Tactieken, Technieken en Procedures (TTP’s)

Betrouwbaarheid

Wat zijn tactieken, technieken en procedures (TTP’s)?

Tactieken, technieken en procedures (TTP’s) zijn de strategische plannen, methodologieën en acties die een tegenstander gebruikt om een aanval te ontwikkelen en uit te voeren. De term, die zijn oorsprong heeft in het leger, wordt in cyberbeveiliging gebruikt om te beschrijven hoe een bedreigende actor een cyberaanval zou kunnen uitvoeren.

Het is belangrijk voor beveiligingsprofessionals om op de hoogte te blijven van TTP’s om inzicht te krijgen in potentiële aanval oppervlakken (gebieden die kwetsbaar zijn voor aanvallen) en aanvalsvectoren (aanvalsmethoden). Als je weet hoe specifieke soorten aanvallen worden uitgevoerd, is het eenvoudiger om je voor te bereiden op een daadwerkelijke aanval, deze te detecteren en erop te reageren.

Techopedia legt TTP’s uit

De TTP’s kunnen worden gebruikt als een raamwerk om beveiligingsprofessionals een gestructureerde en georganiseerde manier te bieden om cyberbedreigingen te begrijpen, te documenteren, te bespreken en erop te reageren.

De relatie tussen tactieken, technieken en procedures is hiërarchisch. Tactieken vormen de leidraad voor de selectie van technieken en technieken vormen de leidraad voor de ontwikkeling van procedures.

ttp uitleggen

Wat is een tactiek?

Een tactiek is een plan dat omvat wat er gaat gebeuren en waarom het gaat gebeuren. In de context van cyberbeveiliging kan de tactiek van een bedreigende factor zijn om “toegang te krijgen tot het netwerk om gevoelige gegevens te exfiltreren”.

Wat is een techniek?

Een techniek is een specifieke methode om een tactiek uit te voeren. Cybercriminelen en andere bedreigers gebruiken vaak meerdere geplande en opportunistische technieken om een aanval uit te voeren. De keuze en het aantal technieken hangt af van de vaardigheden van de aanvaller, de doelen van de aanval en de kwetsbaarheden van het doelwit.

Als het bijvoorbeeld de bedoeling is om toegang te krijgen tot het netwerk en gevoelige gegevens te exfiltreren, kan de aanvaller phishing en verkeerde server configuraties als technieken gebruiken.

Het gebruik van beide technieken vergroot niet alleen het aanvalsoppervlak, maar vergroot ook de kans van de aanvaller om ongeautoriseerde toegang tot het netwerk te krijgen. Eenmaal binnen, kunnen ze lateraal bewegen om privileges te escaleren, de gegevens die ze zoeken te lokaliseren en deze te stelen zonder ontdekt te worden.

Wat is een procedure?

Een procedure is een actieplan. Het beschrijft welke stappen nodig zijn om een specifieke techniek uit te voeren.

Bijvoorbeeld, als een van de technieken van de aanvaller is om te phishen naar referenties, dan zullen de bijbehorende procedures bestaan uit verkenning, het maken van overtuigende phishing e-mails, het selecteren van geschikte doelwitten, het versturen van de e-mails en het monitoren van reacties.

Op dezelfde manier, als een tweede techniek bestaat uit het uitbuiten van verkeerd geconfigureerde servers, kunnen de begeleidende procedures bestaan uit het uitvoeren van poortscans om kwetsbaarheden te identificeren, brute force aanvallen gebruiken om initiële toegang te krijgen en vervolgens zoeken naar manieren om beheerdersrechten te krijgen.

Waar worden TTP’s voor gebruikt in cyberbeveiliging?

Cyber Beveiligingsprofessionals gebruiken TTP’s om cyberaanvallen te reverse-engineeren en te begrijpen hoe aanvallers denken. Als een beveiligingsteam weet hoe verschillende soorten aanvallen worden uitgevoerd, kunnen ze proactief kwetsbaarheden in hun eigen computersystemen en netwerken identificeren en aanpakken, in een vroeg stadium indicatoren van compromittering (IOC’s) herkennen en schade beperken.

TTP’s en Red Teaming

De TTP-hiërarchie wordt vaak gebruikt in red teamoefeningen om een los kader te bieden voor het simuleren van echte cyberaanvallen. De hiërarchische structuur kan worden gebruikt om teamleden te helpen beslissen welke technieken het meest relevant zijn voor specifieke tactieken, en welke procedures het meest relevant zijn voor specifieke technieken.

Voorbeeld

Hieronder staat een voorbeeld van hoe een red team de TTP’s zou kunnen gebruiken in een oefening.

Laten we omwille van de consistentie zeggen dat de oefening gericht is op één tactiek: toegang krijgen tot het netwerk en klantgegevens lokaliseren. Laten we er kortheidshalve ook van uitgaan dat de tactiek van tevoren is gekozen. (In het echte leven wordt deze aanpak gebruikt bij red teaming oefeningen met beperkte tijd en specifieke beveiligingsproblemen).

  1. In dit scenario begint de oefening met teamleden te laten brainstormen over welke technieken ze kunnen gebruiken om toegang te krijgen tot het netwerk.
  2. Vervolgens moeten ze kiezen op welke technieken ze zich tijdens de rest van de oefening willen concentreren. Het selectieproces is een belangrijk onderdeel van de oefening, omdat de teamleden onderzoek moeten doen naar bekende technieken, moeten praten over mogelijke technieken en potentiële toegangspunten binnen de IT-infrastructuur van hun organisatie moeten beoordelen.
  3. Zodra er een X aantal technieken is geselecteerd voor de oefening, is de volgende stap voor de teamleden om procedures te brainstormen en te beslissen op welke procedures ze zich tijdens de rest van de oefening zullen richten. Deze stap is belangrijk omdat de teamleden dan onderzoek moeten doen naar bekende procedures, mogelijke procedures moeten bespreken en de stappen moeten documenteren die nodig zijn om een specifieke techniek uit te voeren.

In wezen helpt de TTP-hiërarchie red teamleden om complexe doelstellingen (tactieken) op te splitsen in kleinere, uitvoerbare stappen (technieken en procedures).

Het proces moedigt red teamleden aan om op de hoogte te blijven van nieuwe bedreigingen, het beveiligingsbeleid van hun organisatie te beoordelen en proactief beveiligingscontroles te maken, bij te werken en af te dwingen.

Bestaat er een lijst met bekende TTP’s?

Hoewel er niet één allesomvattende lijst van bekende tactieken, technieken en procedures bestaat vanwege de veranderende aard van cyberdreigingen, zijn er verschillende gerenommeerde organisaties die informatie verschaffen over veelvoorkomende TTP’s en informatie over bedreigingen.

Populaire bronnen zijn onder andere:

  • MITRE: Het ATT&CK-raamwerk (Adversarial Tactics, Techniques, and Common Knowledge) van MITRE is een alom erkende bron met een catalogus van een breed scala aan TTP’s die worden geassocieerd met verschillende groepen bedreigers. Het biedt gedetailleerde informatie over tactieken en technieken die worden gebruikt bij cyberaanvallen, samen met voorbeelden en praktijkvoorbeelden.
  • Rapporten van de cyber beveiligingsbranche: Organisaties en cyber beveiligingsbedrijven brengen vaak rapporten en publicaties uit waarin waargenomen TTP’s worden beschreven die in verband worden gebracht met specifieke bedreiging factoren of incidenten. Deze rapporten kunnen waardevolle inzichten bieden in bedreiging trends.
  • Feeds voor bedreiging informatie: Veel informatiebronnen over bedreigingen bieden koppelingen naar feeds en databases met informatie over bekende TTP’s, indicators of compromise (IOC’s) en aanvalspatronen.
  • Platforms voor het delen van dreigingsinformatie: Open source platforms zoals Malware Information Sharing Platform & Threat Sharing (MISP) stellen organisaties in staat om informatie over bedreigingen, waaronder TTP’s, te delen met en toegang te krijgen tot de bredere cyberbeveiliging gemeenschap.
  • Overheids- en wetshandhavingsrapporten: Overheidsinstanties zoals het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) verschaffen ook informatie over waargenomen TTP’s.

Aangezien er geen standaard is voor het categoriseren van tactieken, technieken en procedures, is het belangrijk op te merken dat de ene bron exfiltratie van gegevens kan categoriseren als een tactiek, terwijl een andere bron het kan classificeren als een techniek of procedure.

Categoriseringen kunnen ook afhangen van de definitie van een specifieke tactiek, techniek of procedure, de context waarin de activiteit wordt geanalyseerd, de specifieke doelen van de entiteit die het categoriseert, of het bredere beveiliging raamwerk waarbinnen de categorisering wordt gemaakt.

Veelgestelde vragen

Wat zijn tactieken en technieken?

Wat is een voorbeeld van een TTP?

Wat betekent TTP in cyberbeveiliging?

Wat is TTP in SOC?

Gerelateerde begrippen

Margaret Rouse
Redacteur
Margaret Rouse
Redacteur

Margaret Rouse is een bekroond technisch schrijver en docent die bekend staat om haar vermogen om complexe technische onderwerpen uit te leggen aan een niet-technisch, zakelijk publiek. In de afgelopen twintig jaar is haar uitleg verschenen op vele websites en is ze als autoriteit aangehaald in artikelen van de New York Times, Time Magazine, USA Today, ZDNet, PC Magazine en Discovery Magazine. Margaret geniet ervan om IT- en business professionals te helpen om elkaars zeer gespecialiseerde talen te begrijpen. Als je een suggestie hebt voor een nieuwe definitie of hoe je een technische uitleg kunt verbeteren, stuur Margaret dan een…