Gestão de TISegurança

Você Sabe O Que é a MITRE ATT&CK Framework?

Foto de Cleuber Silva Hashimoto Cleuber Silva Hashimoto15/08/2025
0 17 5 minutos lidos

O Framework MITRE ATT&CK é um índice global para coletar documentação de táticas, técnicas e procedimentos (TTPs) de invasores, todos baseados em observações do mundo real. ATT&CK significa “Táticas, Técnicas e Conhecimento Comum Adversarial”.

Criado pelo MITRE em 2013, esse índice continua a evoluir com o cenário de ameaças e se tornou uma base de conhecimento renomada para o setor entender modelos de invasores, metodologias e mitigação. 

A detecção abrangente de ameaças e a mitigação de ataques exigem a compreensão de técnicas comuns de adversários, especialmente aquelas que representam uma ameaça a um centro de operações de segurança (SOC) . Dito isso, o volume e a amplitude das táticas de ataque tornam quase impossível para qualquer organização monitorar e catalogar todos os tipos de ataque. 

A base de conhecimento da ATT&CK sobre táticas e técnicas adversárias é indexada e detalhada, observando as etapas e métodos do invasor. Para ir além, o MITRE também incorpora inteligência de ameaças cibernéticas que documenta perfis de comportamento do grupo adversário. 

A estrutura da matriz ATT&CK é semelhante a uma tabela periódica, com cabeçalhos de coluna descrevendo as fases na cadeia de ataque – do “acesso inicial” até o “impacto”. 

Estrutura MITRE ATT&CK vs. Cyber Kill Chain

Tanto o Framework MITRE ATT&CK quanto o Cyber Kill Chain se concentram em ajudar as organizações a compreender o comportamento dos invasores e a tomar medidas para neutralizar um ataque o mais rápido possível. Vamos primeiro discutir um pouco sobre o último conceito.

A estrutura Cyber Kill Chain foi desenvolvida pela empresa de defesa Lockheed Martin para identificar vulnerabilidades e violações, examinar a eficácia dos controles existentes e identificar os movimentos que os adversários devem fazer para atingir qualquer objetivo que tenham definido para si próprios ou para sua organização.

A diferença fundamental entre o Framework MITRE ATT&CK e a Cyber Kill Chain é que a primeira é um repositório de conhecimento – contendo uma grande quantidade de metodologias de ataque direcionadas a plataformas específicas – e a segunda é essencialmente uma série mais generalizada de etapas predefinidas, das quais não é recomendável se desviar. A Cyber Kill Chain consiste em sete fases e é geralmente considerada uma maneira simplificada – e também muito eficaz – de interromper um ataque.

Uma terceira metodologia de kill chain é conhecida como Unified Kill Chain. Ela busca solucionar as limitações de escopo e a natureza agnóstica em relação ao tempo do MITRE ATT&CK e do Cyber Kill Chain, respectivamente. Um dos maiores benefícios do Unified Kill Chain é que ele captura com mais precisão as nuances do comportamento dos invasores. O Unified Kill Chain detalha impressionantes 18 fases específicas de ataque, o que pode ser um pouco exagerado, dependendo do usuário e do caso de uso.

História da estrutura MITRE ATT&CK

A estrutura foi criada em 2013 a partir da necessidade de ajudar empresas e suas organizações de segurança a entender melhor as metodologias dos invasores e, assim, ganhar terreno contra o avanço de agentes de ameaças em todo o mundo. De acordo com o site MITRE ATT&CK:

O MITRE lançou o ATT&CK em 2013 para documentar táticas, técnicas e procedimentos (TTPs) comuns que promoviam ameaças persistentes contra redes corporativas Windows. Ele foi criado a partir da necessidade de documentar comportamentos de adversários para uso em um projeto de pesquisa do MITRE chamado FMX. O objetivo do FMX era investigar o uso de dados e análises de telemetria de endpoints para aprimorar a detecção pós-comprometimento de adversários operando em redes corporativas. O ATT&CK foi usado como base para testar a eficácia dos sensores e análises do FMX e serviu como a linguagem comum que tanto o ataque quanto a defesa poderiam usar para aprimorar suas habilidades ao longo do tempo.

O MITRE apresenta um índice – ou matriz – para casos de uso individuais, como os detalhados abaixo: 

  • Matriz de sistemas de controle industrial (ICS) : As táticas pelas quais um invasor pode violar sistemas de controle industrial. 
  • Matriz empresarial : As táticas pelas quais um invasor pode violar sistemas empresariais. 
  • Matriz móvel : As táticas pelas quais um invasor pode violar dispositivos móveis. 

Matriz MITRE ATT&CK 

Vamos nos aprofundar um pouco mais no que exatamente constitui uma “matriz” MITRE ATT&CK. É útil delinear os padrões de ataque em casos de uso como os discutidos na seção anterior. A matriz essencialmente categoriza os TTPs e os apresenta como facilmente indexáveis por plataformas específicas, como sistemas operacionais ou plataformas de software empresarial.

De acordo com o site MITRE ATT&CK, existem 14 táticas comuns pelas quais os invasores tentam atingir seus objetivos:

  1. Reconhecimento: O adversário está tentando reunir informações que podem ser usadas para planejar operações futuras. 
  2. Desenvolvimento de recursos: o adversário está tentando estabelecer recursos que pode usar para dar suporte às operações. 
  3. Acesso inicial: o adversário está tentando entrar na sua rede. 
  4. Execução: O adversário está tentando executar um código malicioso. 
  5. Persistência: O adversário está tentando manter sua posição. 
  6. Escalonamento de privilégios: o adversário está tentando obter permissões de nível superior. 
  7. Evasão de defesa: O adversário está tentando evitar ser detectado. 
  8. Acesso de credencial: o adversário está tentando roubar nomes de contas e senhas. 
  9. Descoberta : O adversário está tentando descobrir seu ambiente. 
  10. Movimento lateral: O adversário está tentando se mover pelo seu ambiente. 
  11. Coleta : O adversário está tentando coletar dados de interesse para seu objetivo. 
  12. Comando e controle: o adversário está tentando se comunicar com sistemas comprometidos para controlá-los. 
  13. Exfiltração: O adversário está tentando roubar dados. 
  14. Impacto: O adversário está tentando manipular, interromper ou destruir seus sistemas e dados. 

Casos de uso da estrutura MITRE ATT&CK

O Framework MITRE ATT&CK é amplamente reconhecido como uma autoridade na compreensão dos comportamentos e técnicas que os invasores usam contra organizações. Ele não apenas elimina ambiguidades e fornece um vocabulário comum para discussões e colaboração em combate, como também oferece aplicações práticas para equipes de segurança.

Priorize detecções com base em um ambiente exclusivo

Mesmo as equipes com os melhores recursos não conseguem se proteger igualmente contra todos os vetores de ataque. A estrutura ATT&CK pode oferecer um modelo para as equipes sobre onde concentrar seus esforços de detecção. Por exemplo, muitas equipes podem começar priorizando ameaças no início da cadeia de ataque. Outras equipes podem querer priorizar detecções específicas com base em técnicas usadas por grupos de invasores que são especialmente prevalentes em seus respectivos setores.

Ao explorar as técnicas, as plataformas direcionadas e os riscos, as equipes podem se educar para ajudar a informar seu plano de segurança e, então, aproveitar a estrutura MITRE ATT&CK para monitorar o progresso ao longo do tempo.

Avalie as defesas atuais

A estrutura também pode ser valiosa na avaliação das ferramentas atuais e da profundidade de cobertura em torno das principais técnicas de ataque. Existem diferentes níveis de telemetria que podem ser aplicáveis a cada detecção. Em algumas áreas, as equipes podem decidir que precisam de alta confiança na profundidade de detecção, enquanto um nível menor de detecção pode ser aceitável em outras.

Ao definir e priorizar as ameaças à organização, as equipes podem avaliar a cobertura atual. Isso também pode ser útil em  atividades de testes de penetração  (pentesting) e, posteriormente, como um scorecard durante e após o teste. 

Rastrear grupos de atacantes

Muitas organizações podem querer priorizar o rastreamento de comportamentos específicos de grupos adversários que sabem representar uma ameaça específica ao seu setor ou vertical. A estrutura ATT&CK não é um documento estático, pois o MITRE continua a desenvolvê-la à medida que as ameaças surgem e evoluem. Esse processo a torna uma fonte útil de informações para rastrear e compreender os movimentos de grupos de invasores e as técnicas que eles utilizam.

Em breve falarei mais sobre as técnicas de defesa que podem ser utilizadas a partir do framework do MITRE ATT&CK.

Abraços e até a próxima.

Cleuber Silva Hashimoto

Administrador

Gestor de Infraestrutura | Suporte | Cibersegurança.
Graduado em Gestão de TI e Pós-graduado em Segurança da Informação e Computação Forense. Fundador da Agência WebGenese e criador do cleuber.com.br

 cleuber.hashimoto@gmail.com  https://cleuber.com.br
Foto de Cleuber Silva Hashimoto Cleuber Silva Hashimoto15/08/2025
0 17 5 minutos lidos
Foto de Cleuber Silva Hashimoto

Cleuber Silva Hashimoto

Gestor de Infraestrutura | Suporte | Cibersegurança. Graduado em Gestão de TI e Pós-graduado em Segurança da Informação e Computação Forense. Fundador da Agência WebGenese e criador do cleuber.com.br

Artigos relacionados

Como Aumentar Sua Segurança e Privacidade Online

02/09/2016

Como Analisar os Logs Usando o Journalctl

15/06/2016

Monitis – Ferramenta de Monitoramento Online

19/01/2016

Google Lança Central de Controle de Privacidade para Usuários

03/06/2015

Deixe um comentário

Botão Voltar ao topo