Wat is MITRE ATT&CK?
MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) is een open framework dat een uitgebreide kennisbank van aanvallerstechnieken biedt die worden gebruikt in echte cyberaanvallen.
Het helpt organisaties bij het begrijpen, detecteren, analyseren en verdedigen tegen cyberaanvallen door bekende tactieken en technieken in kaart te brengen — gebaseerd op echte dreigingen.
🧠 Wat staat er in MITRE ATT&CK?
MITRE ATT&CK is opgebouwd uit drie kerncomponenten:
- Tactics – het doel van de aanvaller (zoals toegang verkrijgen of persistentie)
- Techniques – hoe dat doel wordt bereikt (zoals credential dumping)
- Procedures – concrete voorbeelden van hoe technieken in de praktijk zijn gebruikt door specifieke aanvallers
🧱 Voorbeeld van een aanvalsstap
| Tactic | Technique | Procedure |
|---|---|---|
| Initial Access | Spear Phishing Attachment | APT29 verzond Word-bestanden met macro’s |
| Credential Access | Credential Dumping | Mimikatz gebruikt om wachtwoorden uit RAM te halen |
| Lateral Movement | Remote Desktop Protocol | Inloggen op interne systemen met gestolen creds |
🧰 Toepassingen van MITRE ATT&CK
- Threat modeling en Red Team-planning
- SIEM-rule mapping en SOC-analyses
- Threat Hunting en gedragsdetectie
- Gap-analyse van detectiemogelijkheden
- Referentie voor XDR, EDR en SOAR-integraties
🗂 Verschillende ATT&CK-matrices
MITRE heeft aparte matrices voor:
- Enterprise: Windows, Linux, macOS, cloud
- Mobile: Android en iOS
- ICS: Specifiek voor industriële systemen (bijv. PLC, SCADA)
- PRE-ATT&CK (verouderd): Voor aanvallen vóór daadwerkelijke toegang
🧭 Voorbeeld tactieken (Enterprise)
| Tactic | Beschrijving |
|---|---|
| Initial Access | Hoe de aanvaller binnenkomt |
| Execution | Hoe code wordt uitgevoerd |
| Persistence | Hoe toegang behouden blijft |
| Privilege Escalation | Verhogen van rechten |
| Defense Evasion | Detectie vermijden |
| Credential Access | Wachtwoorden en tokens stelen |
| Discovery | Verkenning van systemen en netwerken |
| Lateral Movement | Verspreiden binnen het netwerk |
| Command and Control (C2) | Externe communicatie opzetten |
| Exfiltration | Data buitmaken |
| Impact | Disruptie veroorzaken, bv. via Ransomware |
✅ Voordelen
- Gebaseerd op echte dreigingsinformatie
- Helpt bij detectiegaps identificeren
- Breed toepasbaar op EDR, SIEM, SOC, en Threat Hunting
- Veel tools (zoals Splunk, Sentinel, MISP) ondersteunen ATT&CK-integratie
- Ondersteunt Risk Management en maturity assessments
📌 Samengevat
MITRE ATT&CK is een wereldwijd erkend raamwerk om aanvallerstechnieken te begrijpen, detecteren en voorkomen. Het biedt een gemeenschappelijke taal en structuur voor beveiligingsteams, auditors, en management.