Kalau kamu sedang belajar atau bekerja di dunia cybersecurity, cepat atau lambat kamu pasti akan ketemu dengan istilah MITRE ATT&CK®️. Framework ini sering disebut-sebut sebagai “peta jalan” perilaku penyerang dunia maya. Walaupun terdengar teknis, sebenarnya MITRE ATT&CK dibuat supaya kita—para defender, analis keamanan, atau siapa pun yang ingin memahami serangan digital—bisa melihat gambaran besar tentang bagaimana sebuah serangan dilakukan dari awal sampai akhir.

Di artikel ini, saya ingin mengajak kamu untuk memahami MITRE ATT&CK dengan cara yang lebih ringan. Bukan dengan bahasa akademis yang bikin pusing, tapi dengan pendekatan santai biar kamu bisa langsung “ngeh” konsep dasarnya. Kita akan membahas mulai dari apa itu framework MITRE, bagaimana membaca Matrix, apa bedanya Tactics dan Techniques, sampai ke hal-hal pendukung seperti data sources, STIX, juga bagaimana kaitannya dengan CVE dan CVSS yang sering muncul saat membahas kerentanan.

Singkatnya, artikel ini cocok untuk kamu yang baru mulai mengenal dunia keamanan siber ataupun yang ingin menyegarkan pemahaman seputar MITRE ATT&CK. Yuk, kita mulai perjalanan memahami peta serangan digital yang paling populer ini!

1. Apa Itu MITRE ATT&CK®️?

MITRE ATT&CK adalah sebuah knowledge base yang berisi kumpulan perilaku, teknik, dan taktik yang biasa digunakan oleh penyerang siber di dunia nyata. Framework ini dikembangkan oleh MITRE, sebuah organisasi nonprofit yang fokus pada riset dan keamanan.

Tujuannya simpel: membantu kita memahami bagaimana serangan terjadi, langkah demi langkah. Dengan pemahaman ini, kita bisa meningkatkan kemampuan deteksi, respon, dan pencegahan serangan.

MITRE ATT&CK tidak berisi teori semata, tapi disusun berdasarkan ribuan laporan insiden nyata. Karena itu, framework ini sangat dipercaya oleh para profesional keamanan di seluruh dunia.

2. MITRE ATT&CK®️ Matrix: Peta Serangan yang Mudah Dibaca

Bagian paling terkenal dari MITRE ATT&CK adalah Matrix. Ini adalah tampilan visual yang menunjukkan seluruh taktik (kolom) dan teknik (baris di bawahnya) yang mungkin dilakukan penyerang.

Ketika kamu membuka Matrix, kamu sebenarnya sedang melihat alur lengkap serangan, mulai dari bagaimana penyerang masuk, bertahan, sampai mengambil data.

Matrix ini membantu kamu:

• Melihat gambaran besar serangan

• Memahami pola langkah demi langkah

• Memetakan kemampuan keamanan internal

• Melakukan gap analysis: “apa yang sudah bisa kita deteksi?” dan “apa yang masih bolong?”

Sumber resmi Matrix:
https://attack.mitre.org

3. Tactics vs Techniques: Apa Bedanya?

Dalam MITRE ATT&CK, kamu akan sering menemukan dua istilah penting: Tactics dan Techniques.

Tactics

Tactics adalah tujuan dari langkah penyerang.
Contoh: Execution, Persistence, Privilege Escalation, Exfiltration.

Taktik ibarat chapter dalam sebuah cerita serangan, menjelaskan “apa yang ingin dilakukan penyerang di tahap ini”.

Techniques

Techniques adalah cara penyerang mencapai tujuan tersebut.
Contoh: PowerShell execution, phishing attachment, credential dumping.

Kalau takt ik adalah “why”, maka teknik adalah “how”.

Sumber resmi Tactics:
https://attack.mitre.org/tactics/enterprise
Sumber resmi Techniques:
https://attack.mitre.org/techniques/enterprise

4. Mengapa MITRE ATT&CK Sangat Penting?

Karena framework ini:

• Standar internasional untuk analisis serangan

• Membantu kamu membangun dan mengevaluasi security controls

• Dipakai oleh SIEM, SOC, threat intelligence, red team, hingga blue team

• Mendukung proses pelatihan dan simulasi serangan

• Menjadi referensi utama untuk threat detection engineering

Dengan kata lain, MITRE ATT&CK membuat kita lebih siap menghadapi serangan nyata.

5. Data Sources: Dari Mana Bukti Serangan Kita Dapat?

MITRE ATT&CK juga menyediakan daftar data sources—yaitu jenis log atau informasi apa yang perlu dikumpulkan untuk mendeteksi sebuah teknik.

Contoh sumber data:

• Process monitoring

• File creation

• Network traffic

• Windows event logs

Data sources membantu kamu memahami apa yang perlu dimonitor agar teknik tertentu bisa dideteksi.

Sumber resmi:
https://attack.mitre.org/datasources

6. MITRE ATT&CK dan STIX: Bahasa Standar untuk Threat Intel

MITRE menyediakan semua model ATT&CK dalam format STIX di GitHub. STIX adalah standar untuk structured threat intelligence, sehingga data MITRE bisa digunakan untuk:

• integrasi otomatis ke SIEM/XDR

• membuat deteksi otomatis

• threat hunting

• analisis intelijen

Sumber:
https://github.com/mitre-attack

7. CVE dan CVSS: Hubungannya dengan MITRE ATT&CK

Saat membahas serangan, pasti kamu sering ketemu istilah:

CVE (Common Vulnerabilities and Exposures)

Daftar kerentanan publik, lengkap dengan ID-nya.
Contoh: CVE-2023-12345

Sumber:
https://www.cvedetails.com

CVSS (Common Vulnerability Scoring System)

Skor yang menggambarkan tingkat keparahan sebuah CVE.
Biasanya dalam skala 0–10.

Lalu, apa hubungannya dengan MITRE ATT&CK?

• CVE = celah yang dieksploitasi

• CVSS = seberapa parah celah itu

• MITRE ATT&CK = perilaku penyerang setelah celah tersebut dieksploitasi

Setelah penyerang masuk melalui CVE, maka teknik-teknik ATT&CK lah yang biasanya dilakukan selanjutnya. Jadi ketiganya saling melengkapi.

MITRE ATT&CK bukan sekadar daftar teknik, tapi sebuah cara berpikir.
Dengan memahami taktik dan teknik penyerang, kamu akan lebih mudah:

• membaca laporan insiden,

• melakukan investigasi,

• membangun deteksi,

• dan membuat sistem lebih aman.

Framework ini terlihat besar dan kompleks di awal, tapi semakin sering kamu memakainya, semakin mudah kamu membaca pola serangan yang ada.