherung Ihrer Computersysteme. Auf der linken Seite beginnt die Matrix mit dem Punkt "Harden", in dem Sie Techniken in vier unterschiedlichen Kategorien vorfinden, um Systeme und Ressourcen vor deren Verwendung abzusichern. Sie finden Möglichkeiten zur Kompilierung von Software, Hinweise zu sicheren Passwörtern und verschlüsselten Nachrichten sowie zur Verwendung von TPM-basiertem Schutz des Bootvorgangs oder zur Festplattenverschlüsselung.

Unter dem Punkt "Detect" sind Techniken dargestellt, die zur Erkennung schadhafter Aktivitäten beziehungsweise zur Bewertung allgemeiner Aktivitäten im eigenen Netzwerk führen können. Wir bleiben bei Phishing als Beispiel und schauen uns die "Sender MTA Reputation Analysis" näher an. Auf der Detailseite sind allgemeine technische Möglichkeiten zur Bewertung von MTAs dargestellt. So ordnen Sie sendende Mailserver ein, etwa basierend auf historischem Verhalten: Hatten Sie bereits E-Mails von diesem MTA erhalten, welche Domains werden als Absender-Domains genutzt oder wie viele Antwort-E-Mails auf eigene Anfragen haben Sie von diesem MTA erhalten?

Die Einträge der D3FEND-Datenbank enthalten direkte Links zu den relevanten Punkten des ATT&CK-Frameworks und Informationen zu Implementierungen oder Patenten, die entsprechende Techniken umfassen. So springen Sie von einer MITRE-Datenbank zur anderen hin und her und überschauen schnell, ob Sie bei der Absicherung an alles gedacht haben. Die D3FEND-Wissensdatenbank stellt damit eine logische Ergänzung zu den in der ATT&CK-Datenbank gesammelten Angriffstechniken dar.

Systematischer Einsatz

Um einen tiefergehenden Einblick zu erhalten oder Informationen zielgerichtet zu sammeln und zu verarbeiten, bietet ATT&CK zusätzliche Anbindungen. Wenn Sie etwa bereits ein Werkzeug zur Analyse von STIX-Daten einsetzen, können Sie die von MITRE vorbereiteten STIX-Datensätze direkt aus dem Repository [4] importieren. Für Ihre internen Planungen lassen sich mit dem ATT&CK-Navigator bei der Recherche relevante Einträge markieren, Zusammenhänge darstellen und so der Verlauf bei der Absicherung der Infrastruktur planen und nachvollziehen. Damit behalten Sie den Überblick, delegieren einzelne Aufgaben innerhalb Ihres Teams und binden in Ihren Berichten schnelle Übersichten über den Status Quo ein.

Fazit

Mit den MITRE-Wissensdatenbanken erhalten Sie einen umfänglichen Einblick in Angriffs- und Verteidigungstechniken. Diese Informationsquellen lassen sich als Grundlage zur Absicherung der von Ihnen verantworteten IT-Infrastruktur nutzen oder auch einfach als Nachschlagewerk für das nächste Capture-The-Flag-Event. Fehlen Ihnen Inhalte in den Wissensdatenbanken, können Sie diese für zukünftige Versionen beisteuern. So lässt sich Expertenwissen bündeln und für möglichst viele Unternehmen verfügbar halten.