MITRE ATT&CK
Uma base de conhecimento publicamente acessível documentando táticas e técnicas reais de adversários usadas em ataques cibernéticos, estruturada como um framework para análise de ameaças e defesa.
Definição
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) é uma base de conhecimento curada e publicamente disponível de táticas e técnicas de adversários baseadas em observações do mundo real. Ela documenta como atores de ameaça realmente conduzem ataques, fornecendo um framework padronizado para análise de ameaças, planejamento de defesa e testes de segurança.
Em vez de categorias abstratas de ameaças, ATT&CK fornece comportamentos específicos e observáveis: “Este ator de ameaça usa SSH para movimento lateral (T1021.001)” em vez de “atacantes usam técnicas sofisticadas.”
Estrutura
ATT&CK organiza o comportamento adversário em uma hierarquia:
Táticas
Os objetivos estratégicos dos adversários. Exemplos incluem:
- Reconhecimento – Coleta de informações antes do ataque
- Desenvolvimento de Recursos – Preparação de ferramentas e infraestrutura
- Acesso Inicial – Obter um ponto de apoio na rede alvo
- Persistência – Manter o acesso
- Escalação de Privilégio – Obter acesso de nível mais alto
- Movimento Lateral – Mover-se pela rede
- Exfiltração – Roubar dados
Técnicas
Os métodos específicos usados para alcançar as táticas. Exemplo: T1021 (Remote Service Session Initiation) é uma técnica de Movimento Lateral. Sub-técnicas incluem T1021.001 (SSH) e T1021.004 (RDP).
Procedimentos
Como atores de ameaça específicos implementam técnicas. Exemplo: “O ator de ameaça X usa T1021.001 (movimento lateral SSH) com scripts personalizados para se mover através de ambientes Windows.”
Matrizes
MITRE mantém matrizes separadas para diferentes ambientes operacionais:
- Enterprise – Windows, Linux, macOS (mais amplamente usado)
- Mobile – iOS, Android
- ICS – Industrial Control Systems
- Cloud – AWS, Azure, GCP
Por que ATT&CK Importa
Cria Linguagem Comum
Antes de ATT&CK, inteligência de ameaças era fragmentada. Hoje, todas as equipes de segurança fazem referência às mesmas 700+ técnicas, permitindo comunicação precisa.
Guia Engenharia de Detecção
Em vez de escrever regras de detecção aleatoriamente, equipes usam ATT&CK para identificar sistematicamente lacunas de cobertura. “Detectamos todas as variantes de Movimento Lateral?”
Habilita Caça às Ameaças
Em vez de caças vagas por “atividade suspeita,” os caçadores visam técnicas específicas. “Procure por evidência de T1087 (Account Discovery).”
Melhora Resposta a Incidentes
Quando um ataque é detectado, equipes imediatamente entendem qual tática e técnica estão envolvidas, permitindo resposta mais rápida.
Suporta Red Teaming
Equipes de red teaming usam ATT&CK para sistematicamente testar defesas contra padrões de ataque conhecidos.
Como Equipes de Segurança Usam ATT&CK
- Perfilagem de Ameaças – Mapear atores de ameaça para suas técnicas conhecidas
- Análise de Lacunas – Identificar lacunas de cobertura de detecção contra seu cenário de ameaças
- Escrita de Detecções – Criar regras visando técnicas específicas
- Caça às Ameaças – Proativamente procurar implementações de técnicas
- Exercícios de Red Team – Testar defesas contra técnicas conhecidas
- Métricas de Segurança – Rastrear quais técnicas você pode detectar e quais não pode
Exemplo: Usando ATT&CK
Uma organização de saúde observa tentativas de phishing visando sua equipe.
Análise ATT&CK:
- Vetor inicial = T1566.002 (Phishing: Spearphishing Link)
- Possíveis sequências = T1110 (Brute Force), T1021 (Movimento Lateral)
Ações:
- Ativar regras de detecção para T1110 e T1021
- Conduzir caças às ameaças para essas técnicas
- Red team testa phishing → cadeia de ataque de força bruta de credenciais
Resultado: Quando o phishing é bem-sucedido, defesas estão preparadas para o ataque subsequente.
Acessando ATT&CK
- Website: attack.mitre.org
- Ferramenta Navigator: Visualize cobertura e lacunas
- Integrações: A maioria das plataformas de segurança (SIEM, EDR, inteligência de ameaças) incluem mapeamentos ATT&CK