ATT&CK framework
ConceptenGecategoriseerde verzameling van aanvalstechnieken onder beheer van MITRE (zie mitre.org) Het MITRE ATT&CK framework wordt bijvoorbeeld gebruikt om inzichtelijk te maken welke aanvalstechnieken een organisatie tegen beschermd is en waar nog maatregelen getroffen moeten worden, of om inzichtelijk te maken op welke aanvalstechnieken een bepaalde technologie of maatregel impact heeft.
Het ATT&CK framework is een uitgebreide kennisbank van aanvalstechnieken en -tactieken, ontwikkeld en onderhouden door de MITRE Corporation. De afkorting staat voor Adversarial Tactics, Techniques, and Common Knowledge. Dit raamwerk biedt een gestandaardiseerde classificatie van methoden die kwaadwillenden inzetten tijdens cyberaanvallen, gebaseerd op waarnemingen uit echte incidenten wereldwijd. Organisaties gebruiken het ATT&CK framework om hun beveiligingsmaatregelen te toetsen, detectiecapaciteiten te verbeteren en gericht te investeren in bescherming tegen relevante dreigingen. Het framework is vrij toegankelijk en wordt continu bijgewerkt met nieuwe technieken en sub-technieken op basis van actuele dreigingsinformatie.
Waarom is het ATT&CK framework belangrijk?
Cyberaanvallen worden steeds geavanceerder en moeilijker te detecteren. Traditionele beveiligingsbenaderingen die zich richten op bekende malware-signatures of eenvoudige firewallregels schieten daarbij tekort. Het ATT&CK framework biedt een gestructureerd overzicht van meer dan 200 technieken en honderden sub-technieken, verdeeld over 14 tactische categorieen. Elke tactiek vertegenwoordigt een fase of doel in een aanval, van initieel verkenningswerk (reconnaissance) tot het daadwerkelijk exfiltreren van data.
Deze gedetailleerde classificatie maakt het mogelijk om beveiligingsmaatregelen niet langer generiek in te richten, maar gericht af te stemmen op specifieke aanvalsmethoden. Securityteams kunnen hiermee vaststellen welke technieken relevant zijn voor hun sector en organisatie, en vervolgens controleren of hun detectie- en preventietools deze technieken daadwerkelijk afdekken. Zonder een dergelijk raamwerk blijft beveiligingsbeleid vaak reactief en onvolledig.
Het framework fungeert daarnaast als gemeenschappelijke taal. Wanneer een incident response team een aanval analyseert, kan het met ATT&CK-terminologie precies beschrijven welke technieken zijn waargenomen. Dit vergemakkelijkt communicatie tussen interne teams, met externe partners en met toezichthouders. In de context van Nederlandse regelgeving zoals de NIS2-richtlijn en de AVG biedt het framework een onderbouwde manier om aan te tonen welke risico's zijn geadresseerd en welke maatregelen zijn getroffen.
Recente versies van het framework, waaronder versie 18.1 uit december 2025, hebben de dekking uitgebreid naar cloudomgevingen, Kubernetes-clusters, CI/CD-pipelines en software supply chains. Daarmee blijft het ATT&CK framework relevant voor moderne IT-architecturen die steeds vaker hybride en cloudgebaseerd zijn. Ook de opkomst van AI-gestuurde aanvallen heeft geleid tot nieuwe toevoegingen aan het framework.
Hoe het ATT&CK framework toepassen?
Toepassing van het ATT&CK framework begint met het selecteren van de relevante matrix. MITRE biedt meerdere varianten aan: Enterprise ATT&CK voor bedrijfsnetwerken, Mobile ATT&CK voor mobiele apparaten en ICS ATT&CK voor industriele controle systemen. Binnen de Enterprise-matrix zijn technieken verder onderverdeeld naar platformen zoals Windows, Linux, macOS, containers en clouddiensten.
Een veelgebruikte eerste stap is het uitvoeren van een gap-analyse. Hierbij wordt de huidige set aan beveiligingsmaatregelen systematisch vergeleken met de technieken uit het framework. Voor elke techniek wordt beoordeeld of er detectiemogelijkheden bestaan, of er preventieve controls zijn ingericht en hoe effectief deze zijn. Het resultaat is een hittekaart die direct zichtbaar maakt waar blinde vlekken zitten in de beveiligingsarchitectuur.
Security Operations Centers gebruiken het framework om detectieregels te ontwikkelen en te prioriteren. Door SIEM-platforms en EDR-tools te mappen op ATT&CK-technieken wordt duidelijk welke aanvalspatronen al worden gedetecteerd en welke nog niet. Dit voorkomt dat securityteams investeren in detectie van technieken die al goed worden afgedekt, terwijl kritieke hiaten open blijven. De mapping helpt ook bij het rechtvaardigen van investeringen in nieuwe detectiecapaciteiten richting management.
Pentesters en red teams zetten het framework in als leidraad voor realistische aanvalssimulaties. In plaats van willekeurige aanvallen uit te voeren, selecteren zij technieken die relevant zijn voor de doelorganisatie en voeren deze gestructureerd uit. De resultaten worden vervolgens gerapporteerd in ATT&CK-terminologie, waardoor de opdrachtgever direct kan zien welke technieken succesvol waren en welke maatregelen effectief bleken.
Dreigingsinformatie wordt eveneens verrijkt door koppeling aan het framework. Threat intelligence feeds die indicatoren van compromise (IOC's) leveren, krijgen meer waarde wanneer ze worden gekoppeld aan specifieke ATT&CK-technieken. Hierdoor verschuift de focus van reactieve IOC-detectie naar proactieve hunting op gedragspatronen van aanvallers. Organisaties die threat intelligence koppelen aan ATT&CK kunnen sneller inschatten welke dreigingsactoren actief zijn in hun sector en welke verdedigingsmaatregelen prioriteit verdienen.
In de praktijk
Nederlandse organisaties passen het ATT&CK framework op diverse manieren toe. Financiele instellingen gebruiken het om hun SOC-detectieregels te valideren tegen de technieken die door financieel gemotiveerde dreigingsactoren worden ingezet. Overheidsorganisaties mappen hun beveiligingsarchitectuur op het framework om te voldoen aan eisen vanuit de Baseline Informatiebeveiliging Overheid (BIO) en de NIS2-richtlijn.
In de zorg worden ATT&CK-assessments ingezet om te toetsen of medische systemen en patientgegevens adequaat beschermd zijn tegen de technieken die bij ransomware-aanvallen op zorginstellingen worden waargenomen. De ransomware killchain wordt hierbij vaak als aanvullend referentiekader gebruikt naast het ATT&CK framework om de volledige aanvalsketen in kaart te brengen.
Managed Security Service Providers (MSSP's) gebruiken het framework om hun dienstverlening te structureren en meetbaar te maken. Door aan klanten te rapporteren welke ATT&CK-technieken worden gemonitord en welke niet, ontstaat transparantie over de daadwerkelijke dekking van de beveiligingsdiensten. Dit helpt klanten bij het maken van onderbouwde keuzes over aanvullende maatregelen en biedt houvast bij het selecteren van een geschikte security-partner.
Een concrete toepassing is het gebruik van ATT&CK Navigator, een open-source tool van MITRE waarmee organisaties visueel kunnen vastleggen welke technieken zij afdekken. Teams markeren technieken als "gedetecteerd", "gedeeltelijk afgedekt" of "niet afgedekt" en delen deze visualisaties met management en auditors. Dit maakt complexe beveiligingsinformatie toegankelijk voor niet-technische stakeholders en ondersteunt besluitvorming over prioriteiten.
Bij adversary simulation trajecten vormt het framework de basis voor het selecteren van relevante aanvalstechnieken. Purple team-oefeningen, waarbij red team en blue team samenwerken, gebruiken ATT&CK als gedeeld referentiekader om de effectiviteit van detectie en respons systematisch te testen en te verbeteren. De resultaten van deze oefeningen worden vastgelegd in ATT&CK-terminologie, zodat voortgang over meerdere iteraties meetbaar is.
Veelgestelde vragen
Wat is het verschil tussen een tactiek en een techniek in ATT&CK?
Een tactiek beschrijft het doel van een aanvaller, zoals het verkrijgen van initieel toegang of het escaleren van privileges. Een techniek beschrijft de specifieke methode waarmee dat doel wordt bereikt, zoals spearphishing of het misbruiken van een kwetsbaarheid in software.
Is het ATT&CK framework alleen voor grote organisaties?
Het framework is schaalbaar en toepasbaar voor organisaties van elke omvang. Kleinere organisaties kunnen beginnen met het beoordelen van de meest voorkomende technieken in hun sector, zonder het volledige framework te hoeven implementeren. Het is raadzaam om te starten met de technieken die het vaakst voorkomen bij incidenten in de eigen branche.
Hoe vaak wordt het ATT&CK framework bijgewerkt?
MITRE brengt meerdere keren per jaar updates uit. Versie 18.1, uitgebracht in december 2025, bevat uitbreidingen voor cloudbeveiliging, containertechnologie en supply chain-aanvallen. Elke update voegt nieuwe technieken toe en verfijnt bestaande beschrijvingen op basis van actuele dreigingswaarnemingen.
Kan het ATT&CK framework gecombineerd worden met andere raamwerken?
Ja. Het framework wordt regelmatig gecombineerd met het control framework van een organisatie, met ISO 27001, het NIST Cybersecurity Framework en sectorspecifieke standaarden. Deze combinatie biedt zowel strategisch als operationeel inzicht in de beveiligingspositie.
Wat is ATT&CK Navigator?
ATT&CK Navigator is een gratis, open-source webapplicatie van MITRE waarmee securityteams visueel kunnen vastleggen welke technieken zij monitoren, detecteren of mitigeren. Het wordt veel gebruikt voor gap-analyses, rapportages en het plannen van verbeteringen in de detectiedekking.
Vergelijk aanbieders die helpen met threat detection en response via IBgidsNL. Ga naar Monitoring and Incident Response.