® 
MITRE ATT&CK
Definitie
MITRE ATT&CK is een wereldwijd kennisbestand van tactieken en technieken die aanvallers gebruiken, gebaseerd op waarnemingen van echte aanvallen. Het wordt gebruikt om dreigingen te begrijpen, beveiligingsmaatregelen te testen en detectieregels te schrijven.
MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) is een wereldwijd kennisbestand van aanvalstactieken en -technieken gebaseerd op waarnemingen van echte cyberaanvallen. Het framework bevat meer dan 200 technieken verdeeld over 14 tactieken en is de de facto standaard voor het beschrijven, analyseren en detecteren van cyberdreigingen.
Hoe werkt MITRE ATT&CK?
Het framework is een matrix die de volledige aanvalscyclus beschrijft vanuit het perspectief van de aanvaller. De 14 tactieken (kolommen) beschrijven de strategische doelen: Reconnaissance, Resource Development, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration en Impact. Onder elke tactiek vallen meerdere technieken die beschrijven hoe aanvallers het doel bereiken, met specifieke sub-technieken en documentatie van welke dreigingsgroepen welke technieken gebruiken.
Toepassingen van MITRE ATT&CK
Security teams gebruiken ATT&CK om hun detectiedekking te meten: welke technieken kunnen we detecteren en welke niet? Red teams simuleren aanvallen op basis van ATT&CK-technieken. Purple teaming valideert de detectie per techniek. Threat intelligence wordt gestructureerd volgens ATT&CK-taxonomie. SOC-analisten classificeren incidenten met ATT&CK-referenties.
Impact voor organisaties
MITRE ATT&CK biedt een gemeenschappelijke taal voor het beschrijven van cyberdreigingen die door de gehele beveiligingsindustrie wordt gebruikt. Zonder ATT&CK als referentie missen organisaties een gestructureerde manier om hun beveiligingsdekking te meten en te verbeteren.
Bescherming
Map de detectieregels van SIEM en EDR naar ATT&CK-technieken. Identificeer blinde vlekken in de dekking. Prioriteer detectie-investeringen op basis van relevante dreigingsactoren en hun technieken.
Hoe DEFION helpt
DEFION gebruikt MITRE ATT&CK als referentiekader bij Red Teaming, Purple Teaming en Managed Threat Hunting. Het team helpt organisaties hun ATT&CK-dekking te meten en te verbeteren.