IT OT Convergentie

TTP

2 minuten leestijd

Wat zijn TTP’s?

TTP staat voor Tactics, Techniques, and Procedures – een classificatiesysteem dat beschrijft hoe cyberaanvallers opereren. Het wordt veel gebruikt in Threat Intelligence en frameworks zoals MITRE ATT&CK en MITRE ATT&CK for ICS.

TTP’s maken het mogelijk om aanvallen te begrijpen, herleiden en detecteren op basis van hun gedrag en werkwijze, in plaats van enkel op technische kenmerken zoals IP-adressen of Malware hashes.

🧠 Hoe werken TTP’s?

  1. Tactics – Het doel of motief van een aanvaller (bijv. Initial Access, Lateral Movement)
  2. Techniques – De manier waarop dat doel wordt bereikt (bijv. Phishing, Valid Accounts)
  3. Procedures – De specifieke uitvoering van een techniek door een bepaalde dreigingsactor

Een voorbeeld:

  • Tactic: Initial Access
  • Technique: Exploit Public-Facing Application
  • Procedure: Het gebruik van een bekend kwetsbaarheidslek in een SCADA-webinterface

Door TTP’s te analyseren kunnen OT-organisaties gericht detectieregels opstellen en verdediging aanpassen.

🏭 Toepassing van TTP’s in industriële netwerken

  • Gebruik van ATT&CK for ICS om TTP’s te koppelen aan OT-systemen zoals PLC, HMI, SCADA, Engineering Station
  • In threat simulations of Red Team-oefeningen wordt gewerkt met echte TTP’s van bekende aanvallers
  • OT-specifieke SIEM-regels en SOAR-playbooks worden afgestemd op relevante TTP’s
  • Threat Hunting richt zich op het zoeken naar sporen van technieken zoals:
  • Abuse of Valid Accounts (T1078)
  • Inhibit Response Function (T0829)
  • Loss of Control (T0831)
  • Modify Alarm Settings (T0855)

Het begrijpen van TTP’s helpt OT-teams om proactief beveiligingsmaatregelen te nemen.

🔍 TTP’s vs. IOC’s

AspectTTP (Tactics, Techniques, Procedures)IOC (Indicator of Compromise)
FocusGedrag van aanvallersTechnische sporen (IP, hash, domein)
HerbruikbaarheidHoog – blijft vaak hetzelfdeLaag – snel verouderd
Gebruik in OTAanbevolen voor detectie, simulatie, huntingAanvullend voor snelle blokkering

🔐 Beveiligingsaspecten

  • TTP-gebaseerde detectie is veerkrachtiger tegen aanvaller-aanpassing
  • Door TTP’s te koppelen aan MITRE D3FEND kun je verdedigingsmaatregelen prioriteren
  • Essentieel in Threat Intelligence, SOC, SIEM, en Incident Response
  • Zorg voor continue analyse van aanvallers en actualisering van TTP’s

Een goede kennis van TTP’s helpt bij het voorspellend inrichten van detectie en mitigatie, ook in industriële netwerken.

📌 Samengevat

TTP’s zijn een krachtig middel om aanvallen te begrijpen, simuleren en detecteren op gedragsniveau. Voor OT-omgevingen vormen ze de brug tussen strategie, dreiging en verdediging.

Grafiekweergave

Backlinks