aanvalspatronen

Aanvalspatronen zijn herkenbare, doorgaans samenhangende werkwijzen die kwaadwillenden gebruiken om systemen te misbruiken, toegang te krijgen tot netwerken of data te stelen. In de cybersecuritypraktijk worden ze gebruikt om bedreigingen te begrijpen, detectie mogelijk te maken en adequaat te reageren op incidenten. Een aanvalspatroon beschrijft meestal een reeks stappen die gezamenlijk een doel dienen, en wordt vaak onderverdeeld naar tactieken en technieken. Een veelgebruikt referentiekader is MITRE ATT&CK, dat tactieken onderscheidt zoals initiële toegang, uitvoering, persistente aanwezigheid, escalatie van privileges, ontwijking van detectie, verkrijgen van inloggegevens, verkenning, laterale beweging, verzameling, exfiltratie en impact. Voor elke tactiek bestaan meerdere technieken die in de praktijk verschillende combinaties kunnen vormen. Bijvoorbeeld: phishing als methode voor initiële toegang; misbruik van externe diensten of kwetsbaarheden in publieke toepassingen kan leiden tot verdere toegang; credential access-technieken proberen aanmeldingsgegevens te verkrijgen; laterale beweging maakt verspreiding door het netwerk mogelijk.

Beveiligingsteams gebruiken dit begrip om beveiligingsmaatregelen en monitoring te richten op risicovolle paden, zoals sterke multi-factor