Angriffsmuster sind eine Art von Taktiken, Techniken und Verfahren (TTPs), die die Methoden beschreiben, mit denen Angreifer versuchen, Ziele zu gefährden. Angriffsmuster gelten für STIX 2.x.

Angriffsmuster werden zur Kategorisierung von Angriffen verwendet. Sie verallgemeinern bestimmte Angriffe auf die Muster, denen sie folgen, und liefern detaillierte Informationen darüber, wie Angriffe durchgeführt werden.

Spear-Phishing ist beispielsweise eine häufige Art von Angriff, bei der ein Angreifer eine sorgfältig gestaltete E-Mail-Nachricht an eine Partei sendet, um sie dazu zu bringen, auf einen Link zu klicken oder einen Anhang zu öffnen, um Malware zu übermitteln. Angriffsmuster sind spezifischer, z. B. kann Spear-Phishing durch einen bestimmten Bedrohungsakteur (z. B. dass das Ziel einen Wettbewerb gewonnen hat) ein Angriffsmuster sein.