Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

TTP

Aanvallen

Tactics, techniques and procedures. Tactieken, technieken en processen die een aanvaller gebruikt.

TTP staat voor Tactics, Techniques and Procedures en beschrijft het volledige gedragspatroon van cyberaanvallers. Tactics zijn de strategische doelen die een aanvaller nastreeft, techniques zijn de methoden die worden ingezet om die doelen te bereiken, en procedures zijn de specifieke stap-voor-stap implementaties van die technieken. Het TTP-framework is een kernonderdeel van threat intelligence en vormt de basis van het MITRE ATT&CK-framework, de internationaal meest gebruikte kennisbank voor het classificeren van cyberaanvallen. Door TTP's van dreigingsactoren te analyseren, kunnen organisaties hun verdediging gerichter inrichten en aanvallen sneller detecteren.

Hoe werkt TTP?

De drie lagen van TTP vormen een hierarchie van abstract naar concreet. Tactics vertegenwoordigen het "wat" van een aanval: wat wil de aanvaller bereiken? Het MITRE ATT&CK-framework definieert 14 tactiekcategorieen voor enterprise-aanvallen, waaronder Initial Access (eerste toegang verkrijgen), Persistence (blijvende toegang behouden), Privilege Escalation (hogere rechten verkrijgen), Lateral Movement (zich door het netwerk bewegen) en Exfiltration (gegevens wegstelen).

Techniques vormen het "hoe" en beschrijven de methoden die aanvallers gebruiken om een tactiek uit te voeren. Binnen de tactiek Initial Access zijn techniques onder meer phishing, het exploiteren van publiek toegankelijke applicaties en het gebruik van gestolen credentials. Het ATT&CK-framework bevat in de laatste versie meer dan 200 technieken en 475 subtechnieken, die elk een specifieke aanvalsmethode beschrijven.

Procedures zijn de meest concrete laag en beschrijven precies hoe een specifieke dreigingsactor een techniek implementeert. Waar de techniek "phishing" generiek is, beschrijft een procedure bijvoorbeeld dat APT29 (een aan Rusland gelinkte groep) spearphishing-e-mails verstuurt met een HTML-bijlage die een ISO-bestand dropt, welke een LNK-shortcut bevat die PowerShell-code uitvoert. Deze granulariteit maakt TTP's zo waardevol voor detectie.

Het onderscheid tussen deze drie lagen is belangrijk voor de verdedigingsstrategie. Tactics veranderen zelden, omdat aanvallers altijd dezelfde strategische doelen nastreven. Techniques veranderen regelmatig als beveiligingsoplossingen ze gaan detecteren. Procedures veranderen het vaakst, omdat aanvallers continu hun specifieke implementatie aanpassen om detectie te omzeilen. Een goede verdediging dekt daarom alle drie de lagen af.

Hoe herken je TTP's?

Het herkennen van TTP's vereist een combinatie van threat intelligence, security monitoring en analyse. Threat intelligence-feeds van organisaties zoals het NCSC, ENISA en commerciele leveranciers publiceren regelmatig analyses van dreigingsactoren inclusief hun TTP's. Door deze informatie te vertalen naar detectieregels in je SIEM en EDR-oplossingen, kun je aanvallen herkennen op basis van gedrag in plaats van alleen op basis van indicators of compromise (IOC's) zoals IP-adressen of bestandshashes.

Het voordeel van TTP-gebaseerde detectie boven IOC-gebaseerde detectie is de duurzaamheid. Een IP-adres of hash verandert een aanvaller in seconden. Maar de technieken en procedures die een aanvaller gebruikt, veranderen veel langzamer. Als je detecteert dat een proces via een ongebruikelijke methode persistentie probeert te verkrijgen, pik je de aanval op ongeacht welk specifiek malware-sample of welke infrastructuur wordt gebruikt.

Purple teaming is een effectieve methode om je TTP-detectiecapabiliteiten te testen. Hierbij simuleert een red team specifieke TTP's van bekende dreigingsactoren, terwijl het blue team probeert deze te detecteren en erop te reageren. De resultaten tonen precies welke TTP's je wel en welke je niet kunt detecteren, waardoor je gericht je security monitoring kunt verbeteren.

Hoe bescherm je je tegen TTP's?

Een TTP-gerichte verdediging begint met het identificeren van de dreigingsactoren die relevant zijn voor jouw organisatie en sector. Niet elke TTP is even relevant voor elke organisatie. Een financiele instelling heeft te maken met andere dreigingsactoren en TTP's dan een productiebedrijf of een zorginstelling. Door je dreigingslandschap in kaart te brengen, kun je je verdediging focussen op de TTP's die voor jou het meest waarschijnlijk en impactvol zijn.

Map vervolgens de geidentificeerde TTP's tegen je bestaande beveiligingsmaatregelen. Het MITRE ATT&CK-framework biedt hiervoor de D3FEND-methodologie, die verdedigingsmaatregelen koppelt aan specifieke aanvalstechnieken. Dit toont gaps in je verdediging: technieken waartegen je geen detectie of preventie hebt ingericht. Prioriteer het dichten van deze gaps op basis van de waarschijnlijkheid en impact van de betreffende TTP's.

Implementeer detectieregels voor de meest relevante TTP's in je SIEM-platform en EDR-oplossingen. Sigma-regels zijn een open standaard voor het beschrijven van detectielogica die platform-onafhankelijk is. Door Sigma-regels te gebruiken, kun je detectie voor specifieke TTP's definieren en deze vertalen naar het specifieke formaat van je SIEM-platform, of dat nu Splunk, Microsoft Sentinel of Elastic is.

Train je security operations-team in het herkennen en analyseren van TTP's. Analisten die begrijpen hoe aanvallers opereren op tactic-, technique- en procedure-niveau, kunnen verdachte activiteiten sneller en accurater classificeren. Het MITRE ATT&CK-framework biedt gratis trainingsmaterialen en de ATT&CK Navigator is een visueel hulpmiddel voor het in kaart brengen van je detectiedekking per techniek.

Het delen van TTP-informatie tussen organisaties versterkt de collectieve verdediging. Sectoren zoals de financiele sector en de zorg hebben Information Sharing and Analysis Centers (ISACs) opgericht om TTP-informatie gestructureerd uit te wisselen. STIX en TAXII zijn open standaarden die het geautomatiseerd delen van TTP-informatie mogelijk maken tussen organisaties en hun beveiligingsplatformen. Door TTP-informatie te delen, profiteert elke deelnemende organisatie van de detectie-ervaring van alle andere deelnemers.

Veelgestelde vragen over TTP

Wat is het verschil tussen TTP's en indicators of compromise?

Indicators of compromise (IOC's) zijn specifieke technische indicatoren zoals IP-adressen, domeinnamen en bestandshashes die wijzen op een specifiek incident. TTP's beschrijven het gedrag en de werkwijze van aanvallers. IOC's zijn snel te veranderen door aanvallers en hebben een beperkte houdbaarheid. TTP's zijn stabieler en bieden langduriger bescherming als basis voor detectie.

Hoeveel TTP's bevat het MITRE ATT&CK-framework?

In de laatste versie (v18) bevat MITRE ATT&CK voor Enterprise 14 tactieken, 216 technieken en 475 subtechnieken. Het framework wordt meerdere keren per jaar bijgewerkt met nieuwe technieken die zijn waargenomen bij echte aanvallen. Daarnaast bestaan er aparte matrices voor mobile en ICS-omgevingen met eigen sets technieken.

Hoe gebruik je TTP's voor threat hunting?

Bij threat hunting formuleer je hypotheses op basis van TTP's die relevant zijn voor je organisatie. Bijvoorbeeld: "Aanvallers gebruiken mogelijk scheduled tasks voor persistentie." Vervolgens zoek je proactief in je logs en telemetrie naar bewijs van deze techniek. Door systematisch de meest relevante TTP's af te lopen, ontdek je mogelijk aanwezige dreigingen die passieve detectie hebben omzeild.

Is MITRE ATT&CK de enige TTP-classificatie?

MITRE ATT&CK is de meest gebruikte en uitgebreide classificatie, maar er bestaan alternatieven. Het Lockheed Martin Cyber Kill Chain-model beschrijft aanvallen in zeven fasen. Het Diamond Model richt zich op de relaties tussen aanvaller, infrastructuur, slachtoffer en capability. In de praktijk worden deze modellen vaak gecombineerd, waarbij ATT&CK de meest gedetailleerde TTP-mapping biedt.

Hoe begin je met TTP-gebaseerde detectie?

Begin met de MITRE ATT&CK Top 10, een selectie van de meest voorkomende technieken. Implementeer detectieregels voor deze technieken in je SIEM en test ze via purple team-oefeningen. Breid geleidelijk uit naar meer technieken, geprioriteerd op basis van threat intelligence over de dreigingsactoren die relevant zijn voor jouw sector en regio.

Bescherm je organisatie met TTP-gebaseerde detectie. Vergelijk Security Monitoring aanbieders op IBgidsNL.