Jak pamiętasz, na szczycie piramidy bólu znajduje się TTP przeciwnika. Zachowanie przeciwnika jest najtrudniejszą rzeczą do odkrycia. Dobra wiadomość jest taka, że przeciwnicy często powtarzają to, co działa, i to właśnie powtarzanie daje nam wskazówkę, czego szukać w przypadku danej grupy przeciwników. Struktura MITRE ATT&CK to zbiór wielu znanych (publicznych) TTP i została nawet wykorzystana do wskazania działań niektórych grup zaawansowanych trwałych zagrożeń (APT). Wykorzystując ten framework jako źródło, możemy użyć naszej wyobraźni i zbudować hipotezę dotyczącą działań przeciwnika w sieci. Następnie można przetestować wszelkie hipotezy; najpierw upewniając się, że mamy odpowiednie źródła danych, aby zobaczyć docelowe zachowanie, a następnie budując analitykę w celu wyszukania tego zachowania w danym środowisku sieciowym. Wreszcie możemy zbudować alerty, które poinformują nas, kiedy takie zachowanie wystąpi w przyszłości. W ten sposób możemy metodycznie poruszać się po frameworku MITRE ATT&CK, budując mapę zasięgu w miarę upływu czasu. Jedną z kluczowych koncepcji w tym momencie jest uznanie, że często będziemy zaczynać od środka frameworku, ponieważ na początku zakładamy kompromis. Następnie, jeśli odkryjemy oznaki prawdziwości hipotezy, możemy pracować w obu kierunkach w całym modelu: (1) iść do przodu i znaleźć ostateczną głębokość penetracji i ryzyka dla środowiska oraz (2) cofnąć się do znaleźć źródło naruszenia i zamknąć tę dziurę w przyszłości.