Im Zuge von SIEM-Einführungen besteht eine der größten Herausforderungen für Unternehmen darin, die Frage zu beantworten, welche Angriffsszenarien durch das SIEM-System erkannt werden sollen und wie diese Angriffsszenarien zu priorisieren sind.

Wie MITRE ATT&CK zur Auswahl von SIEM Use Cases genutzt werden kann (Teil 1 von 2)

Diese Frage ist deshalb eine so große Herausforderung, weil für eine seriöse Entscheidungsfindung eine Übersicht über typische Angriffsszenarien, deren Funktion und Implikationen notwendig ist. Dieses Wissen baut sich bei den Mitarbeitern jedoch i.d.R. erst über Jahre der Praxis auf und ist entsprechend genau das, was Unternehmen bei der ersten Auseinandersetzung mit dem Thema SIEM fehlt. Eine verbreitete Antwort auf die Frage, welche Angriffsszenarien es überhaupt gibt, ist der Verweis auf MITRE ATT&CK. In der MITRE ATT&CK Matrix werden Ziele von Angreifern („Taktiken“) und konkrete Aktionen zur Erreichung dieser Ziele („Techniken“) beschrieben. Dieser Verweis ist jedoch in der Praxis erstmal wenig hilfreich, da das MITRE ATT&CK Framework mittlerweile knapp 600 Techniken umfasst.

Wo vorher zu wenige Informationen vorhanden waren, sind nun durch MITRE ATT&CK zu viele Informationen vorhanden, das Resultat bleibt jedoch das gleiche: Es fehlt ein konkreter Ansatzpunkt, der eine schnelle Priorisierung ohne monatelange Vorarbeit erlaubt.

Wie kann MITRE ATT&CK als Basis für strategische Cyber Threat Intelligence genutzt werden?

Unternehmen, die sich in dieser Situation befinden, hilft unser Tool attack_rate, indem es die MITRE ATT&CK Threat Intelligence Daten verarbeitet und in einer einfach nutzbaren Form bereitstellt. Dazu verwenden wir die im STIX 2 Format bereitgestellte Datenbasis, welche MITRE im mitre/cti (cti = Cyber Threat Intelligence) bereitstellt. Zur genauen Erklärung der Funktion wird es einen separaten Blogbeitrag geben, mit einem deutlich technischeren Fokus.

Der Output unseres Tools ist eine CSV Datei, welche die vorhandenen Informationen einfach nutzbar macht. Wer sich nicht die Mühe machen will, das Tool lokal zu nutzen, kann sich stets die aktuelle CSV Datei oder die etwas komfortablere XLSX Version aus unserem Github Repository laden.

Der Begriff der Threat Intelligence ist doppeldeutig. Im Kontext von SIEM verstehen viele Techniker darunter reflexartig die Einbindung von Threat Feeds. Hier ist etwas anderes gemeint: Das Treffen strategischer Entscheidungen auf Basis eines gesicherten Datenbestandes.

Was wollen wir eigentlich mit einem SIEM-System erreichen?

Zuerst sollten wir uns aber einmal darauf einigen, was man durch ein SIEM-System im besten Fall erreichen will. Die folgende Definition ist i.d.R. zustimmungsfähig:

  • Angreifer sollen möglichst früh im Angriffszyklus erkannt werden.
  • Kosten und Nutzen sollten, gerade zu Beginn, in einem guten Verhältnis stehen.
  • Angriffe sollten mit einer hohen Zuverlässigkeit erkannt werden, False-Positives gilt es zu vermeiden.

Zwei Drittel der notwendigen Informationen lassen sich automatisiert mit attack_rate erfassen, für den letzten Arbeitsschritt ist dann zwar immer noch eine inhaltliche Auseinandersetzung nötig, diese erfordert dann aber nur einige Tage Aufwand – anstelle von Monaten.

Welche MITRE ATT&CK Taktiken sind zu betrachten – und welche auszuschließen?

Zuerst muss man sich fragen, welche Taktiken wir betrachten wollen. Hier gibt es nämlich einige, die man gleich kategorisch ausschließen kann, weil eine sinnvolle Erkennung durch ein SIEM-System nicht möglich, nicht sinnvoll, nur mit hohem Aufwand oder nur mit unzureichender Präzision machbar ist.

Abb. 1: MITRE ATT&CK Matrix in der Version 10 (Bild anklicken, um zur Originalgröße zu gelangen)

 

  • Die Taktiken Reconnaissance und Resource Development sind Teil der einstmals separierten PRE Matrix von MITRE, welche die Angriffsvorbereitung durch den Angreifer beschreibt. Es gibt hier zwar Mittel und Wege, eine Erkennung durch Cyber Deception Use Cases vorzunehmen, der Mehrwert einer solchen Erkennung ist jedoch, gerade wenn man noch am Anfang steht, eher fragwürdig.
  • Bei den Taktiken Discovery und Collection ist es i.d.R. schwer, einen Unterschied zwischen normalem Benutzerverhalten zu machen. Hier ist eine Umsetzung zwar theoretisch machbar, es bedarf jedoch einer genauen Analyse jeder Technik auf Kompatibilität mit der eigenen Umgebung. Aufgrund des relativ großen Aufwandes raten wir deshalb dazu, diese erstmal außen vor zu lassen.
  • Die Taktiken Command & Control und Exfiltration sind mit den typischerweise zur Verfügung stehenden Logquellen schwer zu erkennen. Da, wo etwas erkannt wird, ist die False-Positive Rate häufig hoch. Generell empfehlen wir hier den Einsatz von Tools wie Corelight oder Zeek, um eine höhere Datenqualität zu erreichen, die dann eine zuverlässigere Umsetzung von Use Cases erlaubt.
  • Die Taktik Impact ist mit Use Cases oft gut adressierbar, doch braucht man i.d.R. kein SIEM-System, um zu bemerken, dass ein Angreifer alle Daten von einem Dateiserver gelöscht oder zentrale Dienste heruntergefahren hat. Von daher lassen wir diese Techniken erstmal außen vor.

Next Step: Die MITRE ATT&CK Techniken nach Häufigkeit sortieren

Nun gehen wir die übrigen Taktiken durch und lassen uns die enthaltenen Techniken entsprechend der Häufigkeit sortieren. Die Annahme dahinter:  Es ist am sinnvollsten, zuerst die Angriffsszenarien zu erkennen, deren Auftreten besonders häufig und damit auch in der eigenen Umgebung besonders wahrscheinlich ist.

Die in der Tabelle enthaltenen Spalte „Groups“ spiegelt die Häufigkeit einer Technik grob wider. Grundlage hierfür sind die in MITRE ATT&CK referenzierten APT, welchen die Verwendung der jeweiligen Technik zugeschrieben wird.

Diese Daten lassen sich auch in der webbasierten Version von MITRE ATT&CK nachvollziehen. Sie finden sich im Bereich Procedure Examples und ihre ID beginnt mit G (für Group).

Abb. 2: MITRE ATT&CK Technik T1588.003: Kerberoasting (Bild anklicken, um zur Originalgröße zu gelangen)

Es ist durchaus interessant, sich die Einträge zu den einzelnen Gruppen einmal anzusehen, da sie neben der Datenbasis auch allgemeine Informationen zu der jeweiligen Gruppe, deren vermuteten Hintergründen und Zielen enthält.

Abb. 3: Ausschnitt aus der Liste der gefilterten & der Häufigkeit nach sortierten MITRE ATT&CK Techniken

Aus den identifizierten Techniken können nun diejenigen ausgewählt werden, die am besten zur Umgebung passen und sich optimal mit einem SIEM-System erkennen lassen. Nicht alle MITRE ATT&CK Techniken können mit einem SIEM-System oder überhaupt sinnvoll erkannt werden. Entscheidend für eine Umsetzbarkeit sind zudem die lokalen Gegebenheiten, die häufig darüber entscheiden, ob ein Use Case sinnvoll umgesetzt werden kann oder eine hohe False-Positive Rate aufweist.

fazitanfang

Fazit und Fallstricke

Mit der dargelegten Vorgehensweise haben wir eine Möglichkeit geschaffen, die in MITRE ATT&CK beschriebenen Techniken ohne großen Aufwand zu priorisieren – womit die folgende Einzelfallbetrachtung deutlich einfacher fallen wird.

Lesen Sie in unserem nächsten TechTalkBeitrag: Von der MITRE ATT&CK Technik zum SIEM Use Case (Teil 2/2)

Wir sehen MITRE ATT&CK als ein Einstiegspunkt, der dabei helfen soll, die Frage zu beantworten, welche Detektionsmechanismen zum Einstieg in die SIEM-Welt Sinn ergeben. Das bedeutet nicht, dass wir empfehlen, für jede identifizierte MITRE ATT&CK Technik einen separaten SIEM Use Case zu entwickeln. Deshalb befasst sich der zweite Beitrag zum Thema mit der Frage, wie sich der Scope von Use Cases am sinnvollsten aus MITRE ATT&CK Techniken ableiten lässt, wessen Interessen dabei zu berücksichtigen sind und auf welche Standards man hier zurückgreifen kann.

fazitende

SECUINFRA SIEM Experts Team · Autor:in

Managed SIEM & Co-Managed SIEM Experten

Als weiteren Mehrwert für unsere Kunden leiten unsere SIEM Experten erkannte Sicherheitsvorfälle nicht nur weiter, sondern unterstützen die Incident response Aktivitäten mit detaillierten Analyse-Informationen und Handlungsanweisungen.

Das SECUINFRA SIEM Experts Team ist auf die Bereiche “Managed SIEM” und “Co-Managed SIEM” spezialisiert. Dabei führt das Team nicht nur die klassischen operativen SOC Tätigkeiten wie das Analysieren und Bewerten von SIEM Alarmen oder dem Threat Hunting durch, sondern konzeptioniert, implementiert und betreibt die SIEM-Umgebungen. Dazu gehören unter anderem die Wartung des SIEM-Systems, die Use Case Entwicklung und Weiterentwicklung inklusive Erstellen und Pflege von Audit-Logpolicies und Runbooks sowie die Überwachung der Log-Quellen-Anbindung. Als weiteren Mehrwert für unsere Kunden leiten unsere SIEM Experten erkannte Sicherheitsvorfälle nicht nur weiter, sondern unterstützen die Incident response Aktivitäten mit detaillierten Analyse-Informationen und Handlungsanweisungen.

Managed SIEM and co-managed SIEM experts

As a further added value for our customers, our SIEM Experts not only forward detected security incidents, but also support the incident response activities with detailed analysis information and action instructions.

The SECUINFRA SIEM Experts Team is specialized in the areas of "Managed SIEM" and "Co-Managed SIEM". The team not only performs the classic operational SOC activities such as analyzing and evaluating SIEM alerts or threat hunting, but also designs, implements and operates the SIEM environments. This includes SIEM system maintenance, use case development and enhancement including creation and maintenance of audit log policies and runbooks as well as monitoring of log source connectivity. As a further added value for our customers, our SIEM experts not only forward detected security incidents, but also support the incident response activities with detailed analysis information and instructions for action.
Beitrag teilen auf: