Erweiterung des AuditTAP um eine MITRE ATT&CK-Heatmap: So entstand das neue Feature

Das AuditTAP soll eine Heatmap-Funktion erhalten. Wie könnte man diesen Plan realisieren? Die Antwort auf diese Frage gibt es hier.

Projektzusammenfassung

Für ein Studierendenprojekt der TH Bingen arbeiteten wir, ein Studierenden-Team, mit der FB Pro GmbH zusammen. Es sollte hierbei eine Erweiterung für das AuditTAP konzipiert und umgesetzt werden.

Das AuditTAP erstellt Auditberichte für Härtungskonfigurationen. Zukünftig soll auch das MITRE ATT&CK-Framework berücksichtig werden. Eine auf Standards basierende Visualisierung („Heatmap“) könnte eine noch einfachere Bewertung möglich machen.

Wer wir sind

Unser Team bestand aus sechs Mitgliedern:

Nicki Leon Broichhausen war unser Product Owner in den ersten Sprints. Nicki sagt über sich selbst: „Ich studiere Bachelor-Informatik im 6. Semester an der TH Bingen. Ich habe vor dem Projekt bereits als Werkstudent Erfahrungen im Bereich Systemhärtung gesammelt. Ich freue mich darauf, nun erste Erfahrungen mit Scrum und agilem Projektmanagement bei der Weiterentwicklung des AuditTAP zu bekommen.“

Henrik Siesenop studierte im 6. Semester Informatik. „Dieses Projekt eröffnet für mich die Möglichkeit, Praxiserfahrung in Sachen Projektarbeit zu sammeln und spezifischere Einblicke in das Thema IT-Security zu bekommen. Neben dem Studium spiele ich leidenschaftlich Fußball. Und ich treibe weitere Sportarten, um mich fit zu halten.“

Tobias Zinke ist seit 2018 an der TH Bingen (Studiengang: Mobile Computing) und derzeit im 10. Semester. „Der Schwerpunkt des Studiengangs ist das Entwickeln von Applikationen und Programmen für mobile Endgeräte. Im kommenden Semester steht die Bachelorarbeit und damit der Abschluss des Studiums bevor.“

Lea Dunkel hat sich auch bei Informatik eingeschrieben und befand sich während des Projektes im 7. Semester. Ihre Studium beschrieb sie so: „Meine selbstgewählten Schwerpunkte sind Robotik und IT-Security. Ich freue mich, durch dieses Projekt etwas praktischere Erfahrungen in einem für mich thematisch sehr passenden und spannenden Arbeitsumfeld sammeln zu dürfen.”

Jan Balzer, 6. Semester, wählte ebenfalls Informatik. Über sich selbst sagt er: “Mit diesem Projekt erhalte ich spannende Einblicke in das Scrum-Verfahren und in das Thema IT-Sicherheit im Bereich Hardening. Neben meinem Studium verbringe ich meine gerne Zeit mit Gaming und etwas Fußball. Und ich interessiere mich für Motorsport, dabei hauptsächlich für Formel 1 und Langstrecke.”

  • Philip Friedrich übernahm die Rolle des Scrum Masters in den ersten Sprints. Er studiert Informatik und war bei der Projektumsetzung im 7.Semester. „Ich habe das Ziel, nach dem Studium im Bereich IT-Security zu arbeiten. In meiner Freizeit mache und höre ich gerne Musik, spiele Badminton und Brettspiele.”
Das Team, v.l.n.r.: Nicki Broichhausen, Henrik Siesenop, Tobias Zinke, Lea Dunkel, Jan Balzer und Philip Friedrich
Das Team, v.l.n.r.: Nicki Broichhausen, Henrik Siesenop, Tobias Zinke, Lea Dunkel, Jan Balzer und Philip Friedrich

Über die TH Bingen

Die Technische Hochschule Bingen gibt es seit 1897. Die Kernkompetenz der TH Bingen liegt bei naturwissenschaftlichen und technischen Fächern, für einen Wissenstransfer wird ein enger Kontakt zur Wirtschaft gepflegt.

“Ob traditionelle Ingenieurwissenschaften, moderne Informations- und Kommunikationstechnik oder biologisch-naturwissenschaftliche Studiengänge – wir leben Vielseitigkeit, auch in der Professorenschaft”, erklärt die Hochschule auf der eigenen Website. “Bei uns lehren viele junge Dozenten mit außergewöhnlichem Praxisbezug. Denn umfassende Erfahrung in der Industrie gehört bei uns einfach dazu.”

Das Ziel des Projekts

Das AuditTAP bietet schon jetzt eine Vielzahl an Checks, die ein System auf die sichere Konfiguration (“Systemhärtung“) überprüft und die Ergebnisse in einem ausführlichen Bericht detailliert darstellt. Das Hardening-Tool nutzt dafür unter anderem etablierte Standards von Microsoft, BSI, CIS und DISA.

Die Aufgabe unserer Projektarbeit bestand darin, eine “farblich gewichtete Landkarte“ – die Heatmap – zu erstellen. Diese soll den Härtungsgrad eines geprüften Systems nach den Vorgaben des MITRE ATT&CK-Frameworks visualisieren.

Die Heatmap wird im AuditTAP auswählbar sein und den bestehenden Auditbericht ergänzen. Das könnte zum Beispiel so aussehen:

Hier ein erster Entwurf, wie die Heatmap im AuditTAP aussehen könnte.
Mockup #1: Hier ein erster Entwurf, wie die neue Heatmap-Funktion im AuditTAP integriert werden könnte. (Klicken Sie das Bild für eine größere Ansicht an)

Was ist das MITRE ATT&CK-Framework?

Das MITRE ATT&CK-Framework stellt eine Sammlung von Richtlinien zur Klassifizierung von Angriffstechniken dar. Es wurde 2013 von der Mitre Corporation veröffentlich. Das Framework umfasst 14 Oberkategorien (“Tactis”) und über 200 dazugehörige Ausprägungen (“Techniques”).

Ein wichtiger Aspekt sind die Mitigations, die eng mit den beschriebenen Angriffstechniken zusammenhängen. Die Mitigations stellen eine Reihe von Empfehlungen und bewährten Verfahren dar, um das Risiko und die Auswirkungen von Cyber-Attacken zu verringern.

Das MITRE ATT&CK-Framework ist mittlerweile eine von der Industrie anerkannte Wissensbasis. Sie dient als gemeinsamer Nenner für die Verständigung über Angriffsmodelle und Methoden zur Risikominderung.

Vorbereitungen für den ersten Prototypen

Als erstes arbeiteten wir uns sowohl in das MITRE ATT&CK-Framework als auch in das neuere MITRE D3FEND-Framework ein. Nach ein paar Abwägungen entschieden wir uns für das MITRE ATT&CK-Framework, da dieses bereits etabliert ist und einen guten Überblick über die einzelnen Stufen eines potenziellen Angriffs bietet.

Anschließend schauten wir uns bei namenhaften Herstellern und Institutionen über bereits existierende Mappings der Betriebssystemeinstellungen auf das ATT&CK-Framework um. Schließlich sind wir beim CIS (Center for Internet Security) fündig geworden.

CIS stellte uns eine Excel-Datei mit einem Mapping der Windows-Einstellungen zu den CIS-Benchmarks zur Verfügung. Mit dieser Hilfe konnten wir eine Zuordnung der CIS-Benchmarks zu den MITRE ATT&CK-Mitigations erstellen.

Um unsere Arbeit für die Integration in das AuditTAP wirklich Open Source zu halten, erarbeiteten wir ein sinnvolleres Datenmodell als Microsoft Excel . Im nächsten Schritt identifizierten wir die Einträge im ATT&CK-Framework, welche noch keine entsprechenden CIS-Benchmark-Einträge hatten, und entwickelten dafür eigene Tests.

Bei der grafischen Umsetzung schwankten wir zwischen zwei Design-Entwürfen. Zum einen hatten wir eine Visualisierung, welche sich stark an die ATT&CK-Matrix anlehnt. Andererseits überlegten wir uns eine Umsetzung, bei der Taktiken aufgesplittet, die Ergebnisse thematisch gruppiert und einzelne Bereiche stärker in den Fokus gerückt werden.

Mockup #2: Eine weitere Idee, wie die neue Heatmap im AuditTAP realisiert werden könnte.
Mockup #2: Eine weitere Idee, wie die Heatmap im AuditTAP realisiert werden könnte. (Klicken Sie das Bild für eine größere Ansicht an)

Der erste technische Prototyp

Nach ein paar Wochen Entwicklungszeit war es dann soweit: Die erste technische Demo unseres Projekts war fertig.

Mittels einer neuen Funktion im PowerShell-Skript konnten wir die IDs der CIS-Benchmarks den entsprechenden ATT&CK-IDs des MITRE-Frameworks zuordnen. So gelang es uns, die jeweils zusammengehörigen Techniken abzubilden. Um unser Projekt weiterhin Open-Source-konform zu halten, wechselten wir vom Excel- ins JSON-Datenformat.

Damit wir wie geplant eine Heatmap realisieren konnten, mussten wir uns im nächsten Schritt darum kümmern, etwas Farbe ins Spiel zu bringen. Zuerst fiel unser Ergebnis “binär” aus: Die fehlgeschlagenen Tests wurden rot eingefärbt, alle anderen grün.

So sah die "binäre" Fassung der Heatmap aus (Klicken Sie das Bild für eine größere Ansicht an).
So sah die “binäre” Fassung der Heatmap aus. (Klicken Sie das Bild für eine größere Ansicht an)

Später differenzierten wir unser Farbschema mit einem Farbverlauf. Damit kann der AuditTAP-Nutzer nun genauer erkennen, welche Bereiche seines Systems wie gut gehärtet sind. Auch Techniken, zu denen noch keine Tests verfügbar sind, zeigt das AuditTAP jetzt an. Hierfür wählten wir die Farbe Grau.

Die "bunte" Variante der Heatmap kam bei allen besser an. (Klicken Sie das Bild für eine größere Ansicht an).
Die “bunte” Variante der Heatmap kam bei allen besser an. (Klicken Sie das Bild für eine größere Ansicht an).

Zusätzliche Features

Nachdem unsere Kernfunktionalitäten implementiert waren, machten wir uns daran, neue Features zu entwickeln. Unser Ziel war es, das Benutzererlebnis weiter zu verbessern und den Funktionsumfang zu erweitern. Unter anderem fügten wir einen Tooltip hinzu, der zu jeder Kennnummer den dazugehörigen Namen der Technik zeigt.

Da es für organisatorischen Härtungsmaßnahmen keine technische Möglichkeit gibt, diese zu testen, hielten wir es für sinnvoll, eine Filterfunktion einzubauen. Diese ermöglicht es, alle organisatorischen Maßnahmen bei der Heatmap-Darstellung auszublenden. Außerdem entwickelten wir einen Filter für Techniken, die kaum oder gar nicht von den AuditTAP-Usern beeinflusst werden können. Dazu gehört beispielsweise das gezielte Ausspionieren von Opfern.

Es gibt jedoch auch Angriffsflächen, die besonders häufig von Angreifern genutzt werden, um Systeme zu infiltrieren. Dazu gehört beispielsweise der Bereich E-Mail. Damit die AuditTAP-Benutzer alle entsprechenden Techniken sofort überblicken können, implementierten wir hierfür auch noch einen Filter. Dieser hebt die Schwachstellen deutlicher hervor.

Die Filter-Funktion im Einsatz. (Klicken Sie das Bild für eine größere Ansicht an).
Die Filter-Funktion im Einsatz. (Klicken Sie das Bild für eine größere Ansicht an).

Zudem ergänzten wir das AuditTAP noch um einen weiteren Reiter: den CISA-Tab. Hier findet man eine Liste von Möglichkeiten, sein System vor Angriffen zu schützen. Die Übersicht enthält nur die Schwachstellen, die im getesteten System noch nicht geschützt sind. Die Testergebnisse der neuen MITRE-Heatmap gleichen wir dafür mit den meistgenutzten Schwachstellen des CISA-Reports ab.

So sieht der CISA-Tab im Prototypen aus. (Klicken Sie das Bild für eine größere Ansicht an)
So sieht der neue CISA-Tab im Prototypen aus. (Klicken Sie das Bild für eine größere Ansicht an)

Fazit

Im Rahmen unseres Projekts fügten wir dem AuditTAP zwei neue Tabs hinzu. Zum einen gibt es das MITRE-Tab, welches die Heatmap zeigt. Diese Heatmap spiegelt den aktuellen Zustand der Systemhärtung wieder. Und es bietet zusätzlich einen Tooltip sowie weiterführende Links, die einen tieferen Einblick in das Thema “Systemhärtung” geben.

Zum anderem realisierten wir den Reiter “CISA” , welcher Informationen zur besseren Härtung eines Systems bereitstellt. Alle Features werden wohl in eine bald erscheinende, neue Version des AuditTAP einfließen.

Abschließend lässt sich sagen, dass unser Projekt mit der FB Pro ein voller Erfolg war. Dank einer sorgfältigen Planung, der koordinierten Zusammenarbeit und dem Engagement aller Beteiligten konnten die gemeinsam gesteckten Ziele voll erreicht werden. Das Projekt war für uns Studierende ein guter Anlass, unser gesammeltes Wissen in der Praxis anzuwenden.

Wir bedanken uns ganz herzlich beim ganzen FB-Pro-Team für die tatkräftige Unterstützung!

 

Schreibe einen Kommentar