Was ist MITRE ATT&CK und wozu dient es? | Anomali

Was ist MITRE ATT&CK und wozu dient es?

Was ist MITRE ATT&CK™?

MITRE hat ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) 2013 als eine systematische Kategorisierung von möglichen Gegenspieler-Verhaltensmustern und auf der Grundlage von direkten Beobachtungen eingeführt. ATT&CK ist eine strukturierte Liste der Verhaltensweisen von Angreifern, die in Taktiken und Techniken zusammengesetzt ist und in Matrix-Form sowie über STIX/TAXII ausgedrückt werden können. Da die Vorgehensweisen, mit denen Angreifer in Netzwerken agieren in dieser Liste all umfassend dargestellt werden, ist sie für viele verschiedene offensive und defensive Messungen, Auswertungen und andere Mechanismen sehr nützlich.

Funktionsweise von ATT&CK-Matrizen

MITRE hat ATT&CK in verschiedene Matrizen unterteilt: Enterprise, Mobile und PRE-ATT&CK. Jede dieser Matrizen enthält verschiedene Taktiken und Techniken zum Thema der jeweiligen Matrix.

Die Enterprise-Matrix besteht aus Techniken und Taktiken, die für Windows, Linux und/oder MacOS-Systeme gelten. Die Mobile-Matrix enthält Taktiken und Techniken zu Mobilgeräten. PRE-ATT&CK enthält Taktiken und Techniken im Zusammenhang damit, was Angreifer tun, bevor die sich daran machen, ein bestimmtes Zielnetzwerk oder -system auszunutzen.

Die Grundlagen von ATT&CK: Taktiken und Techniken

Bei Betrachtung von ATT&CK in Form einer Matrix stellen die Spaltentitel am oberen Rand Taktiken, d. h. im Wesentlichen Kategorien von Techniken dar. Taktiken sind das, was Angreifer versuchen zu erreichen, während Techniken die Art und Weise darstellen, wie sie diese Schritte oder Ziele erreichen.

ATT&CK Enterprise Matrix
ATT&CK Enterprise Matrix von https://attack.mitre.org/matrices/enterprise/

Eine der Taktiken ist beispielsweise die Laterale Bewegung. Damit sich ein Angreifer erfolgreich lateral in einem Netzwerk bewegen kann, wird er wahrscheinlich eine oder mehrere der in der Spalte „Laterale Bewegung“ aufgeführten Techniken in der ATT&CK-Matrix anwenden.

Eine Technik ist ein bestimmtes Verhalten zur Erreichung eines Ziels und häufig ein einzelner Schritt in einer Reihe von Aktivitäten, die der Angreifer durchführt, um sein Ziel zu erreichen. ATT&CK stellt zahlreiche Details zu jeder Technik bereit einschließlich einer Beschreibung, Beispielen, Referenzen und Vorschlägen zu Entschärfung und Erkennung.

Beschreibung einer Technik in MITRE ATT&CK
Beispielbeschreibung einer Technik in MITRE ATT&CK

Nehmen wir als Beispiel dazu, wie Taktiken und Techniken in ATT&CK funktionieren, an, dass ein Angreifer Zugriff auf ein Netzwerk erhalten möchte, um auf möglichst vielen Systemen in diesem Netzwerk Kryptowährungs-Mining Software zu installieren. Um dieses Endziel zu erreichen, muss der Angreifer mehrere kleine Zwischenschritte erfolgreich absolvieren. Als erstes muss er Zugriff auf das Netzwerk erhalten – möglicherweise über einen Spear-Phishing-Link. Anschließend muss er möglicherweise die Berechtigungen weiterleiten, was mittels Prozessinjektion geschieht. Nun kann er mittels Credential Dumping weitere Zugangsdaten aus dem System beziehen und Persistenz erreichen, indem er das Mining-Skript so einrichtet, dass es als geplante Aufgabe ausgeführt wird. Nachdem er dies geschafft hat, kann sich der Angreifer mit Pass the Hash überall lateral im Netzwerk bewegen und die Kryptowährungs-Mining Software auf möglichst vielen Systemen verteilen.

In diesem Beispiel musste der Angreifer fünf Schritte erfolgreich absolvieren, von denen jeder eine spezielle Taktik oder Phase in ihrem Angriff darstellt: Erstzugriff, Weiterleitung von Berechtigungen, Zugriff auf Zugangsdaten, Persistenz und Laterale Bewegung. Innerhalb dieser Taktiken hat er bestimmte Techniken eingesetzt, um alle Phasen seines Angriffs (Spear-Phishing-Link, Prozessinjektion, Credential Dumping usw.) zu absolvieren.

Der Unterschied zwischen PRE-ATT&CK und ATT&CK Enterprise

PRE-ATT&CK und ATT&CK Enterprise bilden in Kombination eine vollständige Liste angewendeter Taktiken, die grob auf die Cyber Kill Chain ausgerichtet sind. PRE-ATT&CK ist überwiegend auf die ersten drei Phasen der Kill Chain ausgerichtet: Aufklärung, Bewaffnung und Lieferung. ATT&CK Enterprise ist optimal auf die letzten vier Phasen der Kill Chain ausgerichtet: Aufklärung, Bewaffnung und Lieferung.

Cyber Kill Chain

PRE-ATT&CK-TaktikenATT&CK Enterprise-Taktiken
  • Definition der Prioritäten
  • Auswahl der Ziele
  • Sammlung von Informationen
  • Identifizierung von Schwachstellen
  • Betriebssicherheit des Gegners
  • Aufbau und Pflege der Infrastruktur
  • Persönlichkeitsentwicklung
  • ​Erwerb von Fähigkeiten
  • Testen von Fähigkeiten
  • Bereitstellung von Fähigkeiten
  • Erstzugriff
  • Ausführung
  • Persistenz
  • Weiterleitung von Berechtigungen
  • Umgehung der Abwehr
  • Zugriff auf Zugangsdaten
  • Entdeckung
  • Laterale Bewegung
  • Sammlung
  • Ausschleusung
  • Befehlen und Steuern

Was kann man mit ATT&CK tun?

ATT&CK stellt in vielen alltäglichen Konfigurationen ein wertvolles Hilfsmittel dar. Alle Verteidigungsaktivitäten, bei denen Angreifer und ihre Verhaltensweisen genannt werden, können von der Anwendung der Klassifikation von ATT&CK profitieren. ATT&CK bietet ein gängiges Lexikon für Cyberverteidiger und stellt darüber hinaus ein Fundament für Penetrationstests und Red Teaming Tests bereit. Auf diese Weise sprechen Verteidiger und Red Teamer die gleiche Sprache, wenn es um feindliche Verhaltensweisen geht.

Beispiele, bei denen die Anwendung der Klassifikation von ATT&CK von Nutzen sein kann:

  • Entwerfen von Verteidigungskontrollen
    • Verteidungungskontrollen können eine wohlverstandene Bedeutung transportieren, wenn sie mit den Taktiken und Techniken von ATT&CK verglichen werden, auf die sie zutreffen.
  • ​Threat Hunting
    • Durch Entwerfen von Verteidigungen für ATT&CK werden die Lücken bei der Verteidigung deutlich, wodurch Bedrohungsjäger optimal erkennen können, wo Angriffsaktivitäten stattgefunden haben, die ihnen entgangen sind.
  • Aufdeckung und Untersuchungen
    • Das SOC (Security Operations Center) und das Incident Response-Team können ATT&CK-Techniken und -Taktiken nennen, die entdeckt oder erkannt wurden. Diese Unterstützung bei der Erkennung der Stärken und Schwächen der Verteidigung ermöglicht die Validierung der Entschärfungs- und Erkennungskontrollen, wodurch Fehlkonfigurationen und andere betriebliche Probleme aufgedeckt werden können.
  • Nennen der Akteure
    • Akteure und Gruppen können mit bestimmten, definierbaren Verhaltensweisen in Verbindung gebracht werden.
  • Integration von Tools
    • Verschiedene Tools und Dienste können ATT&CK-Techniken und -Taktiken standardisieren und sorgen somit für eine Kohäsion der Verteidigung, an der es oftmals fehlt.
  • Austausch
    • Beim Austausch von Informationen über einen Angriff, einen Akteur, eine Gruppe oder Verteidigungskontrollen gewährleisten die ATT&CK-Techniken und -Taktiken, dass die Informationen von allen Verteidigern verstanden werden.
  • Red Team-/Penetrationstestaktivitäten
    • Bei der Planung und Durchführung von und Berichterstellung über Red Team-, Purple Team- und Penetrationstestaktivitäten ermöglicht es ATT&CK, dass Verteidiger und Berichtsempfänger miteinander und untereinander die gleiche Sprache sprechen.

Entwerfen von Verteidigungen und Aufdecken von Lücken mit ATT&CK

Viele Unternehmen unterhalten Listen von aufdeckenden und vorbeugenden Sicherheitskontrollen in ihrer Umgebung: einen Kontrollen-Katalog. Indem man diese Kontrollen aus der Optik von ATT&CK betrachtet, können diese feinabgestimmt werden. Darüber hinaus können Ineffizienzen aufgedeckt und Lücken beim Schutz aufgezeigt werden. Es ist wichtig zu beachten, dass ATT&CK zwar auf diese Art und Weise genutzt werden kann, jedoch in erster Linie der Beschreibung von Verhaltensweisen von Angreifern dient, nicht von Verteidigungsmechanismen.

Der Prozess der Ausrichtung von Kontrollen auf die ATT&CK-Techniken gestaltet sich ziemlich einfach. Man braucht nur zu überlegen, welche Techniken (und insbesondere welche Anwendungsarten dieser Techniken) von der jeweiligen Kontrolle erkannt oder verhindert werden kann. Durch Nennen der Techniken von ATT&CK (bzw. Taktiken, wenn eine bestimmte Technik nicht festgelegt werden kann) ist es nun möglich, Suchen zu den Kontrollen durchzuführen, Berichte zu ihnen zu erstellen und Bedrohungen abzuwenden, und zwar aus dem Blickwinkel der Angreifer auf die Umgebung. Nachdem allen Kontrollen ATT&CK-Techniken zugewiesen wurden, sollte es beispielsweise einfach festzustellen sein, zu welchen Techniken es gar keine aufdeckenden und vorbeugenden Kontrollen gibt. Mit dem MITRE ATT&CK Navigator kann dies sehr deutlich dargestellt werden.

Indem die Taktiken (Spalten) in der ATT&CK Enterprise-Matrix durchgegangen und die Techniken ausgewählt werden, zu denen es keine Kontrollen gibt, können mögliche Angriffszenarien an einer Stelle zusammengefügt werden, wo das Unternehmen andernfalls keinen Einblick hat und keine Schutzmaßnahmen in Kraft sind. Die resultierenden Szenarien können im Hinblick auf ihre Wahrscheinlichkeit betrachtet und nach Durchführbarkeit klassifiziert werden. Die möglichsten Szenarien können für Threat Hunting herangezogen werden, um in Erfahrung zu bringen, ob sie bereits von Angreifern in die Tat umgesetzt wurden. In diesen Bereichen sollten außerdem Investitionen getätigt werden, um einige Kontrollen zu etablieren.

Anstatt lediglich anzunehmen, dass die Kontrollen gegen spezielle Angriffstechniken Wirksam sind, sollten die Techniken wann immer möglich an den Kontrollen simuliert werden. Möglicherweise sind die Kontrollen ja nicht so wirksam wie gedacht; dies jedoch kann alleine anhand von Tests in Erfahrung gebracht werden. Darüber hindern möglicherweise Konfigurationsfehler oder Systemprobleme die Kontrollen daran, effizient zu funktionieren. Diese Probleme bleiben unerkannt, wenn die Kontrollen nicht von Zeit zu Zeit getestet werden.

Tests sind außerdem eine gute Möglichkeit, Investitionen in Tools zu rechtfertigen, denn sie zeigen auf, welche Tools die meiste Arbeit bei der Aufdeckung und Vorbeugung leisten und welche Tools hingegen nicht viel tun oder gegenüber anderen Tools in der Umgebung redundant sind.

Verwendung von ATT&CK mit Cyberbedrohungsinformationen

ATT&CK kann für Cyberbedrohungsinformationen nützlich sein, denn es ermöglicht es, feindliche Verhaltensweisen auf standardisierte Art und Weise zu beschreiben. Akteure können mit Techniken und Taktiken in ATT&CK, für deren Verwendung sie bekannt sind, in Verbindung gebracht und verfolgt werden. Auf diese Weise entsteht ein Plan für Verteidiger, den sie bei den betrieblichen Kontrollen einsetzen können, um festzustellen, wo es Schwachstellen gegen bestimmte Akteure gibt und wo die Stärken liegen. Durch Erstellen von Einträgen zu bestimmten Akteuren in MITRE ATT&CK Navigator könnte die Stärken und Schwächen der Umgebung im Hinblick auf diese Akteure oder Gruppen deutlich dargestellt werden. ATT&CK ist auch als STIX/TAXII 2.0-Feed erhältlich, wodurch es sich einfach in bestehende Tools integrieren lässt, die diese Technologien unterstützen.

Auf der Grundlage von Open Source-Berichten bietet ATT&CK Details zu fast 70 Akteuren und Gruppen einschließlich der Techniken und Tools, die sie bekannterweise nutzen.

MITRE ATT&CK Gruppenliste
MITRE ATT&CK Gruppenliste

Beim Prozess der Informationserstellung selbst ist die gemeinsame Sprache von ATT&CK von Vorteil. Wie bereits erwähnt, gilt dies für Akteure und Gruppen, kann jedoch auch auf beobachtete Verhaltensweisen angewendet werden, wie diese vom SOC (Security Operations Center) oder bei Aktivitäten rund um die Vorfallsreaktion gesehen werden. Malware ebenfalls über ATT&CK als Verhaltensweise aufgeführt werden. Threat Intelligence-Tools, die ATT&CK unterstützen, gestalten diesen Vorgang überaus einfach. Kommerzielle und Open Source-Informationen, die ATT&CK auf die erwähnten Verhaltensweisen anwenden, sind ebenfalls hilfreich beim Erhalt der Konsistenz. Die Weitergabe von Informationen an die Geschäftsfelder oder die Geschäftsleitung gestaltet sich sehr viel einfacher, wenn alle die gleiche Sprache sprechen, wenn es um feindliche Verhaltensweisen geht. Wenn ein Geschäftsfeld genau weiß, worum es sich bei einer erzwungenen Authentifizierung handelt und der Begriff in einem Bericht zu Bedrohungsinformationen auftaucht, weiß es sehr genau, welche Maßnahmen zu ergreifen oder welche Kontrollen zu diesen Informationen bereits in Kraft sind. Eine derartige Standardisierung von ATT&CK-Referenzen in Produkten rund um Bedrohungsinformationen sorgt für eine deutliche Steigerung der Effizienz sowie dafür, dass alles von allen verstanden wird.

Simulation von feindlichen Verhaltensweisen und ATT&CK

Das Testen der Techniken in ATT&CK in der Umgebung hat die folgenden Vorteile:

  • Kontrollen und ihre Effizienz werden getestet
  • Der Schutz vor vielen verschiedenen Techniken ist gewährleistet
  • Lücken bei der Sichtbarkeit oder dem Schutz werden aufgezeigt
  • Die Konfiguration von Tools und Systemen wird bestätigt
  • Es wird demonstriert, wo im System die verschiedenen Akteure erfolgreich wären oder aufgehalten würden
  • Vermutungen und Annahmen im Zusammenhang mit Kontrollen entfallen, denn es wird genau bekannt, was erkannt oder abgewendet wird und was nicht

Die Simulation von feindlichen Verhaltensweisen ist vielen Umgebungen nicht fremd. Beim Einsatz von Penetrationstestern, die die Umgebung testen, beteiligen sich die Unternehmen an Tests der Simulation von feindlichen Verhaltensweisen. Gleiches gilt für Unternehmen, die über interne Red Teams verfügen oder Purple Team-Verpflichtungen erfüllen. Indem die Aktivitäten rund um diese Verpflichtungen auf ATT&CK-Techniken angewendet werden, erlangen die Verteidiger ein besseres Verständnis der Ergebnisse. Anders als Meldungen von Fehlern zum Zwecke der Erkennung bestimmter Aktivitäten enthalten Berichte von Penetrationstests und Red Teams besseren Kontext, sodass deren Aktivitäten direkt auf betriebliche Kontrollen, Verteidigungstools und -maßnahmen angewendet werden können. Anhand der Berichte können die Verteidiger dann einfacher entsprechende Maßnahmen ergreifen.

Außerdem können Simulationen so gestaltet werden, dass Tools und Techniken, die bestimmte Akteure bekannterweise verwenden, gespiegelt werden. Dies ist vor allem dann nützlich, wenn man versucht zu beurteilen, wie erfolgreich bestimmte Gegner möglicherweise gegen die Kontrollen in der Umgebung vorgehen.

Darüber hinaus stehen Tools zur Verfügung, die Mechanismen zum Testen bestimmter Techniken direkt in der Umgebung bieten und bereits auf ATT&CK ausgerichtet sind. Kommerzielle Tools wie beispielsweise Verodin, SafeBreach und AttackIQ sind in der Lage, feindliche Verhaltensweisen auf ATT&CK ausgerichtet zu simulieren. Außerdem stehen einige auf ATT&CK ausgerichtete Open Source-Optionen zur Verfügung, mit denen ebenfalls feindliche Verhaltensweisen simuliert werden können; diese sind nachstehend aufgeführt. Gehen Sie bei der Durchführung von Simulationen feindlicher Verhaltensweisen in Produktnetzwerken, in denen die Reichweite potenzieller Auswirkungen nicht vollständig bekannt ist, jedoch stets vorsichtig vor.

Die Arbeit mit diesen Tools gestaltet sich ziemlich einfach.

  1. Simulieren - Wählen Sie die Simulationskriterien entsprechend dem gewünschten Test aus und starten Sie das Tool oder führen Sie den Test manuell durch.
  2. Jagen - Untersuchen Sie die Protokolle und die Tool-Ausgabe auf Beweise zur simulierten Aktivität und überprüfen Sie, ob die aufdeckenden und vorbeugenden Kontrollen möglicherweise nicht wie erwartet funktionieren.
  3. Erkennen - Fügen Sie entsprechend den Ergebnissen neue Entschärfungen und Erkennungen hinzu und überprüfen Sie, ob möglicherweise Lücken bei der Sichtbarkeit oder bei den Tools für Erkennung und Entschärfung bestehen.

Bewährte Verfahren für die Arbeit mit ATT&CK

Nachstehend finden Sie eine Liste der bewährten Verfahren für die Arbeit mit ATT&CK.

  • Teilen Sie die gefundenen Methoden der Erkennung und Entschärfung
  • Zeigen Sie die Taktiken und Techniken von beobachteten Verhaltensweisen von Angreifern
  • Nutzen Sie die ATT&CK-Integration in bestehende Tools
  • Ermutigen Sie Händler und Dienstanbieter, künftig Support für ATT&CK anzugeben, wo nützlich

Herausforderungen beim Einsatz von ATT&CK

Die Verwendung von ATT&CK gestaltet sich nicht ganz ohne Herausforderungen. Diese sollten beim Einsatz von ATT&CK bedacht werden.

  • Manche Techniken können auf vielfältige Arten angewendet werden
  • Manche Techniken sind unter mehreren Taktiken aufgeführt
    • Beispiel: Kaperung der DLL-Suchreihenfolge (T1038)
    • Wird unter den Taktiken Persistenz, Weiterleitung von Berechtigungen und Umgehung der Abwehr aufgeführt.
    • Einige Taktiken, darunter auch diese, können in mehreren Anwendungsfällen verwendet werden und sind in mehreren Angriffsphasen nützlich.

ATT&CK-Tools und Ressourcen

Nachstehend finden Sie eine Liste von Tools und anderen Ressourcen, die ATT&CK nutzen. Einige von ihnen wurden bereits erwähnt, werden jedoch zur besseren Identifizierung an dieser Stelle noch einmal genannt. Wenn Sie möchten, dass dieser Liste weitere Elemente hinzugefügt werden, senden Sie eine E-Mail an marketing@anomali.com.

ATT&CK Navigator

ATT&CK Navigator ist ein großartiges Tool für das Entwerfen von Kontrollen gegenüber ATT&CK-Techniken. Es können Schichten hinzugefügt werden, die Kontrollen speziell zur Entdeckung oder Vorbeugung oder sogar beobachtete Verhaltensweisen anzeigen. Navigator kann online für schnelle Demonstrationen oder Szenarien genutzt oder als dauerhaftere Lösung heruntergeladen und intern eingerichtet werden.

MITRE ATT&CK Navigator
MITRE ATT&CK Navigator

Uber Metta

Metta ist ein auf MITRE ATT&CK ausgerichtetes Open Source-Projekt von Uber, das feindliche Verhaltensweisen simuliert.

Uber Metta

MITRE Caldera

Caldera ist ein auf MITRE ATT&CK basierendes automatisiertes Open Source-Tool zur Simulation feindlicher Verhaltensweisen.

MITRE Caldera
Screenshot von MITRE Caldera

Red Canary Atomic Red Team

Atomic Red Team ist ein auf MITRE ATT&CK abgebildetes Open Source-Tool zur Simulation feindlicher Verhaltensweisen. Weitere Informationen finden Sie unter: https://atomicredteam.io/

Red Canary Atomic Red Team
Atomic Red Team – Testbeispiel

Endgame Red Team Automation

Red Team Automation ist ein Open Source-Tool von Endgame nach dem Vorbild von MITRE ATT&CK, das bösartige Verhaltensweisen testet.

Endgame Red Team Automation
Aktuelle Liste der von Red Team Automation (RTA) unterstützten Techniken

Malware Archeology - Windows ATT&CK Logging Cheat Sheet

Die guten Leute bei Malware Archeology stellen eine Reihe von so genannten Windows-Protokollierungs-Spickzetteln bereit, die Verteidigern dabei helfen sollen, bösartige Aktivitäten in Protokollen aufzufinden. Einer davon ist speziell auf das Auffinden von Techniken von MITRE ATT&CK ausgerichtet.

Malware Archeology - Windows ATT&CK Logging Cheat Sheet
Beispiel zu den im ATT&CK Logging Cheat Sheet von Malware Archeology enthaltenen Details

MITRE Cyber Analytics Repository (CAR)

MITRE verfügt über eine Ressource, das Cyber Analytics Repository (CAR), ein Referenzort mit vielen verschiedenen Analysen zur Erkennung von Verhaltensweisen in MITRE ATT&CK.

MITRE Cyber Analytics Repository (CAR)
MITRE Cyber Analytics Repository (CAR)

ATT&CK Tableau Table von Cyb3rPanda

Für einfaches Abwenden und Filtern hat Cyb3rPanda ATT&CK in eine öffentliche Tableau-Instanz geladen.

ATT&CK Tableau Table von Cyb3rPanda
ATT&CK Enterprise Matrix in einer öffentlichen Tableau-Instanz von Cyb3rPanda

Palo Alto Unit 42 Playbook Viewer

Die Unit 42-Gruppe von Palo Alto hat einen kostenlosen Playbook-Viewer herausgebracht, der Aufschluss über bekannte feindliche Verhaltensweisen zu ein paar an MITRE ATT&CK ausgerichteten Bedrohungsgruppen bietet.

Palo Alto Unit 42 Playbook Viewer
Playbook Viewer von Palo Alto Unit 42

Anomali Weekly Threat Briefing

Anomali Weekly Threat Briefing, das wöchentliche Briefing über Bedrohungen von Anomali, ist ein kostenloser wöchentlicher Bericht über die wichtigsten Entwicklungen der Woche im Hinblick auf Sicherheit und Bedrohung. Der Bericht enthält relevante IOCs und ATT&CK-Techniken zu jeder Geschichte im Briefing.

Anomali Weekly Threat Briefing
Anomali Weekly Threat Briefing - Beispiel

Zusammenfassung

MITRE hat einen bedeutenden Beitrag zur Sicherheits-Community geleistet, indem es uns ATT&CK und die damit verbundenen Tools und Ressourcen gebracht hat. Der Zeitpunkt hierfür hätte nicht besser gewählt werden können. Da Angreifer Mittel und Wege finden, noch heimlicher zu agieren und sich von traditionellen Sicherheitstools nicht erwischen zu lassen, müssen Verteidiger ihren Ansatz der Erkennung und Verteidigung überdenken. ATT&CK sorgt für einen Wechsel unserer Perspektive weg von untergeordneten Indikatoren wie IP-Adressen und Domänennamen hin zu den tatsächlichen Verhaltensweisen von Angreifern und den Verteidigungsmechanismen. Dies bedeutet jedoch nicht, dass von nun an alles ganz einfach ist, denn die Zeiten von Blockierlisten und einfachen Filtern sind leider vorbei. Die Erkennung und Verhinderung von Verhaltensweisen gestaltet sich heute sehr viel schwieriger als mit den Fire-and-Forget-Tools der Vergangenheit. Darüber hinaus werden sich die Angreifer immer wieder an neue Mechanismen der Verteidiger anpassen. ATT&CK ermöglicht es, jedwede neue Technik, die sie ersinnen, zu beschreiben, wodurch die Verteidiger ihnen (hoffentlich) stets eine Nasenlänge voraus sind.