Security Testing im Kontext des MITRE ATT&CK Frameworks
Cyberangriffe folgen wiederkehrenden Mustern. Das MITRE ATT&CK Framework katalogisiert diese Muster systematisch und bietet Unternehmen eine gemeinsame Sprache.
Inhaltsverzeichnis
Cyberangriffe folgen wiederkehrenden Mustern. Das MITRE ATT&CK Framework katalogisiert diese Muster systematisch und bietet Unternehmen eine gemeinsame Sprache, um Bedrohungen zu verstehen und Schutzmaßnahmen zu priorisieren. Besonders relevant ist die Taktik "Initial Access" (TA0001), die beschreibt, wie Angreifer erstmalig in ein Netzwerk eindringen.
Dieser Artikel ordnet verschiedene Security-Testing-Disziplinen den entsprechenden MITRE-Techniken zu und zeigt, wie Unternehmen ihre Angriffsfläche systematisch prüfen können.
External Network Pentest
Der External Network Pentest simuliert einen Angreifer, der von außen versucht, in die IT-Infrastruktur einzudringen. Dabei werden öffentlich erreichbare Systeme wie Firewalls, VPN-Gateways, Mail-Server und exponierte Dienste auf Schwachstellen untersucht.
MITRE-Mapping
| Technik-ID | Name | Beschreibung |
|---|---|---|
| T1190 | Exploit Public-Facing Application | Ausnutzung von Schwachstellen in internetexponierten Anwendungen |
| T1133 | External Remote Services | Angriffe auf VPN, RDP, Citrix und andere Fernzugriffsdienste |
Prüfungsumfang
Ein professioneller Infrastruktur-Pentest umfasst die Identifikation aktiver Dienste durch Port-Scans, die Analyse von Konfigurationsfehlern, die Prüfung auf bekannte Schwachstellen wie ProxyLogon oder Ripple20 sowie die Bewertung von Firewall-Regeln und Netzwerksegmentierung. Die Ergebnisse dienen als Grundlage für gezielte Härtungsmaßnahmen.
Weiterführende Informationen: turingpoint - Infrastruktur-Pentest
Web Application Pentest
Webanwendungen sind ein bevorzugtes Ziel für Angreifer, da sie oft direkt aus dem Internet erreichbar sind und sensible Daten verarbeiten. Ein Web Application Pentest prüft die Anwendungsebene auf Sicherheitslücken.
MITRE-Mapping
| Technik-ID | Name | Beschreibung |
|---|---|---|
| T1190 | Exploit Public-Facing Application | Ausnutzung von Schwachstellen in Webapplikationen und APIs |
| T1189 | Drive-by Compromise | Kompromittierung durch manipulierte Webinhalte |
Prüfungsumfang
Die Prüfung orientiert sich an anerkannten Standards wie dem OWASP Testing Guide und umfasst Authentifizierungs- und Autorisierungsmechanismen, Session-Management, Eingabevalidierung (SQL Injection, XSS, Command Injection), API-Sicherheit sowie Business-Logic-Fehler. Moderne Webanwendungen nutzen häufig Drittanbieter-APIs, die ebenfalls in die Prüfung einbezogen werden sollten.
Weiterführende Informationen: turingpoint - Web Application Pentest
Cloud Security Assessment
Cloud-Infrastrukturen wie AWS, Azure und GCP bieten enorme Flexibilität, bringen aber auch neue Angriffsvektoren mit sich. Fehlkonfigurationen in IAM-Policies, offene Storage-Buckets oder unsichere Service-Accounts gehören zu den häufigsten Schwachstellen.
MITRE-Mapping
| Technik-ID | Name | Beschreibung |
|---|---|---|
| T1078.004 | Valid Accounts: Cloud Accounts | Missbrauch kompromittierter Cloud-Zugangsdaten |
| T1199 | Trusted Relationship | Ausnutzung von Vertrauensbeziehungen (Federated Identity, Service Accounts) |
| T1190 | Exploit Public-Facing Application | Angriffe auf Cloud-APIs und Serverless Functions |
Prüfungsumfang
Ein Cloud Security Assessment analysiert IAM-Berechtigungen auf ausnutzbare Fehlkonfigurationen, Storage-Konfigurationen und Datenzugriffsrechte, Netzwerksicherheitsgruppen und Virtual Private Clouds, Logging und Monitoring sowie die Einhaltung von Cloud-spezifischen Best Practices wie CIS Benchmarks. Die Prüfung erfolgt im Rahmen des Shared-Responsibility-Modells, bei dem der Kunde für die sichere Konfiguration verantwortlich ist.
Weiterführende Informationen: turingpoint - Cloud Pentests
Static Code Analysis / SAST
Während die bisherigen Disziplinen Schwachstellen in produktiven Systemen aufdecken, setzt Static Application Security Testing (SAST) früher an: im Quellcode, bevor dieser in Produktion geht. SAST ist keine Angreifer-Technik im MITRE-Sinne, sondern eine präventive Maßnahme, die das Framework ergänzt.
Bezug zum MITRE-Framework
| Bezug | Beschreibung |
|---|---|
| Prävention für T1190 | Identifikation von Injection-Flaws, Buffer Overflows und unsicheren Konfigurationen vor Deployment |
| Prävention für T1195.001 | Erkennung vulnerabler Abhängigkeiten durch Software Composition Analysis (SCA) |
Prüfungsumfang
Statische Codeanalyse identifiziert Sicherheitslücken durch Datenflussanalyse, Taint-Analyse und lexikalische Analyse des Quellcodes. Die Prüfung deckt SQL Injections, Cross-Site Scripting, hartcodierte Credentials, unsichere Kryptografie sowie Verstöße gegen Coding-Standards (MISRA, CERT, OWASP) ab. SAST lässt sich in CI/CD-Pipelines integrieren und liefert direktes Feedback während der Entwicklung.
Weiterführende Informationen: turingpoint - Statische Codeanalyse
Social Engineering Assessment
Technische Sicherheitsmaßnahmen können noch so ausgereift sein - der Mensch bleibt oft das schwächste Glied. Social Engineering Assessments prüfen, wie gut Mitarbeiter manipulative Angriffe erkennen und abwehren können.
MITRE-Mapping
| Technik-ID | Name | Beschreibung |
|---|---|---|
| T1566 | Phishing | Angriffe per E-Mail mit schadhaften Anhängen oder Links |
| T1566.001 | Spearphishing Attachment | Gezielte Angriffe mit manipulierten Dateianhängen |
| T1566.002 | Spearphishing Link | Gezielte Angriffe mit schadhaften Links |
| T1566.003 | Spearphishing via Service | Angriffe über Drittplattformen (Social Media, Messenger) |
| T1566.004 | Spearphishing Voice | Angriffe per Telefon (Vishing) |
| T1659 | Content Injection | Manipulation von Netzwerkverkehr zur Einschleusung schädlicher Inhalte |
Prüfungsumfang
Ein Social Engineering Assessment umfasst Phishing-Simulationen mit realitätsnahen Szenarien, Smishing (SMS-basiertes Phishing), Vishing (telefonische Manipulation), Pretexting und die Messung von Erkennungsraten und Reaktionszeiten. Mehr als 75 Prozent aller Social-Engineering-Angriffe beginnen mit einer Phishing-E-Mail. Die Ergebnisse dienen der gezielten Sensibilisierung und dem Aufbau einer Security-Awareness-Kultur.
Weiterführende Informationen: turingpoint - Social Engineering
Physical Security Assessment
Nicht alle Angriffsvektoren sind digital. Physische Penetrationstests prüfen, ob Angreifer physischen Zugang zu Gebäuden, Serverräumen oder Endgeräten erlangen können.
MITRE-Mapping
| Technik-ID | Name | Beschreibung |
|---|---|---|
| T1200 | Hardware Additions | Einbringen von Hardware wie Keyloggern, Rogue Access Points oder USB-Geräten |
| T1091 | Replication Through Removable Media | Verbreitung von Malware über USB-Sticks und andere Wechselmedien |
| T1669 | Wi-Fi Networks | Angriffe über drahtlose Netzwerke, Rogue Access Points |
Prüfungsumfang
Physische Sicherheitsprüfungen umfassen Zugangskontrollen (Tailgating, Badge-Cloning), Serverraum-Sicherheit, USB-Drop-Attacks, WLAN-Sicherheit (Evil Twin, Deauthentication) sowie die Prüfung von Clean-Desk-Policies. Ein erfolgreicher physischer Zugang ermöglicht oft weiterführende digitale Angriffe.
Weiterführende Informationen: turingpoint - Security Assessments
Mobile Application Pentest
Mobile Anwendungen verarbeiten sensible Daten direkt auf dem Endgerät und kommunizieren mit Backend-Systemen. Schwachstellen können zur Kompromittierung von Nutzerdaten und Unternehmensressourcen führen.
MITRE-Mapping (Mobile Matrix)
Die Mobile-Matrix des MITRE ATT&CK Frameworks katalogisiert spezifische Angriffstechniken für iOS und Android, darunter Malicious Apps durch Sideloading oder manipulierte App-Stores, Drive-by Compromise über mobile Browser, Exploitation von MDM-Schwachstellen sowie unsichere Datenspeicherung und Kommunikation.
Prüfungsumfang
Mobile App Pentests folgen dem OWASP Mobile Security Testing Guide (MSTG) und dem Mobile Application Security Verification Standard (MASVS). Die Prüfung umfasst lokale Datenspeicherung und Verschlüsselung, Authentifizierung und Session-Management, Netzwerkkommunikation und Certificate Pinning, Reverse Engineering und Tampering-Schutz sowie Interprozesskommunikation und API-Sicherheit.
Weiterführende Informationen: turingpoint - Mobile App Pentest
Red Team Engagement
Ein Red Team Engagement ist die umfassendste Form des Security Testings. Anders als bei klassischen Pentests, die möglichst viele Schwachstellen aufdecken sollen, verfolgt das Red Team ein definiertes Ziel und nutzt dabei alle verfügbaren Mittel.
MITRE-Mapping
| Technik-ID | Name | Beschreibung |
|---|---|---|
| T1195 | Supply Chain Compromise | Manipulation der Lieferkette (Software, Hardware) |
| T1195.001 | Compromise Software Dependencies | Manipulation von Softwareabhängigkeiten und Entwicklungstools |
| T1195.002 | Compromise Software Supply Chain | Manipulation von Anwendungssoftware vor Auslieferung |
| T1199 | Trusted Relationship | Ausnutzung von Vertrauensbeziehungen zu Partnern und Dienstleistern |
| T1078 | Valid Accounts | Nutzung kompromittierter Zugangsdaten |
Ein Red Team Engagement kombiniert alle zuvor genannten Disziplinen und emuliert das Verhalten realer Angreifer, einschließlich Advanced Persistent Threats (APT).
Prüfungsumfang
Red Teaming testet die Erkennungs- und Reaktionsfähigkeit einer Organisation. Das Team versucht, so lange wie möglich unentdeckt zu bleiben und Zugang zu sensiblen Informationen zu erlangen. Die eingesetzten Methoden umfassen technische Exploitation, Social Engineering (physisch und elektronisch) sowie die Verkettung mehrerer Schwachstellen. Red Team Assessments sind für Organisationen mit ausgereiftem Sicherheitsprogramm geeignet, die bereits regelmäßige Pentests durchführen.
Weiterführende Informationen: turingpoint - Red Teaming
Fazit
Das MITRE ATT&CK Framework bietet eine strukturierte Grundlage, um Security-Testing-Maßnahmen den realen Angriffstechniken zuzuordnen. Die Kombination verschiedener Testdisziplinen ermöglicht eine ganzheitliche Bewertung der Sicherheitslage:
| Disziplin | Fokus | Empfohlene Frequenz |
|---|---|---|
| External Network Pentest | Perimeter-Sicherheit | Jährlich oder nach größeren Änderungen |
| Web Application Pentest | Anwendungssicherheit | Bei jedem Major Release |
| Cloud Security Assessment | Cloud-Konfiguration | Quartalsweise |
| SAST | Präventive Codesicherheit | Kontinuierlich in CI/CD |
| Social Engineering | Mitarbeiter-Awareness | Halbjährlich |
| Physical Security | Gebäude und Hardware | Jährlich |
| Mobile App Pentest | Mobile Anwendungen | Bei jedem Major Release |
| Red Team Engagement | Gesamtorganisation | Alle 1-2 Jahre |
Die Wahl der geeigneten Maßnahmen hängt vom Reifegrad der IT-Sicherheitsorganisation, den regulatorischen Anforderungen und der individuellen Bedrohungslage ab. Ein strukturierter Ansatz, der sich am MITRE ATT&CK Framework orientiert, ermöglicht die Priorisierung von Maßnahmen und den Nachweis gegenüber Aufsichtsbehörden und Wirtschaftsprüfern.
Kontakt
Neugierig? Überzeugt? Interessiert?
Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: