Die Vorteile der Einführung des Zero-Trust-Ansatzes aus dem Blickwinkel der MITRE ATT&CK- und D3FEND-Frameworks

Cyberangreifer scannen die Netzwerke und Anwendungen ihrer Zielunternehmen – ihre digitale Angriffsfläche –, um mehrstufige Angriffe mit verschiedenen Methoden und Verfahren zu entwickeln, die erkannte Sicherheitslücken und Zero-Day-Schwachstellen ausnutzen. In diesem Beitrag betrachten wir verschiedene Kategorien von Bedrohungen, gegen die sich Unternehmen verteidigen müssen, und beleuchten die Anwendung von Zero-Trust-Prinzipien, wenn es darum geht, die Chance zur Eindämmung angriffsbedingter Schäden zu erhöhen. Danach werfen wir einen kurzen Blick auf die Taktiken, Techniken und Verfahren der Angreifer, die im MITRE ATT&CK-Framework kodifiziert sind. Abschließend wird das MITRE D3FEND-Framework erörtert und auf die Zero-Trust-Prinzipien umgelegt.

Das National Institute of Standards and Technology (NIST) bietet in seinem CSRC-Glossar (Computer Security Resource Center) eine abstrakte Definition für den Begriff der „Angriffsfläche“. Danach handelt es sich um „die Menge der Punkte an der Grenze eines Systems, eines Systemelements oder einer Umgebung, an denen ein Angreifer versuchen kann, in das System, das Systemelement oder die Umgebung einzudringen, eine Wirkung zu erzielen oder Daten daraus zu extrahieren“.

Eine andere Betrachtungsweise der „Angriffsfläche“ besteht in der Berücksichtigung aller bekannten und unbekannten Schwachstellen, die in verschiedenen Komponenten der digitalen Umgebung verborgen sind. Eine nicht erschöpfende Liste dieser Komponenten würde folgende Punkte umfassen: 

• Physische und virtuelle Netzwerk-, Rechen- und Speicherressourcen
  
• Hypervisoren, virtuelle Maschinen, Container-Orchestrierungssysteme, Service Meshes
  
• Software, die auf diesen Anlagen läuft, wie z. B. Firmware, Betriebssysteme, Datenbankverwaltungssoftware, Anwendungssoftware
  
• Container-Image-Repositories, VM-Image-Repositories, Code-Repositories
  
• Interne und externe APIs, Microservice-Endpunkte, Anwendungsportale
  
• Dienste, die außerhalb der lokalen Umgebung liegen, aber lokal genutzt werden, z. B. Identitätsüberprüfungsdienste, Zeitserver und Remotedatenspeicher
  
• Identitätsspeicher, Benutzerkontodatenbanken, Geschäftsdatenspeicher

Um die Risiken für das Geschäft zu minimieren, müssen Unternehmen ihre eigenen digitalen Ressourcen und ihr geistiges Eigentum sowie die Privatsphäre ihrer Kunden und Mitarbeiter schützen und gleichzeitig alle gesetzlichen Vorschriften einhalten. Dabei müssen sie darauf achten, dass die Verfügbarkeit und Zuverlässigkeit der Geschäftsabläufe und digitalen Erlebnisse weiterhin gewährleistet sind. Die Lösung für diese Herausforderung liegt in der Befolgung der Zero-Trust-Prinzipien: Anwendung des „Least Privilege“-Ansatzes, explizite Überprüfungen, kontinuierliche Bewertungen und Annahme von Sicherheitsverletzungen.¹ Auf diese Weise können Unternehmen verschiedene Bedrohungskategorien abwehren, wie in den folgenden Abschnitten beschrieben.

Daten sind das Lebenselixier moderner digitaler Unternehmen. Der finanzielle Anreiz für Angreifer, die es auf die Daten eines Unternehmens abgesehen haben, ist daher entsprechend groß. Einmal gestohlene Daten können im Dark Web verkauft und von anderen Parteien dazu verwendet werden, dem Dateneigentümer weiteren Schaden zuzufügen. Ein Unternehmen kann auch Opfer von Ransomware werden: Dabei machen Angreifer die Daten des Unternehmens unzugänglich, indem sie sie entweder an Ort und Stelle verschlüsseln oder sie vollständig aus der Infrastruktur des Unternehmens entfernen. Die Angreifer können dann vom Opfer eine Zahlung als „Lösegeld“ für die Wiederherstellung der Daten verlangen. Eine dritte Art des Datenangriffs, die von solchen Akteuren genutzt wird, die einfach nur Schaden anrichten wollen, besteht darin, die Daten auf subtile Weise zu beschädigen und so die Geschäftsprozesse und die von ihnen abhängigen digitalen Erlebnisse zu stören. 

Ein Datenleck oder eine Datenpanne entsteht, wenn ein Angreifer ohne die Zustimmung des Eigentümers Zugang zu vertraulichen Informationen erhält. Zusätzlich zu den Auswirkungen auf das geistige Eigentum führen diese Angriffe oft zu einer Schädigung des Markenimages und zu einem Vertrauensverlust. Das Gesetz schreibt vor, dass Unternehmen, bei denen es zu einer solchen Panne gekommen ist, jeden Datenverlust melden müssen, von dem auch personenbezogene Daten betroffen sind. Phishing-Methoden, die Ausnutzung von Schwachstellen öffentlich zugänglicher Anwendungen und die Kompromittierung der Lieferkette sind beliebte Methoden, um in digitale Umgebungen einzudringen, in denen Daten gespeichert sind.

Ein bemerkenswertes Beispiel aus jüngster Zeit ist der Angriff auf die Lieferkette von SolarWinds², der von Angreifern genutzt wurde, um in die Systeme Tausender von Unternehmen und Regierungsorganisationen einzudringen. Dieser erste Zugang diente als Sprungbrett für nachfolgende Angriffsschritte, indem eine dauerhafte Präsenz in der digitalen Infrastruktur eingerichtet und so Lateral Movements über mehrere Anwendungen und Netzwerke der jeweiligen Opfer hinweg ermöglicht wurden. Letztlich führten diese Taktiken den Angreifer zum Ziel: die Kompromittierung von Anmeldeinformationen/Kennwörtern und die Exfiltrierung der Daten der Betroffenen.

Eine weitere Form des Angriffs auf Daten sind „Ransomware“-Angriffe, bei denen Hacker Schadsoftware einsetzen, um wichtige Geschäftsprozesse entweder zu stören oder ganz zu blockieren. Meist werden wichtige Geschäftsdaten verschlüsselt oder entfernt und damit kritische Arbeitsabläufe unterbrochen. In einigen Fällen werden auch Daten im Identitätsauthentifizierungsdatenspeicher verschlüsselt oder entfernt, wodurch legitime Benutzer vollständig aus dem System ausgeschlossen werden. Erst nach Erhalt eines „Lösegelds“ stellen die Angreifer den Zugang zum System wieder her oder entschlüsseln die Daten. Im Mai 2021 legte ein Ransomware-Angriff die Colonial Pipeline³ lahm, die Benzin und Flugzeugtreibstoff in den Südosten der Vereinigten Staaten transportiert.

Einige Angreifer folgen bei ihren Datenangriffen einem etwas nuancierteren Ansatz. Anstatt die Daten zu exfiltrieren oder unzugänglich zu machen, nehmen diese raffinierten Angreifer eine kleine Anzahl gezielter Änderungen an den vorhandenen Daten des betroffenen Unternehmens vor und nutzen die normalen, nach außen gerichteten Workflows der Anwendung, um sich zu bereichern. Beispiele hierfür sind die Erhöhung des Anteils der Plätze im Flugzeug, die mit einem Rabatt vergeben werden sollen, die Manipulation einer Bestandsdatenbank, um den Anschein zu erwecken, dass mehr oder weniger Artikel zum Verkauf stehen, oder das Hinzufügen eines speziellen Rabatt-Codes auf einer E-Tail-Website. Der Angreifer nutzt durch diese „heimlichen“ Änderungen, die oft erst entdeckt werden, wenn der Schaden bereits entstanden ist, die Geschäftsabläufe des Opfers, um Geldflüsse abzuzweigen. 

Hacker starten Angriffe, die Ressourcen im Netzwerk und in der Computerinfrastruktur verbrauchen, was dazu führt, dass Geschäftsprozesse zum Stillstand kommen oder ineffizient funktionieren. Die Ziele solcher Angriffe reichen von der Beschädigung des Markenimages des betroffenen Unternehmens über die Erpressung von Zahlungen bis hin zum Erreichen eines bestimmten geschäftlichen Ergebnisses, wie z. B. der Verhinderung eines Online-Ticketverkaufs. Außerdem nutzen technisch versierte Angreifer diese Art von Angriffen oft als Ablenkungsmanöver, während sie gleichzeitig an einem anderen, noch ausgefeilteren Angriff arbeiten. 

Angreifer lenken mithilfe von Botnets Angriffsdatenströme auf die Ressourcen des Ziels, um DDoS-Angriffe (Distributed Denial-of-Service-Angriffe) zu starten. Volumetrische DDoS-Angriffe überfluten das Netzwerk des Ziels mit Datenverkehrsströmen und verbrauchen die gesamte verfügbare Bandbreite. Bei DDoS-Angriffen auf Protokolle werden spezielle Datenströme versendet, um die Verbindungstabellen von zustandsbehafteten Netzwerkvorrichtungen (z. B. Firewalls) zu füllen, was dazu führt, dass legitime Verbindungen abgebrochen werden. DDoS-Angriffe auf Anwendungen verbrauchen mit unzulässigen Anfragen Serverressourcen. 

Angreifer können sich unberechtigten Zugriff auf Rechenressourcen verschaffen, um im Namen des Angreifers Berechnungen durchzuführen, deren Ergebnisse an einen Command-and-Control-Server zurückgemeldet werden. Dies geschieht meist, um Krypto-Mining-Code im Hintergrund auszuführen, ohne dass der Besitzer des Computers dies bemerkt. Phishing und Drive-by-Downloads sind typische Methoden, um Krypto-Mining-Code auf Computern zu installieren. Hacker nutzen die MITRE ATT&CK-Taktik des Lateral Movement, um die von ihnen gestohlene CPU-Kapazität zu erhöhen, und die Persistenz-Taktik, um ihre Fähigkeit zur Ausführung nicht autorisierter Berechnungen aufrechtzuerhalten.

Akteure mit böswilligen Absichten fügen Unternehmen Schaden zu, indem sie einen wunschgemäßen Arbeitsablauf oder ein Benutzererlebnis missbräuchlich verwenden. Diese Bedrohungen können zu Umsatzeinbußen, einem geschädigten Markenimage und höheren Betriebskosten infolge der Betrugsbekämpfung führen.

Hacker, die auf persönlichen Profit aus sind, nutzen legitime Geschäftsprozesse, um Unternehmen zu schaden. So können sie beispielsweise mithilfe von automatisierten Abläufen eine große Anzahl von Eintrittskarten für eine beliebte Veranstaltung kaufen, anderen damit die Möglichkeit nehmen, diese zu erwerben, und sie dann zu einem höheren Preis verkaufen. 

Geschäftsinformationen können von der öffentlichen Website eines Unternehmens abgegriffen oder aus internen Systemen gestohlen und dann auf eine Weise verwendet werden, die dem Unternehmen schadet. So kann beispielsweise ein Konkurrent Preisinformationen ausspähen und seine eigenen Preise senken, um Kunden abzuwerben. 

Hacker können den Inhalt einer öffentlich zugänglichen Website verändern und verunstalten, um ein Unternehmen in Verlegenheit zu bringen. Außerdem können sie den Inhalt auch so verändern, dass die Nutzer der Website falsche Informationen erhalten. 

Betrüger finden Wege, finanzielle Transaktionen im Namen anderer Nutzer durchzuführen, um von den Transaktionen zu profitieren. Sie verwenden gestohlene Zugangsdaten für Kontoübernahmen oder bringen ahnungslose Nutzer dazu, eine Website aufzurufen, die so aussieht wie eine von ihnen normalerweise genutzte Seite, und dort ihre Zugangsdaten preiszugeben. Diese Art von Betrug findet in der Regel auf E-Commerce-Websites oder Portalen von Finanzinstituten statt. Während der COVID-Ära waren viele Betrüger im Bereich des Arbeitslosigkeitsbetrugs aktiv, wo sie unter Verwendung gestohlener Identitäten betrügerische Arbeitslosengeldanträge stellten und die Leistungen an sich selbst auszahlen ließen.⁴

Ein hartnäckiger Angreifer, der ein Unternehmen bedroht, ist geduldig, organisiert und hochqualifiziert. Um Schaden anzurichten, muss der Angreifer mehrere taktische Ziele erreichen, z. B. Informationen sammeln, sich einen ersten Zugang verschaffen, eine Ausgangsstellung einrichten, Informationen stehlen, Daten exfiltrieren usw. Das MITRE ATT&CK-Framework⁵ listet taktische Ziele, Techniken zur Erreichung der taktischen Ziele und Verfahren zur Umsetzung dieser Techniken auf. Abwehrsysteme können dieses Framework nutzen, um jeden Angriff in die entsprechenden Taktiken, Techniken und Verfahren (TTPs) zu zerlegen, die auf der MITRE ATT&CK-Framework-Website zu finden sind. Es kann festgehalten werden, dass für jede Taktik und die damit verbundenen Techniken die Einhaltung der Zero-Trust-Prinzipien in der gesamten digitalen Umgebung die Erfolgswahrscheinlichkeit für den Angreifer verringert und die Wahrscheinlichkeit einer frühzeitigen Entdeckung seiner Aktivitäten erhöht, wie in Abbildung 1 dargestellt.

Das D3FEND-Framework bietet eine Wissensdatenbank mit Gegenmaßnahmen und ein Wissensdiagramm, das „semantisch stringente Typen und Beziehungen enthält, die sowohl die Schlüsselkonzepte für Gegenmaßnahmen im Bereich der Cybersicherheit als auch die Beziehungen definieren, die erforderlich sind, um diese Konzepte miteinander zu verknüpfen“.⁷ Dieses Framework unterstützt Sicherheitsexperten bei der Überlegung, welche Funktionalitäten erforderlich sind, um Bedrohungen abzuwehren, die für ihre digitale Umgebung relevant sind.

Darüber hinaus kann ein Sicherheitsrisiko unter dem Aspekt der Vorbereitung auf die verschiedenen im MITRE ATT&CK-Framework aufgezählten TTPs betrachtet werden, indem man die Möglichkeit zur Durchführung der im D3FEND-Framework aufgeführten relevanten Gegenmaßnahmen abschätzt. Das Bindeglied zwischen den beiden Rahmenwerken ist die Abstraktion des „digitalen Artefakts“. Wenn Angreifer eine Reihe von TTPs zur Durchführung ihres Angriffs nutzen, erzeugt ihre Aktivität beobachtbare digitale Artefakte. Das D3FEND-Framework unterstützt Experten dabei, gezielt nach durch gegnerische Aktivitäten erzeugten digitalen Artefakten zu suchen, und hilft bei der Erstellung eines umsetzbaren Abwehrplans.

Es kann festgehalten werden, dass die einzelnen Kategorien der MITRE D3FEND-Gegenmaßnahmen genau den Zero-Trust-Sicherheitstechniken entsprechen, die auf den Zero-Trust-Prinzipien beruhen, wie in Abbildung 2 dargestellt. 

Die heutigen Anwendungen und digitalen Erlebnisse werden durch den Wunsch der Unternehmen nach einer umfassenderen Interaktion mit einer größeren Anzahl von Zielkunden – darunter sowohl Menschen als auch intelligente Geräte – im breiteren Kontext eines Ökosystems aus miteinander verbundenen digitalen Unternehmen vorangetrieben, die eine wachsende Zahl mobiler Arbeitskräfte und Kunden bedienen. Gleichzeitig hat das Erfordernis einer immer größeren geschäftlichen Agilität und Effizienz dazu geführt, dass die Anwendungsarchitekturen in viel stärkerem Maße auf Open Source- und SaaS-Komponenten zurückgreifen. Folglich ist die Kernanwendung heute mehr denn je auf eine tiefere und weniger kontrollierte Infrastruktur angewiesen. Die Anforderungen moderner Unternehmen haben zu einer höheren Komplexität der Anwendungsarchitektur geführt, und die daraus resultierende breitere und dynamischere Angriffsfläche wird von raffinierten Angreifern ausgenutzt, die kapitalkräftiger und motivierter sind als je zuvor.

Das MITRE ATT&CK-Framework bietet eine organisierte Nomenklatur jener Taktiken, Techniken und Verfahren, die von böswilligen Akteuren bei der Planung komplexer Angriffe verwendet werden. Das MITRE D3FEND-Framework enthält ein Wissensdiagramm mit Gegenmaßnahmen, auf die Unternehmen zurückgreifen können, um beobachtbare digitale Artefakte zu erkennen, die von den bei einem Angriff verwendeten TTPs erzeugt werden. MITRE D3FEND-Gegenmaßnahmen lassen sich verschiedenen Zero-Trust-Prinzipien zuordnen, und die Einhaltung dieser Prinzipien macht den spezifischen Mechanismus zur Implementierung der jeweiligen Gegenmaßnahme effektiver. 

Den Bericht herunterladen