Angriffsmodi und -methoden, manchmal auch als Taktiken, Techniken und Verfahren (TTPs) bezeichnet, sind Darstellungen des Verhaltens von Cyberangreifern. Sie beschreiben in zunehmendem Detailgrad, was diese Angreifer tun und wie sie es tun. Angriffsmodi und -methoden gelten für STIX 1.1.

Beispielsweise kann ein Angriffsmodus/eine Angriffsmethode darin bestehen, mithilfe von Malware Anmeldeinformationen für Kreditkarten zu stehlen. Oder eine andere, verwandte Taktik (auf einer niedrigeren Detailebene) könnte darin bestehen, gezielte E-Mails mit Anhängen zu senden, die schädlichen Code enthalten, der beim Öffnen ausgeführt wird, Kreditkarteninformationen aus Tastenanschlägen erfasst und HTTP für die Kommunikation mit einem Befehls- und Steuerungsserver verwendet Informationen übertragen.

Angriffsmodi und -methoden gelten für STIX 1.1.