MITRE F3 erfasst Verhaltensweisen, die im bekannten ATT&CK-Framework nicht enthalten sind, und führt dafür zwei betrugsspezifische Taktiken ein.
Die erste, „Positioning", umfasst die Handlungen nach einer Kompromittierung, mit denen Daten gesammelt und manipuliert sowie weitere Ausführungsschritte vorbereitet werden. Die zweite, „Monetization", beschreibt die Aktivitäten, mit denen Angreifer kompromittierte Vermögenswerte in nutzbaren Wert umwandeln. Nach Darstellung von MITRE bilden diese Ergänzungen die Besonderheit von Betrug ab, bei dem der Erfolg nicht allein vom Zugang abhängt, sondern vom Bewegen und Abschöpfen von Werten. So lasse sich Betrugsaktivität von der ersten Kompromittierung bis zur finanziellen Auswirkung nachverfolgen.
Daneben ändert das Framework die Definition bereits in ATT&CK vorhandener Taktiken, darunter Reconnaissance, Resource Development, Initial Access, Defense Evasion und Execution.
Diese Struktur schaffe laut MITRE eine gemeinsame Sprache, mit der Fachleute aus den Bereichen Cyber- und Betrugsabwehr die wesentlichen Ereignisse eines Betrugsfalls benennen, Cyberaktivität mit finanziellen Folgen verknüpfen und ihre Strategien zur Erkennung, Prävention und Reaktion aufeinander abstimmen können.
Begleitend zum Start hat MITRE eine eigene Website für das Framework eingerichtet und eine visuelle Darstellung der beschriebenen Taktiken veröffentlicht, ergänzt um Angaben zu den Gestaltungsprinzipien und zur Methodik von F3 sowie um Hinweise zur Nutzung. Weitere Materialien stellt MITRE in einem GitHub-Repository bereit, das auch erläutert, wie sich Interessierte an dem Projekt beteiligen können.
