Wie man MITRE ATT&CK® für Deception Stories einsetzt

By 24.11.2020Neuigkeiten

Das MITRE ATT&CK Framework® wurde mit einem einzigen Ziel vor Augen entwickelt: Besseres Erkennen von Angreifer-Verhalten nach einer bereits erfolgten Kompromittierung.

Deception Technologie Erkennung setzt voraus, dass Angreifer bereits Computer innerhalb einer Organisation infiziert haben. Das Ziel einer Deception Lösung ist es, die Angreifer zu erkennen, bevor der Schaden entsteht und diese in eine sichere Umgebung umzuleiten. Mit unserer Lösung können wir die Techniken und Taktiken analysieren, welche bei echten Angriffen eingesetzt werden, was wiederum den Sicherheitsteams wichtige Einblicke in die Aktivitäten der Angreifer verschafft.

Deception von CYBERTRAP bildet das MITRE ATT&CK Framework® ab und korreliert mit bestimmten Techniken aus der Matrix. Hier ein Auszug aus den vorhandenen Möglichkeiten:

ID MITRE Taktiken & Techniken CYBERTRAP Deception Empfehlungen
T1190 Exploit Public-Facing Application Setzen sie Web Application Deception ein
T1110 Brute Force Verwenden sie Server als Fallen (Decoys) mit unterschiedlichen Betriebssystemen und Applikationen
T1049 System Network Connections Discovery Verwenden sie Fallen (Decoys) mit verschiedenen Services und Köder (Lures) die den Angreifer auf die Fallen locken
T1021 Remote Services Verwenden sie RDP Server als Fallen (Decoys) und streuen sie im Netzwerk entsprechende Köder (Lures), welche den Zugriff darauf erlauben
T1039 Data from Network Shared Drive Verwenden sie Fallen (Decoys) mit geteilten Laufwerken, auf welchen sie TrackDown Dokumente verteilen

Diese Empfehlungen und viele mehr ergeben eine Deception Lösung, die akkurat ist und nachvollziehbare Alerts ohne False Positives auslöst. Mehr zum Thema finden Sie auf https://attack.mitre.org/ oder https://shield.mitre.org/attack_mapping/

 

Das könnte Sie auch interessieren: Deception Technologie – was ist das?

Über den Autor

Gerald-CT

Gerald Wallner
Head of Development at CYBERTRAP
g.wallner@cybertrap.com

Was ist CYBERTRAP?

CYBERTRAP ist ein auf Cyber-Security spezialisiertes Unternehmen aus Österreich, das sich auf aktive Verteidigung und Täuschung spezialisiert hat. Mittels Deception-Technologie werden Angreifer gezielt in eine eigens dafür geschaffene IT-Infrastruktur umgeleitet, noch bevor sie weiter in die tatsächliche Infrastruktur des Unternehmens eindringen und dort Schaden anrichten können.

Vereinbaren Sie jetzt einen persönlichen Gesprächstermin mit einem Ansprechpartner in Ihrer Nähe

Rückruf vereinbaren Demo anfordern