Lesson 5.pptx

# Introductie tot MITRE ATT&CK Dit onderwerp introduceert het MITRE ATT&CK-framework, een wereldwijd toegankelijke kennisbank van de tactieken en technieken van aanvallers, gebaseerd op observaties uit de praktijk. ## 1. Introductie tot MITRE ATT&CK MITRE ATT&CK is een uitgebreid kennisbankmodel dat is ontworpen om de tactieken en technieken te documenteren en te classificeren die worden gebruikt door cyberaanvallers. Het fungeert als een gedeelde taal voor verdedigers, waardoor effectievere threat intelligence, detectie en samenwerking tussen red- en blue teams mogelijk wordt. ### 1.1 De structuur van MITRE ATT&CK Het framework is hiërarchisch opgebouwd en bestaat uit verschillende kerncomponenten: * **Tactieken (Tactics):** Vertegenwoordigen het 'wat' en 'waarom' achter het gedrag van een aanvaller. Ze beschrijven de doelstellingen die een aanvaller probeert te bereiken tijdens een aanvalscyclus. Elke tactiek heeft een unieke ID, beginnend met `TA` (bijv. `TA0011` voor Command and Control). * **Technieken (Techniques):** Beschrijven het 'hoe' een aanvaller een tactisch doel kan bereiken. Een techniek is een specifiek gedrag dat een aanvaller vertoont en vormt vaak een enkele stap in een reeks van activiteiten. Technieken worden geïdentificeerd met een `T`-ID (bijv. `T1573` voor Encrypted Channel). * **Sub-technieken (Sub-techniques):** Bieden meer gedetailleerde en granulaire beschrijvingen van technieken, waardoor de nuances van aanvallersgedrag nauwkeuriger kunnen worden vastgelegd. Ze worden aangeduid met een `T`-ID gevolgd door een punt en een sub-ID (bijv. `T1573.001` voor Encrypted Channel: Symmetric Cryptography). Naast tactieken en technieken, bevat ATT&CK ook informatie over: * **Groepen (Groups):** Specifieke aanvallersgroepen, vaak benoemd naar hun oorsprong, slachtofferselectie, of tijdsbestek. Ze zijn gelabeld met een `G`-ID (bijv. `G0007` voor APT28). * **Software (Software):** Malware en tools die door aanvallers worden gebruikt, gelabeld met een `S`-ID (bijv. `S0154` voor Cobalt Strike). * **Campagnes (Campaigns):** Specifieke reeks van activiteiten met een bepaald doel, gelabeld met een `C`-ID (bijv. `C0038` voor HomeLand Justice). * **Mitigaties (Mitigations):** Maatregelen die organisaties kunnen nemen om aanvallers te voorkomen of te beperken. * **Detecties (Detections):** Methodes en indicatoren om aanvallersgedrag te identificeren. ATT&CK biedt koppelingen tussen al deze elementen, wat pivoting en diepgaander onderzoek naar de activiteiten van aanvallers mogelijk maakt. ### 1.2 De rol van ATT&CK in cyberverdediging MITRE ATT&CK speelt een cruciale rol in diverse aspecten van cyberverdediging: * **Threat Intelligence:** Door bekende dreigingsactoren en hun tactieken, technieken en procedures (TTP's) in kaart te brengen, stelt ATT&CK analisten in staat om te beschrijven wie wat doet en hoe. Dit faciliteert de vergelijking van technieken tussen verschillende actoren. * **Detection Engineering:** ATT&CK-technieken kunnen worden gekoppeld aan bestaande SIEM- en EDR-alerts. Dit helpt bij het prioriteren van detecties op basis van risico en het evalueren van de dekking van beveiligingsmaatregelen met tools zoals de ATT&CK Navigator. * **Red & Blue Teaming:** Red teams kunnen ATT&CK-technieken emuleren om de verdediging van een organisatie te testen. Blue teams kunnen deze kennis gebruiken om detectie-, respons- en leerprocessen te verbeteren. Het gedeelde vocabulaire zorgt voor duidelijke doelstellingen. * **Gap Analyse:** Door de huidige verdedigingsmaatregelen te mappen naar ATT&CK, kunnen organisaties identificeren welke technieken niet gedekt worden. Dit helpt bij het beoordelen welke gebieden gedetecteerd worden versus welke ongecontroleerd blijven, en waar investeringen nodig zijn. * **Risicobeheer en Investeringsprioritering:** Door te begrijpen welke technieken door aanvallers worden gebruikt en hoe goed deze gedetecteerd worden, kunnen organisaties hun middelen effectiever toewijzen aan de gebieden met het hoogste risico. ### 1.3 Werken met ATT&CK Er zijn verschillende tools en benaderingen om met MITRE ATT&CK te werken: * **ATT&CK Navigator:** Een webgebaseerde tool om ATT&CK-dekking te visualiseren, vaak weergegeven als heatmaps. * **MITRE Caldera:** Een platform voor het automatiseren van adversary emulation, wat helpt bij het testen van detecties en respons. * **Atomic Red Team:** Een collectie van kleine, testbare TTP-emulaties die beveiligingsteams kunnen gebruiken om hun detectiemogelijkheden te verifiëren. * **OpenCTI / MISP:** Platforms die kunnen worden gebruikt om TTP's in threat intelligence databases te mappen. **Tip:** Een praktische aanpak om met ATT&CK te starten is om de matrix te verkennen op attack.mitre.org, één techniek te kiezen en deze te bestuderen met real-world voorbeelden, te mappen naar logs of detectieregels, en vervolgens te simuleren met tools als Atomic Red Team of Caldera. ### 1.4 Veelvoorkomende valkuilen bij het mappen naar ATT&CK Bij het mappen van observaties naar ATT&CK-technieken kunnen verschillende valkuilen optreden: * **Onjuiste Mappings:** Dubbelchecken of alle mappings accuraat zijn, met name door afbeeldingen, grafieken en command-line voorbeelden te bestuderen. * **Tactic-Techniek Afstemming:** Zorgen dat de gekozen tactiek overeenkomt met de techniek. Soms kunnen technieken onder verschillende tactieken worden genoemd. * **Subtiele Verschillen:** De verschillen tussen technieken en sub-technieken zijn vaak subtiel. Een voorbeeld hiervan is het verschil tussen algemene masquerading-pogingen (`T1036`) en het specifiek imiteren van systeemtaken of services (`T1036.004`). * **Aannames en Deducties:** Vermijd aannames. Als een rapport bijvoorbeeld vermeldt dat command-and-control (C2) verkeer via HTTP loopt, mag men niet automatisch aannemen dat dit via poort 80 gebeurt, aangezien aanvallers ook niet-standaard poorten kunnen gebruiken. **Hoe valkuilen te vermijden:** * **Teamwerk:** Werk als team om ATT&CK-technieken te identificeren. Input van meerdere analisten met verschillende achtergronden verhoogt de nauwkeurigheid en vermindert bias. * **Kennisdeling:** Organiseer MITRE-briefings of kennisdelingssessies, waarbij rapporten worden besproken, specifieke technieken worden onderzocht en peer reviews plaatsvinden. * **Gedegen Onderzoek:** Zelfs met ervaren teamleden voert het MITRE ATT&CK-team meerdere beoordelingen uit voordat nieuwe mappingcontent publiekelijk wordt vrijgegeven. ### 1.5 ATT&CK en het Diamond Model ATT&CK kan het Diamond Model van Intrusion Analysis operationaliseren: * **Adversary:** De TTP's beschreven in ATT&CK helpen bij het attribueren van aanvallen aan specifieke actoren. * **Infrastructure:** C2-technieken kunnen worden vertaald naar concrete capaciteiten die aanvallers gebruiken. * **Capability:** TTP's, malware en tools kunnen worden gekoppeld aan de algemene capaciteit van een aanvaller. * **Victim:** Patronen in targeting kunnen helpen tijdens een incident om de potentiële aanvallers te begrijpen. ### 1.6 Use Cases voor MITRE ATT&CK MITRE ATT&CK biedt praktische toepassingen in verschillende scenario's: * **Threat Intelligence:** * ATT&CK brengt bekende dreigingsactoren (zoals APT28, FIN7) in kaart. * Analisten kunnen gedetailleerd beschrijven wie wat heeft gedaan en hoe. * Maakt kruisvergelijking mogelijk tussen actoren die dezelfde technieken delen. * **Prioritering van Investeringen:** * Identificeer welke technieken het meest worden gebruikt door aanvallers die gericht zijn op de organisatie. * Prioriteer investeringen in detectie en mitigatie op basis van de waarschijnlijkheid en impact van deze technieken. * **Detection Engineering:** * Breng SIEM/EDR-alerts in kaart met ATT&CK-technieken. * Prioriteer detecties op basis van risico. * Evalueer de dekking van detecties met behulp van de ATT&CK Navigator. * **Red & Blue Teaming:** * Red teams emuleren ATT&CK-technieken om de verdediging te testen. * Blue teams detecteren, reageren en leren van de emulaties. * Een gedeelde vocabulaire zorgt voor op elkaar afgestemde doelen. * **Gap Analyse:** * Identificeer technieken die niet worden gedekt door de huidige verdediging. * Beoordeel welke van deze ongedetecteerde technieken het meest kritiek zijn. * Focus investeringen op het dichten van deze kritieke gaten. Het effectief gebruiken van ATT&CK vereist een systematische aanpak, teamwork en voortdurend leren. --- # Toepassing van ATT&CK in cyberbeveiliging Dit gedeelte verkent de praktische toepassingen van het MITRE ATT&CK-framework voor verschillende disciplines binnen cyberbeveiliging, waaronder threat intelligence, detectie-engineering, red/blue teaming en gap-analyse, met een focus op de operationalisering van het model. ### 2.1 De structuur van MITRE ATT&CK Het MITRE ATT&CK-framework is een wereldwijd toegankelijke kennisbank van gedrag van tegenstanders, gebaseerd op observaties uit de praktijk. Het structureert deze informatie in tactieken, technieken en sub-technieken. #### 2.1.1 Tactieken Tactieken vertegenwoordigen het 'wat' en 'waarom' van het gedrag van een aanvaller, oftewel de doelen die een aanvaller wil bereiken. Ze zijn vaak te herkennen aan het voorvoegsel 'TA'. Een voorbeeld hiervan is `TA0011 - Command and Control`. #### 2.1.2 Technieken Technieken beschrijven 'hoe' een aanvaller zijn doel bereikt en vertegenwoordigen specifieke gedragingen die vaak een enkele stap vormen in een reeks van activiteiten. Technieken worden aangeduid met het voorvoegsel 'T'. Een voorbeeld is `T1573 - Encrypted Channel`. #### 2.1.3 Sub-technieken Sub-technieken bieden een gedetailleerdere beschrijving van een techniek, waardoor een fijnmaziger niveau van granulariteit wordt bereikt. Ze worden aangeduid met een specifieke ID, bijvoorbeeld `T1573.001 - Encrypted Channel: Symmetric Cryptography`. #### 2.1.4 Verbanden binnen ATT&CK ATT&CK koppelt referenties aan groepen, technieken, software en campagnes, wat het 'pivoting' (het verkennen van gerelateerde informatie) vergemakkelijkt. * **Groepen (prefix: G):** Beschrijven organisaties van aanvallers, inclusief hun oorsprong, slachtofferprofielen, tijdsbestekken en gebruikte technieken en software. Een voorbeeld is `G0007 - APT28`. * **Campagnes (prefix: C):** Beschrijven specifieke reeks activiteiten met een bepaalde intentie, slachtofferprofielen, periodes en gebruikte technieken en software. Een voorbeeld is `C0038 - HomeLand Justice`. * **Software (prefix: S):** Beschrijft kwaadaardige software, inclusief de platformen waarop deze opereert, het type en de gebruikte technieken. Een voorbeeld is `S0154 - Cobalt Strike`. ### 2.2 Hulpmiddelen voor het werken met ATT&CK Er zijn diverse tools beschikbaar die de toepassing van ATT&CK ondersteunen: * **ATT&CK Navigator:** Voor het visualiseren van dekking en het toewijzen van technieken. * **MITRE Caldera:** Voor het emuleren van aanvallergedrag. * **Atomic Red Team:** Om specifieke ATT&CK-technieken te testen. * **OpenCTI / MISP:** Voor het in kaart brengen van TTP's (Tactics, Techniques, and Procedures) in threat intelligence databases. ### 2.3 Het operationaliseren van ATT&CK ATT&CK biedt een gestructureerde manier om de Diamond Model voor Intrusion Analysis te operationaliseren door middel van: * **Adversary:** ATT&CK-technieken helpen bij het toeschrijven van activiteiten aan specifieke tegenstanders. * **Infrastructure:** Command and Control (C2)-technieken kunnen worden vertaald naar operationele capaciteiten. * **Capability:** Technieken, malware en tools kunnen worden gekoppeld aan specifieke capaciteiten. * **Victim:** Patronen in de targeting van slachtoffers kunnen helpen tijdens incidenten. #### 2.3.1 Starten met ATT&CK Een praktische aanpak om met ATT&CK te beginnen omvat: 1. **Verkennen van de matrix:** Bezoek attack.mitre.org. 2. **Studeren van een techniek:** Kies één techniek en analyseer real-world voorbeelden. 3. **Mappen naar logs:** Koppel de techniek aan bestaande logs of detectieregels. 4. **Simuleren:** Gebruik tools zoals Atomic Red Team of Caldera om de techniek te simuleren. 5. **Presenteren:** Deel de bevindingen en inzichten. #### 2.3.2 Praktische mapping Het effectief mappen van rapporten naar ATT&CK vereist een systematische aanpak: * **Zoeken op gedragstermen:** Zoek naar trefwoorden die gedrag beschrijven, zoals "creating persistence" of "creating a scheduled task". * **Zoeken op technologische termen:** Gebruik commando's (`whoami`, `cmd.exe`) of protocollen (HTTP-based C2) als zoektermen. * **Vertalen van rapporttaal:** Converteer beschrijvende taal naar technische termen, zoals "Person in the browser" naar "Man in the browser (MITB)". > **Tip:** Wees nauwkeurig bij het dubbelchecken van mappings en vermijd aannames. Als een rapport vermeldt dat C2-verkeer over HTTP loopt, ga er dan niet vanuit dat dit noodzakelijk over poort 80 loopt, aangezien aanvallers ook niet-standaard poorten kunnen gebruiken. #### 2.3.3 Veelvoorkomende valkuilen en hoe deze te vermijden * **Dubbelchecken van mappings:** Zorg ervoor dat alle ATT&CK-mappings accuraat zijn vastgelegd door kritisch de afbeeldingen, grafieken en command-line voorbeelden te beoordelen. * **Afstemming van tactiek en techniek:** Verifieer of de gekozen tactiek aansluit bij de geïdentificeerde techniek, aangezien sommige technieken binnen verschillende tactieken kunnen voorkomen. * **Subtiele verschillen:** Wees bewust van de vaak subtiele verschillen tussen technieken en sub-technieken (bv. `Masquerading [T1036]` versus `Masquerade Task or Service [T1036.004]`). * **Vermijd aannames en deducties:** Baseer de mapping op expliciete informatie in het rapport en vermijd te sterke conclusies zonder onderbouwing. Om deze valkuilen te vermijden, wordt aangeraden om: * **Teamwerk:** Werk als team om ATT&CK-technieken te identificeren, waarbij de input van meerdere analisten met verschillende achtergronden de nauwkeurigheid vergroot en vooringenomenheid vermindert. * **Kennisdeling:** Organiseer MITRE-briefings of kennisdelingssessies, bespreek rapporten en onderzoek specifieke technieken gezamenlijk. * **Peer review:** Voer peer reviews uit, zelfs binnen ervaren teams, om de kwaliteit van mappings te waarborgen. ### 2.4 Use cases van ATT&CK in cyberbeveiliging ATT&CK vindt brede toepassing binnen verschillende disciplines: #### 2.4.1 Threat Intelligence * **Mapping van dreigingsactoren:** ATT&CK kan bekende dreigingsactoren (bv. APT28, FIN7) mappen aan hun specifieke TTP's. * **Beschrijven van activiteiten:** Analisten kunnen documenteren wie wat heeft gedaan en hoe. * **Cross-comparaison:** Maakt het mogelijk om technieken te vergelijken tussen verschillende actoren die dezelfde methoden gebruiken. #### 2.4.2 Prioriteren van investeringen Door de dekking van verdedigingen tegen ATT&CK-technieken te analyseren, kunnen organisaties beter prioriteren waar investeringen in beveiligingsmaatregelen het meest effectief zijn. #### 2.4.3 Detection Engineering * **Mapping van alerts:** SIEM- en EDR-alerts kunnen worden gekoppeld aan ATT&CK-technieken. * **Risicogebaseerde prioritering:** Detecties kunnen worden geprioriteerd op basis van het risico dat geassocieerd wordt met de betreffende techniek. * **Evaluatie van dekking:** De ATT&CK Navigator kan worden gebruikt om de dekking van bestaande detectieregels te visualiseren. #### 2.4.4 Red & Blue Teaming * **Emulatie van technieken:** Red teams gebruiken ATT&CK om aanvallergedrag te emuleren. * **Detectie en respons:** Blue teams kunnen detecteren, reageren en leren van de door red teams toegepaste technieken. * **Afstemming van doelen:** Een gedeelde woordenschat via ATT&CK zorgt voor afgestemde doelstellingen tussen red en blue teams. #### 2.4.5 Gap-analyse * **Identificeren van ongedekte technieken:** Detecteer welke ATT&CK-technieken momenteel niet worden gedekt door de bestaande beveiligingsmaatregelen. * **Beoordelen van detectie vs. monitoring:** Evalueer welke technieken wel worden gedetecteerd en welke volledig ongezien blijven. * **Focus op kritieke hiaten:** Concentreer investeringen op de meest kritieke hiaten in de verdediging. ### 2.5 Demonstratie Lab: MITRE ATT&CK De hands-on labs bieden oefeningen om de kennis van ATT&CK toe te passen, waaronder: * Het identificeren van technieken, tactieken, platforms en tools gerelateerd aan specifieke acties (bv. data-exfiltratie via API's). * Het onderzoeken van de TTP's van specifieke groepen en de gebruikte software. * Het analyseren van campagne-informatie en slachtofferprofielen. * Het maken van overlapoverzichten van gemeenschappelijke technieken tussen verschillende dreigingsactoren. * Het mappen van ATT&CK-technieken in de context van externe rapporten en casestudies. --- # Beperkingen en methoden voor analyse Dit onderwerp belicht de valkuilen bij het gebruik van ATT&CK en introduceert methoden, zoals de Analyse van Concurrerende Hypothesen (ACH), om biases te mitigeren en conclusies te onderbouwen. ## 3. Beperkingen en methoden voor analyse ### 3.1 Valkuilen bij het gebruik van MITRE ATT&CK Het gebruik van MITRE ATT&CK, hoewel krachtig, brengt inherente beperkingen en mogelijke valkuilen met zich mee die de nauwkeurigheid van analyses kunnen beïnvloeden. Deze valkuilen ontstaan vaak door menselijke interpretatie en de aard van de beschikbare informatie. #### 3.1.1 Veelvoorkomende valkuilen * **Onnauwkeurige mappings:** Het accuraat in kaart brengen van waargenomen gedrag naar specifieke ATT&CK-technieken vereist diepgaande kennis. Verkeerde mappings kunnen leiden tot een misvatting van de capaciteiten van een aanvaller of de effectiviteit van de verdediging. * **Tactic-techniek mismatch:** Soms wordt een techniek verkeerd toegewezen aan een tactiek. Een enkele techniek kan mogelijk binnen meerdere tactieken passen, waardoor de context cruciaal is voor de juiste toewijzing. * **Subtiele verschillen tussen technieken:** De verschillen tussen technieken en sub-technieken kunnen zeer klein zijn. Het negeren van deze nuances kan leiden tot incorrecte classificatie. Bijvoorbeeld, `[T1036]` Masquerading beschrijft algemene pogingen tot misleiding, terwijl `[T1036.004]` Masquerade Task or Service specifiek focust op het imiteren van systeemtaken of services. * **Aannames en deducties vermijden:** Het is essentieel om niet te extrapoleren op basis van onvolledige informatie. Als een rapport bijvoorbeeld aangeeft dat command-and-control (C2) verkeer via HTTP verloopt, mag men niet automatisch aannemen dat dit gebeurt op de standaard poort 80. Aanvallers kunnen niet-standaard poorten gebruiken. * **Bias in interpretatie:** Net als bij elke analyse, kan de interpretatie van gegevens beïnvloed worden door bestaande overtuigingen of verwachtingen. #### 3.1.2 Strategieën om valkuilen te vermijden * **Teamwerk en samenwerking:** Het betrekken van meerdere analisten met verschillende achtergronden bij het identificeren van ATT&CK-technieken verhoogt de nauwkeurigheid en vermindert individuele bias. Input van diverse perspectieven kan leiden tot de identificatie van meer technieken. * **Kennisdeling en briefings:** Regelmatige MITRE-briefings of kennissessies binnen het team kunnen helpen om consensus te bereiken over mappings en gedeelde inzichten te bevorderen. * **Gericht onderzoek naar technieken:** Bij twijfel over een mapping, is het nuttig om specifiek onderzoek te doen naar de betreffende techniek om de exacte definitie en scope te begrijpen. * **Peer reviews:** Zelfs voor ervaren teams is het waardevol om mappings te laten beoordelen door collega's. Dit proces, vergelijkbaar met de interne reviews van het MITRE ATT&CK-team, kan fouten opsporen en de kwaliteit verbeteren. * **Contextuele analyse:** Begrijp de context van de informatie. Wat is het doel van de aanvaller? Welke middelen heeft de aanvaller waarschijnlijk? Deze vragen helpen bij het valideren van mappings. ### 3.2 Analyse van concurrerende hypothesen (ACH) De Analyse van Concurrerende Hypothesen (ACH) is een gestructureerde methodiek die wordt gebruikt om cognitieve biases te mitigeren en de nauwkeurigheid van conclusies te verbeteren, vooral in situaties met onzekere of onvolledige informatie. Deze methode is oorspronkelijk ontwikkeld door Richard Heuer Jr. en wordt veelvuldig toegepast in inlichtingenanalyses. #### 3.2.1 Het proces van ACH ACH bestaat uit zeven kernstappen: 1. **Enumerateer alle hypothesen:** Identificeer alle plausibele verklaringen voor de waargenomen gebeurtenissen. * **Hypothesegeneratie:** Brainstorm voor elke component van de 5W1H-regel (Wie, Wat, Wanneer, Waar, Waarom, Hoe) mogelijke alternatieven. Combineer vervolgens deze elementen om nieuwe, meer omvattende hypothesen te creëren. Houd de meest veelbelovende hypothesen over. * **Nullhypothese:** Het is cruciaal om altijd een "nullhypothese" op te nemen, die stelt dat er geen probleem is of dat de waargenomen gebeurtenis een natuurlijke oorzaak heeft. 2. **Vind bewijs:** Zoek naar bestaand bewijs dat elke hypothese ondersteunt of weerlegt. Dit omvat informatie uit diverse bronnen zoals HUMINT, SIGINT, OSINT, nieuwsartikelen, darkweb-informatie, logs, en input van collega's of specialisten. * **Ondersteunend bewijs:** Informatie die een hypothese waarschijnlijker maakt. * **Weerleggend bewijs:** Informatie die een hypothese minder waarschijnlijk maakt. * **Ontbrekend bewijs:** Identificeer informatie die nog niet beschikbaar is maar cruciaal kan zijn. * **Deducties en aannames:** Documenteer expliciet alle gemaakte deducties en aannames. 3. **Vergelijk het bewijs:** Analyseer de verzamelde bewijsstukken per hypothese. Dit kan worden gedaan door middel van een bewijzenmatrix waarbij rijen hypothesen vertegenwoordigen en kolommen bewijsstukken. Beoordeel of elk bewijsstuk de hypothese ondersteunt, weerlegt of neutraal is. 4. **Verfijn de matrix:** * **Verwijder niet-diagnostisch bewijs:** Bewijsstukken die geen significante bijdrage leveren aan het onderscheiden van hypothesen, kunnen worden verwijderd. * **Voeg over het hoofd gezien bewijs toe:** Heroverweeg of er bewijs is gemist. * **Identificeer nieuwe hypothesen:** Indien het analyseproces nieuwe, plausibele hypothesen oplevert, voeg deze toe aan de matrix. * **Documenteer uitgesloten bewijs:** Noteer waarom bepaald bewijs is uitgesloten. 5. **Prioritiseer de hypothesen:** Analyseer de matrix van boven naar beneden om de hypotheses met het meeste ondersteunende bewijs en het minste weerleggende bewijs te identificeren. Dit helpt om de meest waarschijnlijke verklaringen naar voren te halen. 6. **Bepaal de afhankelijkheid van het bewijs:** Identificeer welk bewijs cruciaal is voor de geldigheid van de hypothesen. * **Afhankelijkheid:** Sommige bewijsstukken zijn essentieel voor een hypothese; als ze onjuist blijken, valt de hypothese weg. * **Betrouwbaarheidsniveau:** Beoordeel de betrouwbaarheid van de bewijsbronnen. * **Ephemeral bewijs:** Is het bewijs tijdelijk of kan het verdwijnen? 7. **Formuleer conclusies op basis van bewijs:** Trek uiteindelijk conclusies, waarbij het gebruikte bewijs, de overwogen hypothesen, en het betrouwbaarheidsniveau per bewijsstuk worden gedocumenteerd. Gebruik gepaste inschattende taal, zoals "lage", "matige", of "hoge" betrouwbaarheid, aangezien exacte percentages vaak niet te berekenen zijn. #### 3.2.2 Voorbeelden van bias in analyse * **Anchoring Bias (Ankermanie):** De eerste informatie die men ontvangt, beïnvloedt alle daaropvolgende beoordelingen. Een hoge initiële prijs kan bijvoorbeeld leiden tot het gevoel een goede deal te hebben gesloten na een ogenschijnlijk grote korting. * **Sunk Cost Fallacy (Irrationeel vasthouden aan verzonken kosten):** Men blijft vasthouden aan projecten of activiteiten die al kosten hebben gegenereerd, ook al is het irrationeel om daarmee door te gaan. Denk aan het uitzitten van een slechte film. * **Confirmation Bias (Bevestigingsbias):** Men zoekt actief naar informatie die bestaande overtuigingen rechtvaardigt en negeert informatie die hiermee in tegenspraak is. * **Survivorship Bias (Overlevingsbias):** Men richt zich alleen op de "overlevenden" of succesvolle gevallen, waardoor men een vertekend beeld krijgt van de werkelijkheid. * **Hindsight Bias (Achteraf-is-het-makkelijk-bias):** Na een gebeurtenis, de neiging hebben om te geloven dat men het succes ervan had kunnen voorspellen. * **Correlation is not causation (Correlatie is geen causaliteit):** Het ten onrechte aannemen dat er een oorzakelijk verband bestaat tussen twee dingen simpelweg omdat ze samen voorkomen. * **Illusory Correlation (Illusoir verband):** Het waarnemen van een verband tussen twee variabelen die in werkelijkheid niet of nauwelijks gerelateerd zijn. > **Tip:** De Analyse van Concurrerende Hypothesen is een krachtig hulpmiddel om de objectiviteit in uw analyses te verhogen, vooral wanneer u werkt met complexe en mogelijk misleidende informatie zoals in cybersecurity. > **Voorbeeld:** Bij een cyberincident waarbij een waterdistributiebedrijf is getroffen, zouden concurrerende hypothesen kunnen zijn: een cyberaanval door hackers (H1), sabotage door criminelen (H2), een accidentele storing door metaalmoeheid van oude apparatuur (H3), of dat er geen daadwerkelijk probleem is (nullhypothese). ACH zou dan systematisch bewijs voor en tegen elke hypothese verzamelen om tot de meest waarschijnlijke conclusie te komen, zoals de zaak "CyberH2o" illustreert waar een ogenschijnlijke cyberaanval uiteindelijk werd herleid tot een menselijke fout en systeeminstabiliteit. --- ## Veelgemaakte fouten om te vermijden - Bestudeer alle onderwerpen grondig voor examens - Let op formules en belangrijke definities - Oefen met de voorbeelden in elke sectie - Memoriseer niet zonder de onderliggende concepten te begrijpen

| Term | Definition | |------|------------| | MITRE ATT&CK | Een wereldwijd toegankelijke kennisbank van tactieken en technieken van tegenstanders, gebaseerd op waarnemingen uit de praktijk, die organisaties helpt om hun detectie- en reactiemogelijkheden te begrijpen en te verbeteren. | | Tactiek (Tactic) | Het overkoepelende doel dat een aanvaller probeert te bereiken, zoals het verkrijgen van toegang, het handhaven van persistentie of het exfiltreren van gegevens. Tactieken zijn voorgesteld met het voorvoegsel TA. | | Techniek (Technique) | De specifieke methode die een aanvaller gebruikt om een tactiek te bereiken. Technieken beschrijven het "hoe" van de aanval en hebben een voorvoegsel T. | | Sub-techniek (Sub-technique) | Een gedetailleerdere beschrijving van een techniek, die specifieke varianten of nuances van die techniek vastlegt. Sub-technieken hebben een voorvoegsel zoals T-ID.00ID. | | Groep (Group) | Een verzameling van aanvallers of een specifieke bedreigingsactor, die vaak wordt aangeduid met een prefix G. Informatie over groepen omvat hun oorsprong, doelwitten en gebruikte technieken. | | Campagne (Campaign) | Een reeks gerelateerde activiteiten of aanvallen die worden uitgevoerd door een of meer bedreigingsactoren met een gemeenschappelijk doel of intentie, aangeduid met een prefix C. | | Software | Malwared tools of applicaties die door aanvallers worden gebruikt om hun activiteiten uit te voeren. Software-items hebben een prefix S en bevatten informatie over het platform, het type en de gebruikte technieken. | | ATT&CK Navigator | Een tool die wordt gebruikt om de dekking van ATT&CK-technieken te visualiseren, vaak in de vorm van heatmaps, om inzichten te geven in verdedigingsgaten en de effectiviteit van beveiligingsmaatregelen. | | MITRE Caldera | Een open-source platform voor het automatiseren van adversary emulation, ontworpen om beveiligingsteams te helpen bij het testen van hun detectie- en reactiemogelijkheden tegen realistische aanvalsscenario"s. | | Atomic Red Team | Een verzameling van kleine, testbare scripts die zijn ontworpen om specifieke ATT&CK-technieken te emuleren, zodat beveiligingsteams hun detectiesystemen effectief kunnen valideren. | | Cyber Threat Intelligence (CTI) | Informatie over bedreigingen die organisaties helpt om potentiële aanvallen te begrijpen, te voorspellen en erop te reageren, vaak gebaseerd op gegevens van bedreigingsactoren, hun tactieken, technieken en procedures (TTP"s). | | Diamond Model of Intrusion Analysis | Een analytisch model dat de vier elementen van een cyberinbraak beschrijft: aanvaller, infrastructuur, capaciteit en slachtoffer. ATT&CK wordt gebruikt om dit model te operationaliseren. | | Analysis of Competing Hypotheses (ACH) | Een gestructureerde methode voor het evalueren van meerdere hypothesen, die helpt bij het identificeren van ondersteunend en weerleggend bewijs om de meest plausibele conclusie te trekken en biases te verminderen. | | Anchoring Bias | Een cognitieve bias waarbij de eerste informatie die men ontvangt een onevenredig grote invloed heeft op latere oordelen en beslissingen. | | Confirmation Bias | De neiging om informatie te zoeken, te interpreteren en te onthouden die de bestaande overtuigingen bevestigt, terwijl tegenstrijdige informatie wordt genegeerd. |