Wie nutzen Sie MITRE ATT&CK für eine bedrohungsinformierte Verteidigung?
Kurzantwort
ATT&CK ist eine Wissensbasis realer Angreifer-Taktiken (das Warum), Techniken (das Wie) und Prozeduren. Sie nutzen es, um Ihre bestehenden Detektionen auf die Matrix zu mappen, Abdeckungslücken zu finden und die Techniken zu priorisieren, die von Akteuren genutzt werden, die tatsächlich Ihre Branche angreifen. Es bietet eine gemeinsame Sprache zwischen CTI, Detection Engineering und IR und verwandelt die Frage nach der Sicherheit in eine konkrete, messbare Abdeckungskarte, getrieben vom realen Angreiferverhalten.
MITRE ATT&CK ist die Lingua franca moderner Detektion und Threat Intelligence. Interviewer fragen danach, um zu sehen, ob Sie ein SOC vom Jagen isolierter Alerts zu einer bewussten, messbaren bedrohungsinformierten Verteidigung führen können.
Was ATT&CK tatsächlich ist
Es ist eine kuratierte Wissensbasis beobachteten Angreiferverhaltens, strukturiert als:
- Taktiken — das Ziel des Angreifers in einer Phase (das Warum): Initial Access, Persistence, Lateral Movement, Exfiltration und so weiter.
- Techniken (und Sub-Techniken) — wie sie dieses Ziel erreichen, z. B. T1059 Command and Scripting Interpreter.
- Prozeduren — die konkreten realen Umsetzungen, die in freier Wildbahn beobachtet werden, gebunden an benannte Bedrohungsgruppen und Software.
Da es aus realen Vorfällen aufgebaut ist, verankert es die Verteidigung in dem, was Angreifer tatsächlich tun, nicht in der Theorie.
Es zur Verteidigung nutzen
- Detektionen auf die Matrix mappen. Nehmen Sie Ihre bestehenden SIEM/EDR-Regeln und platzieren Sie jede auf der Technik, die sie erkennt. Das Ergebnis ist eine Abdeckungs-Heatmap (der ATT&CK Navigator ist genau dafür gebaut).
- Die Lücken finden. Leere Zellen sind blinde Flecken — Techniken, die Sie derzeit weder sehen noch alarmieren können.
- Mit Threat Intelligence priorisieren. Sie können nicht alles abdecken, also lassen Sie CTI die Reihenfolge bestimmen: Welche Gruppen greifen Ihre Branche an und welche Techniken bevorzugen sie? Schließen Sie diese Lücken zuerst.
- Purple Teaming und Detection Engineering antreiben. Testen Sie die priorisierten Techniken, schreiben oder justieren Sie Detektionen und testen Sie erneut, um die Abdeckung zu bestätigen.
- Eine Sprache sprechen. CTI, Detection Engineers, IR und Red Teams beziehen sich alle auf dieselben Technik-IDs, sodass bei Übergaben nichts verloren geht.
Warum es das Alert-Jagen schlägt
Alert-für-Alert-SOC-Arbeit hat keine Möglichkeit, die Frage zu beantworten, was man nicht sehen kann. ATT&CK formuliert die Frage als messbare Abdeckung gegenüber realem Angreiferverhalten um, sodass Investitionen bewusst statt reaktiv erfolgen.
Worauf Interviewer achten
Sie wollen die Unterscheidung Taktik/Technik/Prozedur, den Ablauf mappen-dann-Lücken-finden-dann-priorisieren, Threat Intelligence als Treiber der Priorisierung und ATT&CK als gemeinsame Sprache über Funktionen hinweg — kein Produkt, das man kauft.
Wahrscheinliche Anschlussfragen
- Was ist der Unterschied zwischen einer Taktik, einer Technik und einer Prozedur?
- Wie würden Sie eine ATT&CK-Abdeckungs-Heatmap für Ihr SOC aufbauen?
- Wie bestimmt Cyber Threat Intelligence, welche Techniken Sie priorisieren?