ATT&CK

ATT&CK oder MITRE ATT&CK ist eine Wissensdatenbank der MITRE Corporation zur Klassifizierung und Beschreibung von Cyberbedrohungen. ATT&CK steht dabei für Adversarial Tactics, Techniques, and Common Knowledge, übersetzt Taktiken, Techniken und allgemeines Wissen zu Angriffen und ist eine Ableitung des englischsprachigen Kürzels TTP (Tactics, Techniques & Procedures), der das Verhalten von Cyberangreifern beschreibt, die durch das ATT&CK-Framework gesammelt werden.^[1]

ATT&CK beschreibt die bei einem Cyberangriff benutzten „Techniken“ (z. B. Phishing oder Exploits) und „Subtechniken“ und unterteilt diese in verschiedene „Taktiken“ (ähnlich der Phasen in einer Cyber Kill Chain). Das Framework dokumentiert dabei auch bereits konkrete, durch Advanced Persistent Threats (ATP) oder sonstigen Angreifern verwendete, Angriffsprozeduren sowie mögliche Mitigationen gegen die einzelnen Angriffstechniken. Das ATT&CK-Famework kann dadurch zur Erkennung von Cyberangriffen, zur Beschreibung und Analyse von Cyberbedrohungen, zur Emulierung von entsprechenden Bedrohungen durch Red Teams, zur Evaluierung von Sicherheitsmaßnahmen im IT-Umfeld oder für die Beurteilung der Reaktionsfähigkeit eines Security Operation Center (SOC) auf verschiedene Bedrohungen verwendet werden.^[2]

Seine Ursprünge hatte ATT&CK im 2010 gegründeten FMX-Forschungsumgebung von MITRE, mit der Forscher Methoden entwickeln konnten, um Bedrohungen besser zu erkennen. Dabei begann MITRE auch Methoden zu entwickeln, um ATPs schneller zu erkennen. Um dieses Ziel zu erreichen, kategorisierte MITRE die beobachteten Angriffsmethoden der ATP in verschiedene Kategorien und daraus entstand im September 2013 das erste ATT&CK-Framework, dass damals noch auf Windows-Umgebungen im Unternehmensumfeld fokussiert war. Im Mai 2015 wurde die erste Variante des Models mit 96 verschiedenen Techniken, die in neun Phasen eingeteilt waren, schließlich veröffentlicht. 2017 wurde das Model auf Mac und Linux ausgeweitet und wurde von nun an ATT&CK for Enterprise genannt, während im selben Jahr mit ATT&CK for Mobile auch ein Modell für mobile Endgeräte veröffentlicht wurde. 2019 wurde das Enterprise-Modell um Cloud-Methoden erweitert und 2020 erschien mit ATT&CK for ICS ein Modell für Industriesysteme.^[3] Seit 2021 werden auch Container von ATT&CK erfasst.^[4]

Das MITRE ATT&CK-Framework im Enterprise-Umfeld wird üblicherweise in einer Matrix dargestellt und unterteilt sich in 14 verschiedene Taktiken (Stand: Januar 2025^[5]) und den darin enthaltenen Techniken, geordnet nach ihrer typischen Anwendung im zeitlichen Ablauf einer Cyberattacke:

ATT&CK wird von Microsoft in sein Sicherheitsprodukt Sentinel integriert.^[6] Außerdem integrieren u. a. IBM und Cisco Systems Attack in ihre Produkte.^[7][8] Laut Heise ist das ATT&CK-Framework „ein in Security-Kreisen bekanntes und bewährtes Werkzeug zum einheitlichen Klassifizieren von Angriffsstrategien“.^[9] Die Computerwoche schrieb: „Das MITRE ATT&CK Framework entwickelt sich zum De-facto-Standard für vorausschauende IT-Sicherheit in Unternehmen.“^[10]

Neben dem ATT&CK gibt es von MITRE auch noch ein D3FEND-Framework, dass sich im gleichen Stil wie das ATT&CK-Framework auf die Verteidigungsmethoden gegen Cyberangriffe konzentriert. Dieses ist mit den jeweiligen Angriffsmethoden aus dem ATT&CK-Framework verknüpft.^[11] D3FEND wurde am 20. Juni 2021 erstmals in einer Beta-Version veröffentlicht^[12] und erreichte am 20. Dezember 2024 schließlich die Version 1.0.^[13]

• Offizielle Website von MITRE ATT&CK (englisch)

1. ↑ What is MITRE ATT&CK®: An Explainer. Exabeam, abgerufen am 19. Januar 2025 (englisch). 
2. ↑ Blake E. Strom, Andy Applebaum, Doug P. Miller, Kathryn C. Nickels, Adam G. Pennington und Cody B. Thomas: MITRE ATT&CK®: Design and Philosophy. März 2020, S. 3&4 (englisch, attack.mitre.org [PDF]). 
3. ↑ Blake E. Strom, Andy Applebaum, Doug P. Miller, Kathryn C. Nickels, Adam G. Pennington und Cody B. Thomas: MITRE ATT&CK®: Design and Philosophy. März 2020, S. 1&2 (englisch, attack.mitre.org [PDF]). 
4. ↑ Jamie Williams: Data Sources, Containers, Cloud, and More: What’s New in ATT&CK v9? MITRE ATT&CK, 29. April 2021, abgerufen am 19. Januar 2025 (amerikanisches Englisch). 
5. ↑ Enterprise Matrix. MITRE ATT&CK, abgerufen am 19. Januar 2025 (amerikanisches Englisch). 
6. ↑ austinmccollum: Anzeigen der MITRE-Abdeckung für Ihre Organisation von Microsoft Sentinel. In: Grundlegendes zur Sicherheitsabdeckung durch das MITRE ATT&CK®-Framework. Microsoft, abgerufen am 25. April 2025 (deutsch). 
7. ↑ MITRE ATT&CK Archives. In: Cisco Blogs. Abgerufen am 25. April 2025 (amerikanisches Englisch). 
8. ↑ Was ist das MITRE ATT&CK Framework? | IBM. 18. Mai 2023, abgerufen am 25. April 2025. 
9. ↑ heise online: Seite 2: Gut strukturiert dank MITRE ATT&CK und MBC. Abgerufen am 25. April 2025. 
10. ↑ FAQ MITRE ATT&CK: So nutzen Sie das IT-Security-Framework. Abgerufen am 25. April 2025 (deutsch). 
11. ↑ MITRE D3FEND. Abgerufen am 19. Januar 2025 (englisch). 
12. ↑ Peter Kaloroumakis: D3FEND: Getting to 1.0. 23. Oktober 2023, abgerufen am 23. Februar 2025 (englisch). 
13. ↑ Peter Kaloroumakis: D3FEND 1.0 General Availability. 20. Dezember 2024, abgerufen am 19. Januar 2025 (englisch).