MITRE ATT&CK-Produktbewertungen

MITRE hat unsere Lösungen im Rahmen der APT29-Bewertung getestet. Wir erklären, wie die Tests und Ergebnisse interpretiert werden können.

MITRE vergleicht nicht nur Sicherheitslösungen, sondern ist darüber hinaus ein Non-Profit-Unternehmen mit der Mission, eine sicherere Welt zu schaffen. Jeder, der mit der Welt der Cybersicherheit vertraut ist, wird wissen, dass das Unternehmen in erster Linie für seine Datenbank populärer CVEs (Common Vulnerabilities and Exposures) bekannt ist. Vor einiger Zeit ging das Unternehmen allerdings noch einen Schritt weiter und erstellte die Bedrohungsmatrix MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge).

Was ist MITRE ATT&CK?

MITRE ATT&CK ist eine öffentliche Wissensdatenbank, in der die bei zielgerichteten Angriffen angewandten Techniken und Methoden verschiedener Akteure zusammengetragen werden. Die Daten werden in Matrixform dargestellt und bieten einen Überblick darüber, wie Angreifer in die Unternehmensinfrastruktur eindringen und dort Fuß fassen, welche Tricks sie anwenden, um unentdeckt zu bleiben usw. Obwohl es sich im Wesentlichen um eine Bedrohungsmatrix auf Unternehmensebene handelt, arbeitet MITRE auch an Matrizen, die die Taktiken von Cyberkriminellen für Cyberangriffe auf mobile Geräte und industrielle Kontrollsysteme abdecken.

Bei MITRE ATT&CK geht es allerdings nicht nur darum, Informationen des Wissens halber zu sammeln. Das Framework soll die Erstellung von Bedrohungsmodellen für verschiedene Branchen vereinfachen und, was noch wichtiger ist, dazu beitragen, bestimmen zu können, welche bekannten Bedrohungen eine bestimmte Lösung oder eine Lösungskombination erkennen kann.

Theoretisch funktioniert dies wie folgt: Ein Unternehmen, das nach einer Lösung zum Schutz seiner Infrastruktur sucht, gleicht die Fähigkeiten der Anwärter mit der ATT&CK-Matrix ab und kann dann sehen, welche Bedrohungen bestehen bleiben. Ähnlich wie beim Bingo. In der Praxis führt MITRE Tests durch, die als ATT&CK-Bewertungen bezeichnet werden, um zu verstehen, welche Bedrohungen ein bestimmtes Sicherheitsprodukt identifiziert.

ATT&CK-Bewertungen und wie sie funktionieren

MITRE-Forscher wählen einen bekannten APT-Akteur und emulieren über einen bestimmten Zeitraum Angriffe in einer Testumgebung – hierbei werden keine Simulationen bereits bestehender Angriffe durchgeführt. Stattdessen modifizieren die Forscher individuelle Angriffstools, um herauszufinden, wie eine bestimmte Lösung während der Angriffsphasen verschiedene Taktiken erkennt. Reaktionsmechanismen sind während der Testphase deaktiviert.

Diese Testrunde wird APT29 Bewertung genannt. Im Rahmen dieser Auswertung emulieren die Forscher die Bemühungen der Cybergruppe APT29, bekannt unter den Namen CozyDuke, Cozy Bear und The Dukes. Hier ein detaillierter Bericht über ATT&CK-Bewertungen.

Getestete Produkte und Testergebnisse

In der letzten Testrunde wurden unsere Lösung Kaspersky Endpoint Detection and Response sowie unser Dienst Kaspersky Managed Protection getestet. Informationen zu den spezifischen Testdetails finden Sie in diesem Artikel.

Unsere Lösung bewies eine hohe Erkennungsrate von Schlüsseltechniken in entscheidenden Phasen moderner zielgerichteter Angriffe – insbesondere in den Phasen Ausführung, Persistenz, Rechteausweitung und Lateral Movement. Detaillierte Testergebnisse und weitere Informationen zu ATT&CK finden Sie unter MITRE ATT&CK auf unserer Unternehmenswebsite.

Tipps