Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

MITRE Att&ck

Concepten

Een samengestelde kennisbank en model voor het gedrag van cyberaanvallers, dat de verschillende fasen van de aanvalslevenscyclus van een tegenstander weerspiegelt en de platforms waarvan bekend is dat deze zich richten. De afkorting staat voor Adversarial Tactics, Techniques, and Common Knowledge.

MITRE ATT&CK is een wereldwijd gebruikte kennisbank die het gedrag van cyberaanvallers systematisch in kaart brengt. De afkorting staat voor Adversarial Tactics, Techniques, and Common Knowledge. Het framework is ontwikkeld door de Amerikaanse non-profitorganisatie MITRE en documenteert hoe aanvallers daadwerkelijk te werk gaan op basis van waargenomen incidenten uit de praktijk. In plaats van theoretische dreigingen te beschrijven, catalogiseert ATT&CK concrete aanvalstechnieken die bij echte cyberaanvallen zijn waargenomen. Daarmee is het een van de belangrijkste referentiekaders voor security teams, threat intelligence-analisten en organisaties die hun verdediging willen afstemmen op realistische dreigingsscenario's.

Waarom is MITRE ATT&CK belangrijk?

Het framework geeft organisaties een gemeenschappelijke taal om over cyberdreigingen te communiceren. Zonder een gedeeld referentiekader beschrijft elke leverancier, analist en security tool dezelfde aanval op een andere manier. ATT&CK lost dat probleem op door een gestandaardiseerde taxonomie te bieden. Wanneer een SOC-analist zegt dat er een T1566-techniek is gedetecteerd, weet iedereen in het vakgebied dat het om phishing gaat, welke sub-technieken erbij horen en welke tegenmaatregelen effectief zijn.

Voor Nederlandse organisaties is ATT&CK bijzonder waardevol bij het opstellen van dreigingsprofielen. Je kunt het framework gebruiken om te analyseren welke aanvalsgroepen (threat actors) actief zijn in jouw sector en welke technieken zij inzetten. Het NCSC verwijst regelmatig naar ATT&CK-technieken in dreigingsadviezen en factsheets. Door je detectie- en verdedigingsmaatregelen te mappen op de ATT&CK-matrix, zie je precies waar je gaten zitten en welke aanvalstechnieken je nog niet kunt detecteren.

Het framework is ook een krachtig instrument voor security teams om de effectiviteit van hun detectiemogelijkheden te meten. Door per ATT&CK-techniek vast te leggen of je detectie hebt, een preventieve maatregel hebt of een blinde vlek hebt, krijg je een objectief beeld van je beveiligingsvolwassenheid. Dit is waardevoller dan een checklist afvinken, omdat het je dwingt na te denken vanuit het perspectief van de aanvaller.

Hoe pas je MITRE ATT&CK toe?

De ATT&CK-matrix is opgebouwd uit veertien tactieken die de verschillende fasen van een cyberaanval vertegenwoordigen. Elke taktiek bevat tientallen technieken en sub-technieken. De tactieken lopen van Reconnaissance (verkenning) en Initial Access (eerste toegang) via Execution (uitvoering) en Persistence (persistentie) tot Exfiltration (data-exfiltratie) en Impact. Onder elke techniek vind je een beschrijving, voorbeelden uit de praktijk, detectiemogelijkheden en aanbevolen tegenmaatregelen.

Je past ATT&CK toe door het te integreren in je bestaande security-processen. Begin met het identificeren van de threat actors die relevant zijn voor jouw sector. ATT&CK bevat gedetailleerde profielen van meer dan honderd bekende aanvalsgroepen, inclusief welke technieken ze gebruiken. Map vervolgens je huidige detectie- en preventiemaatregelen op de ATT&CK-matrix. Gebruik tools als de ATT&CK Navigator om visueel inzichtelijk te maken waar je dekking hebt en waar niet.

ATT&CK integreert met veel security-producten. SIEM-systemen, EDR-oplossingen en threat intelligence-platforms ondersteunen ATT&CK-mapping, waardoor je alerts direct kunt koppelen aan specifieke technieken. Dit versnelt triage en maakt het eenvoudiger om de ernst van een incident te beoordelen. Je kunt ATT&CK ook gebruiken bij penetratietesten en red team-oefeningen om te valideren of je detectie daadwerkelijk werkt tegen specifieke technieken.

MITRE ATT&CK in de praktijk

Stel dat je security team een alert ontvangt over verdachte PowerShell-activiteit op een werkstation. Met ATT&CK kun je deze activiteit direct koppelen aan techniek T1059.001 (Command and Scripting Interpreter: PowerShell). Het framework vertelt je welke aanvalsgroepen deze techniek gebruiken, welke follow-up-technieken je kunt verwachten en welke detectieregels je moet inrichten om de volgende stap van de aanvaller te detecteren.

ATT&CK kent drie matrices voor verschillende omgevingen: Enterprise (voor netwerken en cloudomgevingen), Mobile (voor iOS en Android) en ICS (voor industriele controlesystemen). De Enterprise-matrix is het meest gebruikt en dekt zowel traditionele on-premise omgevingen als cloudplatforms van AWS, Azure en Google Cloud. Voor organisaties met operationele technologie (OT) is de ICS-matrix relevant omdat die specifieke aanvalstechnieken voor SCADA-systemen en industriele netwerken documenteert.

Het framework wordt continu bijgewerkt op basis van nieuwe dreigingsinformatie. MITRE werkt samen met security-onderzoekers, overheidsinstanties en private organisaties wereldwijd om nieuwe technieken toe te voegen en bestaande te verfijnen. Deze voortdurende actualisering maakt ATT&CK een levend document dat meegroeit met het veranderende dreigingslandschap.

Een belangrijk aspect van ATT&CK is de mogelijkheid om threat-informed defense op te bouwen. In plaats van generieke beveiligingsmaatregelen te implementeren, stem je je verdediging af op de specifieke technieken die dreigingsactoren in jouw sector gebruiken. Dit maakt je beveiligingsbudget effectiever omdat je investeert in maatregelen die beschermen tegen realistische dreigingen in plaats van theoretische risicos. Het NCSC adviseert Nederlandse organisaties om ATT&CK te gebruiken als onderdeel van hun dreigingsbeoordeling en verdedigingsstrategie.

ATT&CK wordt ook steeds vaker gebruikt voor het evalueren van security-producten. De onafhankelijke ATT&CK Evaluations van MITRE testen hoe goed endpoint detection and response (EDR)-producten aanvallen detecteren die zijn gebaseerd op de technieken van bekende dreigingsgroepen. De resultaten van deze evaluaties zijn openbaar beschikbaar en helpen organisaties bij het selecteren van security-tooling op basis van objectieve testresultaten in plaats van marketingclaims van leveranciers.

Voor organisaties die hun security-volwassenheid willen meten, biedt ATT&CK een concreet meetinstrument. Door per techniek vast te leggen of je beschikt over preventie, detectie of geen dekking, ontstaat een heatmap van je beveiligingsposture. Deze heatmap maakt het mogelijk om gericht te investeren in de gebieden waar je dekking het zwakst is. Veel MSSP's en security-consultants gebruiken ATT&CK-gebaseerde assessments als basis voor hun advies aan klanten.

Daarnaast biedt MITRE met D3FEND een complementair framework dat specifiek defensieve technieken catalogiseert en koppelt aan ATT&CK-aanvalstechnieken, waardoor je gericht tegenmaatregelen kunt selecteren.

Veelgestelde vragen over MITRE ATT&CK

Is MITRE ATT&CK gratis te gebruiken?

Het framework is volledig open-source en gratis beschikbaar via attack.mitre.org. Alle technieken, groepsprofielen en software-beschrijvingen zijn vrij toegankelijk. Er zijn ook gratis tools beschikbaar zoals de ATT&CK Navigator voor visualisatie en mapping.

Wat is het verschil tussen MITRE ATT&CK en de Cyber Kill Chain?

De Cyber Kill Chain van Lockheed Martin beschrijft aanvallen in zeven lineaire fasen. ATT&CK is gedetailleerder met veertien tactieken en honderden technieken, en erkent dat aanvallen niet altijd lineair verlopen. ATT&CK biedt ook concrete detectie-adviezen per techniek.

Hoe begin je met MITRE ATT&CK als kleine organisatie?

Begin met de top-tien technieken die het vaakst worden waargenomen bij aanvallen in jouw sector. Controleer of je detectie hebt voor deze technieken en richt je eerst op de grootste gaten. Je hoeft niet alle honderden technieken tegelijk af te dekken.

Hoe gebruik je ATT&CK bij een penetratietest?

Vraag je pentester om de gebruikte aanvalstechnieken te rapporteren met ATT&CK-referenties. Zo kun je de testresultaten direct mappen op je detectie-dekking en gericht verbeteringen doorvoeren. Dit maakt pentest-rapporten ook vergelijkbaar over tijd.

Welke tools ondersteunen MITRE ATT&CK?

De meeste moderne SIEM-systemen, EDR-oplossingen en threat intelligence-platforms ondersteunen ATT&CK-mapping. Populaire tools zijn Splunk, Microsoft Sentinel, CrowdStrike Falcon en Elastic Security. De ATT&CK Navigator is een gratis open-source tool voor visualisatie.

Wil je je detectiecapaciteit verbeteren? Vergelijk Security Monitoring oplossingen op IBgidsNL.