TTPs stehen für Tactics, Techniques and Procedures – ein zentraler Begriff in der Cyber Threat Intelligence und Angriffsanalyse. TTPs beschreiben, wie Angreifer vorgehen, von der strategischen Absicht (Taktik) bis hin zu den konkreten technischen Schritten (Verfahren).
Die drei Ebenen der TTPs
-
Tactics (Taktiken):
Das „Was“ – das übergeordnete Ziel, z. B. Privilegienausweitung oder Persistenz -
Techniques (Techniken):
Das „Wie“ – z. B. Passwort-Dumping oder Einsatz legitimer Tools (LOTL) -
Procedures (Verfahren):
Das „Wie genau“ – konkrete Umsetzung, z. B. Einsatz vonmimikatzoderrundll32.exe
Warum TTPs wichtig sind
-
Sie ermöglichen verhaltensbasierte Angriffserkennung
-
Grundlage für Threat Hunting und Detection Rules (EDR/XDR)
-
Zentrale Struktur in MITRE ATT&CK
-
Besseres Verständnis für Angriffsverläufe und Gruppenzuordnungen (z. B. APTs)
Beispiel: TTP im Kontext
| Ebene | Beispiel |
|---|---|
| Tactic | Defense Evasion |
| Technique | Obfuscated Files or Information |
| Procedure | Einsatz von PowerShell -EncodedCommand |
TTPs sind das Rückgrat moderner Cyberabwehr. Sie helfen, Angreifer nicht nur zu erkennen, sondern auch systematisch zu verstehen und abzuwehren – unabhängig von der eingesetzten Malware oder Infrastruktur.