Mehrschichtige Mehrlabels‑Klassifikationsmodelle für MITRE ATT&CK‑Text‑Tagging

MITRE ATT&CK ist eine umfassende Wissensdatenbank, die Bedrohungsakteure und Cyberangriffe in Taktiken und zugehörige Techniken gliedert. Diese Hierarchie dient Sicherheitsfachleuten als Rahmen, um Berichte, Schwachstellenbeschreibungen und Bedrohungsszenarien zu kennzeichnen und damit nachgelagerte Analysen zu erleichtern.

Bislang erfolgt das Tagging überwiegend manuell. In dieser technischen Notiz wird ein strukturiertes „Task‑Space“-Konzept vorgestellt, das die Aufgabe des MITRE ATT&CK‑Text‑Taggings charakterisiert und frühere Automatisierungsbemühungen zusammenführt. Gleichzeitig werden Wege aufgezeigt, wie neue Methoden entwickelt werden können.

Um einen dieser Wege zu demonstrieren, wurden schrittweise mehrschichtige Mehrlabels‑Klassifikationsmodelle aufgebaut. Dabei wurden allgemeine Texte aus der Cyber‑Threat‑Intelligence genutzt, die Modelle mit offenen Werkzeugen trainiert und die Resultate auf GitHub veröffentlicht (https://github.com/jpmorganchase/MITRE_models). Die Modelle erreichen eine Genauigkeit von rund 94 % auf Taktik‑Ebene und etwa 82 % auf Technik‑Ebene, was dem aktuellen Stand der Technik entspricht oder ihn sogar übertrifft – und das ausschließlich mit klassischen Machine‑Learning‑Methoden.