® 
TTP (Tactics, Techniques and Procedures)
Definitie
TTP staat voor Tactics, Techniques and Procedures — de methoden en aanpak die cybercriminelen gebruiken bij aanvallen. TTP's zijn de bouwstenen van dreigingsinformatie en vormen de basis van het MITRE ATT&CK-framework.
TTP (Tactics, Techniques and Procedures) beschrijft de methoden en werkwijze die cybercriminelen en dreigingsactoren gebruiken bij hun aanvallen. TTP's vormen de bouwstenen van dreigingsinformatie en zijn de basis van het MITRE ATT&CK-framework. Kennis van TTP's stelt beveiligingsteams in staat om dreigingen te begrijpen, te voorspellen en proactief te detecteren.
Hoe werken TTP's?
TTP's zijn hidrarchisch opgebouwd. Tactics beschrijven het strategische doel van de aanvaller: wat wil hij bereiken? Voorbeelden: Initial Access (binnenkomen), Persistence (blijven), Privilege Escalation (hogere rechten), Lateral Movement (verspreiden), Exfiltration (data stelen). Techniques beschrijven hoe de aanvaller het tactische doel bereikt. Voorbeeld: onder Initial Access vallen technieken als spear phishing, supply chain compromise en exploit public-facing application. Procedures beschrijven de specifieke implementatie van een techniek door een bepaalde dreigingsactor. Voorbeeld: APT29 gebruikt OAuth-tokens voor persistentie via een specifieke PowerShell-workflow.
Belang van TTP-kennis
Traditionale detectie op basis van IOC's is reactief: het detecteert bekende malwarehashes en IP-adressen die snel veranderen. TTP-gebaseerde detectie is strategischer: de onderliggende aanvalstechnieken veranderen veel minder snel dan de specifieke tools en indicatoren. Een aanvaller kan zijn malware en C2-infrastructuur dagelijks wijzigen, maar zijn basisaanpak (de TTP's) blijft herkenbaar.
Impact voor organisaties
TTP-kennis transformeert beveiligingsoperaties van reactief naar proactief. Threat hunters formuleren hypotheses op basis van TTP's van relevante dreigingsactoren. Detectieregels worden ontworpen om technieken te herkennen in plaats van specifieke indicators. Purple teaming valideert of de organisatie de TTP's van relevante dreigingsgroepen kan detecteren.
Bescherming
Gebruik het MITRE ATT&CK-framework om de detectiedekking te meten per techniek. Integreer TTP-kennis van threat intelligence in detectieregels. Voer TTP-gebaseerde threat hunting uit. Test de detectie van specifieke TTP's via purple teaming.
Hoe DEFION helpt
DEFION integreert TTP-kennis in alle diensten: Red Teaming simuleert TTP's van relevante dreigingsactoren, Purple Teaming valideert de detectie ervan, en Managed Threat Hunting zoekt proactief naar TTP-patronen in de omgeving.