Neues MITRE ATT&CK-Framework für Container

Originalbeitrag von Greg Young, VP of Cybersecurity

Container werden dazu verwendet, um Anwendungen unabhängig von der Laufzeitumgebung auszuführen. Sie stehen für sich allein und benötigen keine vollständige VM zum Betrieb. Die Sicherheit der Container bedeutet jedoch nicht nur Anwendungsschutz unter anderem Namen, denn die Unabhängigkeit bringt neue Technologien mit sich, wie zum Beispiel die Absicherung der gesamten Container-Pipeline, und das bedeutet eine neue Angriffsfläche. Microservices in Containern werden für die Orchestrierung von Services wie Storage, Networking und Security eingesetzt. Das wiederum sind drei Dinge, die für Kriminelle interessant sind. Diese Komplexität lässt sich mit der kleinsten Matroschka-Puppe vergleichen, die mindestens das Netzwerk, die Workload, das Betriebssystem, die Anwendung und den Container beinhaltet. Deshalb ist die Einführung eines MITRE ATT&CK Frameworks für Container eine gute Nachricht.

Orchestrierungs-Tools wie Kubernetes und Docker dienen dazu, um die gesamte Orchestrierung zu handhaben und sicherzustellen, dass all diese Container und Microservices gut zusammenarbeiten. Diese Art von Komplexität und auch Unübersichtlichkeit nutzen Angreifer gerne, um der Entdeckung zu entgehen, Privilegien zu erlangen und sich lateral zu bewegen.

Diese ganze, häufig unübersichtliche Vielfalt erfordert ein Mittel, um einen sinnvollen Zusammenhang zu vermitteln. Entwickler, Betriebsteams und Sicherheitsteams brauchen eine einheitliche Sprache, damit sie das mit Containern verbundene Risiko verstehen können.

The MITRE ATT&CK Framework entwickelt sich stetig weiter, und nun kam kürzlich die MITRE ATT&CK Matrix for Containers hinzu.

(Quelle: MITRE)

Diese Matrix ist aus drei Gründen von Bedeutung.

  1. ATT&CK umfasst nun eine eigenständige Ressource für Angriffe mit Containern.
  2. Angriffe auf Orchestrierungs- und Containerebene werden in einer einzigen Ansicht dargestellt. Dies ist wichtig, da SOC-Analysten, die einen Angriff mit Container-Beteiligung verfolgen, nur ein Container-Framework zu Rate ziehen müssen und nicht zwei.
  3. MITRE hatte einen „Call to the Community“ über ihr Centre for Threat Informed Defense (CTID) gestartet, um die besten Informationen zur Sicherheit und zu den Angriffen auf Container zu erhalten. Dies ist wichtig, da das Framework durch die Einbeziehung der vordersten Front der Bedrohungsabwehr und der Schwachstellenforschung noch besser wird. Das haben nicht viele Bewertungs- oder Testorganisationen getan, und daher ist es ermutigend, dass das Framework nun die Realität für die SOCs besser widerspiegelt. Viel zu viele Bewertungskriterien für Sicherheitstools haben nicht genug Input aus der realen Welt erhalten.

Übrigens ist es interessant, dass die überwältigende Mehrheit der Angriffe auf Container Kryptojacking/Kryptomining zum Ziel hatte.

Trend Micros Reaktion auf den Call

Unser Forschungsteam konnte für die Zusammenarbeit mit MITRE ebenfalls Beweise für reale Angriffe liefern, die sieben MITRE-Techniken unterstützen. Zwei dieser Techniken sind neu und einzigartig für ATT&CK for Container.

Die Zusammenarbeit von Trend Micro mit MITRE bedeutet für die Kunden zweierlei:

  1. Unsere Container-Sicherheitslösung fügt sich gut in dieses Rahmenwerk ein und macht den Schutz innerhalb einer Organisation leicht verständlich.
  2. Die Tatsache, dass unsere Forschung ihren Beitrag zum Framework geleistet hat, belegt, dass unsere Kunden gut geschützt sind. Diese Forschung fließt in unsere Produktausrichtung ein und gilt direkt für Bedrohungen, die unsere Lösungen blockieren, sodass Kunden sicher sein können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.