Il tradecraft è il mestiere pratico delle operazioni cyber: le tecniche, le procedure e le abitudini che un attaccante usa per ottenere accesso, rimanere nascosto e completare un obiettivo. Include scelte riguardo alla distribuzione del phishing, all'esecuzione del malware, alla persistenza, al furto di credenziali, al comando e controllo e alla sicurezza operativa. Un buon tradecraft non riguarda solo l'uso degli strumenti; riguarda il loro impiego in modo da confondersi con l'attività normale e ridurre la probabilità di rilevamento.
Nella sicurezza informatica, il tradecraft conta perché i gruppi di minaccia maturi vengono spesso riconosciuti meno da un singolo campione di malware che dai loro metodi ripetibili. Un tool aggiornato può segnalare un tradecraft migliorato, come percorsi di consegna più puliti, una migliore evasione o un targeting più disciplinato. I difensori cercano questi schemi monitorando l'abuso dell'identità, domini sospetti, comportamenti anomali di accesso e cambiamenti nel modo in cui un attaccante si muove all'interno di un ambiente. Controlli efficaci possono costringere anche operatori esperti a commettere errori.



