Voor een CISO of security manager is de vraag niet of er aanvallen komen, maar of je ze herkent. Aanvallers volgen patronen. Ze verschaffen zich toegang, nestelen zich, bewegen door het netwerk en proberen data buit te maken. Het MITRE ATT&CK framework brengt die patronen in kaart, gebaseerd op echte aanvallen die wereldwijd zijn waargenomen.
Daarmee is ATT&CK geen theoretisch model, maar een werkdocument. Je legt je eigen detectie ernaast en ziet meteen waar gaten zitten. Welke technieken zou een aanvaller kunnen gebruiken die jij nu niet zou opmerken? Dat is de vraag die ATT&CK helpt beantwoorden.
In dit artikel lees je wat het framework is, hoe het is opgebouwd en hoe een MDR-dienst het inzet om jouw omgeving te bewaken.
Wat is MITRE ATT&CK?
MITRE ATT&CK is een openbare kennisbank van aanvalstactieken en -technieken die cybercriminelen gebruiken, gebaseerd op echte waarnemingen van cyberaanvallen. De afkorting staat voor Adversarial Tactics, Techniques and Common Knowledge.
MITRE, een non-profit onderzoeksorganisatie die werkt voor onder meer de Amerikaanse overheid, bouwde het framework in 2013 en maakte het in 2015 openbaar. Sindsdien groeit het mee met het dreigingslandschap: nieuwe technieken worden toegevoegd zodra ze in de praktijk opduiken.
Het idee erachter is concreet. In plaats van losse signalen zoals IP-adressen of malware-hashes, die continu veranderen, beschrijft ATT&CK gedrag. Hoe haalt een aanvaller wachtwoorden buit? Hoe blijft hij onopgemerkt? Hoe beweegt hij door een netwerk? Dat gedrag verandert veel langzamer dan een IP-adres, en is dus een betrouwbaarder aanknopingspunt voor detectie.
Hoe is het MITRE ATT&CK framework opgebouwd?
ATT&CK is opgebouwd uit drie lagen: tactieken, technieken en sub-technieken, samengebracht in een matrix.
Tactieken: de doelen van een aanvaller
Een tactiek is het doel dat een aanvaller op een bepaald moment wil bereiken. Voorbeelden zijn Initial Access (binnenkomen), Persistence (toegang behouden), Privilege Escalation (meer rechten krijgen), Lateral Movement (door het netwerk bewegen) en Exfiltration (data naar buiten brengen). De Enterprise-matrix telt 15 tactieken die samen de volledige levensloop van een aanval beschrijven (MITRE ATT&CK v19, april 2026).
Technieken: de methoden om die doelen te bereiken
Een techniek beschrijft hoe een aanvaller een tactiek uitvoert. Voor Initial Access kan dat phishing zijn, of het misbruiken van een kwetsbaarheid in een publiek bereikbare server. Elke techniek heeft een eigen ID, zoals T1566 voor phishing, en een beschrijving met echte voorbeelden.
Sub-technieken: specifieke varianten
Een sub-techniek is een nauwkeuriger uitwerking van een techniek. Phishing splitst bijvoorbeeld op in spearphishing via een bijlage, via een link of via een dienst. De Enterprise-matrix bevat 475 sub-technieken (MITRE 2026), wat aangeeft hoe gedetailleerd het framework is.
De ATT&CK-matrix
De matrix is de visuele weergave van het framework. De kolommen zijn de tactieken, de cellen eronder de technieken. Zo zie je in een oogopslag het volledige speelveld van mogelijk aanvalsgedrag. Met de gratis MITRE ATT&CK Navigator kleur je je eigen dekking in: groen voor wat je detecteert, rood voor de blinde vlekken.
Waarvoor gebruiken security-teams MITRE ATT&CK?
Security-teams gebruiken ATT&CK om detectie te bouwen, te testen en te verbeteren. De belangrijkste toepassingen:
- Detectieregels schrijven en valideren. Je vertaalt technieken naar concrete detectielogica en controleert of je die in de praktijk zou oppikken.
- Gap-analyse. Je legt je huidige dekking naast de matrix en ziet welke aanvalspaden nog niet gedekt zijn.
- Threat hunting. Je zoekt gericht naar sporen van een specifieke techniek, in plaats van af te wachten tot een alert afgaat.
- Purple teaming. Een aanvalsteam (red) en een verdedigingsteam (blue) testen samen of een techniek wordt opgemerkt.
- Rapportage. Je koppelt elk incident aan een ATT&CK-techniek, zodat bestuur en auditor begrijpen wat er gebeurde en hoe het is opgevolgd.
MITRE ATT&CK en MDR
Binnen MDR is ATT&CK de basis voor detectie en rapportage. Een MDR-dienst (Managed Detection and Response) gebruikt het framework om detectieregels te ordenen en om aan te tonen welke technieken worden gedekt.
Een goede MDR-aanbieder laat je per tactiek zien hoe ver de detectie reikt. In ons overzicht van de beste MDR-platforms van 2026 zie je hoe de grootste aanbieders zich op die dekking verhouden. Krijg je een incident, dan staat in de rapportage aan welke ATT&CK-techniek het gekoppeld is. Dat maakt een melding concreet: niet "er was verdacht verkeer", maar "een poging tot credential dumping (T1003), opgemerkt en geïsoleerd".
Bij Aumatics vormt ATT&CK het raamwerk achter de detectieregels in ons SOC. Onze analisten koppelen alerts aan technieken, bepalen de severity en volgen elk incident op. Meer over hoe die dienst werkt lees je op de pagina over Managed Detection and Response.
MITRE ATT&CK vs andere frameworks
ATT&CK is niet het enige model voor aanvalsgedrag. Twee andere kom je vaak tegen.
MITRE ATT&CK vs Cyber Kill Chain
De Cyber Kill Chain, van Lockheed Martin, beschrijft een aanval als zeven opeenvolgende fases, van verkenning tot het uiteindelijke doel. ATT&CK is gedetailleerder en minder lineair: het beschrijft tientallen technieken per tactiek, zonder vaste volgorde. De Kill Chain geeft het grote plaatje, ATT&CK de concrete invulling.
MITRE ATT&CK vs NIST Cybersecurity Framework
Het NIST Cybersecurity Framework is breder en strategischer. Het beschrijft vijf functies (Identify, Protect, Detect, Respond, Recover) waarmee een organisatie haar securitybeleid inricht. ATT&CK zit een laag dieper en is operationeel: het vult vooral de Detect- en Respond-functies in met concrete aanvalstechnieken.
| Framework | Wat het beschrijft | Detailniveau | Typisch gebruik |
|---|---|---|---|
| MITRE ATT&CK | Concrete aanvalstechnieken | Hoog, operationeel | Detectie, threat hunting, rapportage |
| Cyber Kill Chain | Zeven aanvalsfases | Laag, strategisch | Overzicht van een aanval |
| NIST CSF | Vijf securityfuncties | Beleid en governance | Inrichting securitybeleid |
Wanneer gebruik je welk? NIST voor het beleid en de governance, ATT&CK voor de detectie op de werkvloer. Ze bijten elkaar niet, ze vullen elkaar aan.

