Wat is het MITRE ATT&CK framework? Uitleg en toepassing

Geschreven door:
Roel van den Bleek
Gepubliceerd op:
1/7/2026

In het kort

  • Het MITRE ATT&CK framework is een openbare kennisbank van aanvalstechnieken en -tactieken die cybercriminelen in de praktijk gebruiken. Security-teams gebruiken het als referentiekader om detectie te bouwen, aanvalspaden te simuleren en blinde vlekken op te sporen.
  • ATT&CK staat voor Adversarial Tactics, Techniques and Common Knowledge. Het is opgebouwd uit tactieken (de doelen van een aanvaller), technieken (de methoden) en sub-technieken (specifieke varianten).
  • De Enterprise-matrix bevat 15 tactieken, 222 technieken en 475 sub-technieken (MITRE ATT&CK v19, april 2026). Het framework is gratis te gebruiken.
  • Binnen MDR vormt ATT&CK de basis voor detectieregels en rapportage. Een goede MDR-dienst koppelt elk incident aan een ATT&CK-techniek, zodat je ziet welke aanvalspaden gedekt zijn en welke niet.

Voor een CISO of security manager is de vraag niet of er aanvallen komen, maar of je ze herkent. Aanvallers volgen patronen. Ze verschaffen zich toegang, nestelen zich, bewegen door het netwerk en proberen data buit te maken. Het MITRE ATT&CK framework brengt die patronen in kaart, gebaseerd op echte aanvallen die wereldwijd zijn waargenomen.

Daarmee is ATT&CK geen theoretisch model, maar een werkdocument. Je legt je eigen detectie ernaast en ziet meteen waar gaten zitten. Welke technieken zou een aanvaller kunnen gebruiken die jij nu niet zou opmerken? Dat is de vraag die ATT&CK helpt beantwoorden.

In dit artikel lees je wat het framework is, hoe het is opgebouwd en hoe een MDR-dienst het inzet om jouw omgeving te bewaken.

Wat is MITRE ATT&CK?

MITRE ATT&CK is een openbare kennisbank van aanvalstactieken en -technieken die cybercriminelen gebruiken, gebaseerd op echte waarnemingen van cyberaanvallen. De afkorting staat voor Adversarial Tactics, Techniques and Common Knowledge.

MITRE, een non-profit onderzoeksorganisatie die werkt voor onder meer de Amerikaanse overheid, bouwde het framework in 2013 en maakte het in 2015 openbaar. Sindsdien groeit het mee met het dreigingslandschap: nieuwe technieken worden toegevoegd zodra ze in de praktijk opduiken.

Het idee erachter is concreet. In plaats van losse signalen zoals IP-adressen of malware-hashes, die continu veranderen, beschrijft ATT&CK gedrag. Hoe haalt een aanvaller wachtwoorden buit? Hoe blijft hij onopgemerkt? Hoe beweegt hij door een netwerk? Dat gedrag verandert veel langzamer dan een IP-adres, en is dus een betrouwbaarder aanknopingspunt voor detectie.

Hoe is het MITRE ATT&CK framework opgebouwd?

ATT&CK is opgebouwd uit drie lagen: tactieken, technieken en sub-technieken, samengebracht in een matrix.

Tactieken: de doelen van een aanvaller

Een tactiek is het doel dat een aanvaller op een bepaald moment wil bereiken. Voorbeelden zijn Initial Access (binnenkomen), Persistence (toegang behouden), Privilege Escalation (meer rechten krijgen), Lateral Movement (door het netwerk bewegen) en Exfiltration (data naar buiten brengen). De Enterprise-matrix telt 15 tactieken die samen de volledige levensloop van een aanval beschrijven (MITRE ATT&CK v19, april 2026).

Technieken: de methoden om die doelen te bereiken

Een techniek beschrijft hoe een aanvaller een tactiek uitvoert. Voor Initial Access kan dat phishing zijn, of het misbruiken van een kwetsbaarheid in een publiek bereikbare server. Elke techniek heeft een eigen ID, zoals T1566 voor phishing, en een beschrijving met echte voorbeelden.

Sub-technieken: specifieke varianten

Een sub-techniek is een nauwkeuriger uitwerking van een techniek. Phishing splitst bijvoorbeeld op in spearphishing via een bijlage, via een link of via een dienst. De Enterprise-matrix bevat 475 sub-technieken (MITRE 2026), wat aangeeft hoe gedetailleerd het framework is.

De ATT&CK-matrix

De matrix is de visuele weergave van het framework. De kolommen zijn de tactieken, de cellen eronder de technieken. Zo zie je in een oogopslag het volledige speelveld van mogelijk aanvalsgedrag. Met de gratis MITRE ATT&CK Navigator kleur je je eigen dekking in: groen voor wat je detecteert, rood voor de blinde vlekken.

Waarvoor gebruiken security-teams MITRE ATT&CK?

Security-teams gebruiken ATT&CK om detectie te bouwen, te testen en te verbeteren. De belangrijkste toepassingen:

  • Detectieregels schrijven en valideren. Je vertaalt technieken naar concrete detectielogica en controleert of je die in de praktijk zou oppikken.
  • Gap-analyse. Je legt je huidige dekking naast de matrix en ziet welke aanvalspaden nog niet gedekt zijn.
  • Threat hunting. Je zoekt gericht naar sporen van een specifieke techniek, in plaats van af te wachten tot een alert afgaat.
  • Purple teaming. Een aanvalsteam (red) en een verdedigingsteam (blue) testen samen of een techniek wordt opgemerkt.
  • Rapportage. Je koppelt elk incident aan een ATT&CK-techniek, zodat bestuur en auditor begrijpen wat er gebeurde en hoe het is opgevolgd.

MITRE ATT&CK en MDR

Binnen MDR is ATT&CK de basis voor detectie en rapportage. Een MDR-dienst (Managed Detection and Response) gebruikt het framework om detectieregels te ordenen en om aan te tonen welke technieken worden gedekt.

Een goede MDR-aanbieder laat je per tactiek zien hoe ver de detectie reikt. In ons overzicht van de beste MDR-platforms van 2026 zie je hoe de grootste aanbieders zich op die dekking verhouden. Krijg je een incident, dan staat in de rapportage aan welke ATT&CK-techniek het gekoppeld is. Dat maakt een melding concreet: niet "er was verdacht verkeer", maar "een poging tot credential dumping (T1003), opgemerkt en geïsoleerd".

Bij Aumatics vormt ATT&CK het raamwerk achter de detectieregels in ons SOC. Onze analisten koppelen alerts aan technieken, bepalen de severity en volgen elk incident op. Meer over hoe die dienst werkt lees je op de pagina over Managed Detection and Response.

MITRE ATT&CK vs andere frameworks

ATT&CK is niet het enige model voor aanvalsgedrag. Twee andere kom je vaak tegen.

MITRE ATT&CK vs Cyber Kill Chain

De Cyber Kill Chain, van Lockheed Martin, beschrijft een aanval als zeven opeenvolgende fases, van verkenning tot het uiteindelijke doel. ATT&CK is gedetailleerder en minder lineair: het beschrijft tientallen technieken per tactiek, zonder vaste volgorde. De Kill Chain geeft het grote plaatje, ATT&CK de concrete invulling.

MITRE ATT&CK vs NIST Cybersecurity Framework

Het NIST Cybersecurity Framework is breder en strategischer. Het beschrijft vijf functies (Identify, Protect, Detect, Respond, Recover) waarmee een organisatie haar securitybeleid inricht. ATT&CK zit een laag dieper en is operationeel: het vult vooral de Detect- en Respond-functies in met concrete aanvalstechnieken.

FrameworkWat het beschrijftDetailniveauTypisch gebruik
MITRE ATT&CKConcrete aanvalstechniekenHoog, operationeelDetectie, threat hunting, rapportage
Cyber Kill ChainZeven aanvalsfasesLaag, strategischOverzicht van een aanval
NIST CSFVijf securityfunctiesBeleid en governanceInrichting securitybeleid

Wanneer gebruik je welk? NIST voor het beleid en de governance, ATT&CK voor de detectie op de werkvloer. Ze bijten elkaar niet, ze vullen elkaar aan.

Altijd zicht op dreigingen. Ook buiten kantooruren.

Securitymeldingen komen vaak uit meerdere systemen tegelijk. Maar zonder goede opvolging blijven alerts vooral ruis. Met Managed SOC helpt Aumatics je dreigingen 24/7 te monitoren, prioriteren en opvolgen. Zo weet je sneller wat belangrijk is, waar actie nodig is en hoe je incidenten beheerst voordat ze groter worden.

Veelgestelde vragen over dit onderwerp

Wat is het verschil tussen MITRE ATT&CK en de Cyber Kill Chain?

De Cyber Kill Chain beschrijft een aanval als zeven opeenvolgende fases en geeft het grote plaatje. MITRE ATT&CK is gedetailleerder en niet-lineair: het beschrijft per tactiek tientallen concrete technieken. De Kill Chain is strategisch, ATT&CK is operationeel.

Is MITRE ATT&CK gratis te gebruiken?

Ja. Het volledige framework, de matrices en de ATT&CK Navigator zijn gratis beschikbaar via attack.mitre.org. MITRE is een non-profit en stelt de kennisbank openbaar ter beschikking.

Dekt mijn MDR-dienst alle MITRE ATT&CK-technieken?

Geen enkele dienst dekt alle 222 technieken even diep, en dat is ook niet het doel. Een goede MDR-aanbieder laat zien welke technieken hij detecteert en waar de prioriteiten liggen, afgestemd op de dreigingen die voor jouw sector relevant zijn. Vraag je aanbieder om een overzicht van de ATT&CK-dekking.

Roel van den Bleek

Sales Directeur

Roel is Sales Directeur bij Aumatics en helpt organisaties om complexe IT- en cybersecurityvraagstukken te vertalen naar heldere, resultaatgerichte oplossingen. Met zijn ervaring in sales en accountmanagement bouwt hij duurzame samenwerkingen die technische expertise verbinden met concrete zakelijke waarde.

SOC nodig zonder eigen nachtdienst?

Laat dreigingen 24/7 monitoren, duiden en opvolgen door securityspecialisten die jouw omgeving begrijpen.

Ontdek Managed SOC

Lees meer

Bekijk ook onze andere resources

Wat is SOAR? Security Orchestration, Automation and Response uitgelegd

SOAR automatiseert securityprocessen en versnelt incidentrespons. Lees wat SOAR is, hoe het werkt en hoe MDR het inzet. Plan een gesprek.

De beste Managed Detection and Response-platforms van 2026

De best beoordeelde Managed Detection and Response-platforms van 2026 volgens Gartner Peer Insights. Vergelijk de top 10 en laat ze beheren.

MDR vs SOC: wat is het verschil en wat heeft je organisatie nodig?

MDR vs SOC: een SOC is je eigen securityteam, MDR levert dat team als dienst. Ontdek wat je organisatie nodig heeft. Plan een gesprek.

MDR vs SIEM: vullen ze elkaar aan of vervangt MDR je SIEM?

MDR vs SIEM: SIEM verzamelt en correleert logdata, MDR voegt analyse en 24/7-respons toe. Lees of ze elkaar aanvullen of vervangen. Plan een gesprek.

Neem contact op

Benieuwd hoe we jouw organisatie verder kunnen helpen?

Roel van den Bleek, Sales & Marketing Manager Aumatics

Roel van den Bleek

Head of sales & marketing

Vertel ons over je organisatie en beveiligingsvraagstuk. Onze specialisten denken graag mee over de aanpak die het beste bij jouw situatie past, zonder verplichtingen.

Security-first MSP. ISO 27001 gecertificeerd
24/7 security monitoring voor organisaties waar downtime geen optie is
Vrijblijvend adviesgesprek, geen verplichtingen

Vraag een gratis adviesgesprek aan

Vertel ons kort over jouw situatie, we denken graag mee.

150+
Tevreden klanten
12+
Locaties in nederland
1 werkdag
Reactietijd op jouw aanvraag

Bedankt!

We hebben je bericht ontvangen en komen zo snel bij je terug. We sturen je een bericht ter bevestiging.

Direct contact opnemen?
Oops! Something went wrong while submitting the form.