A perspetiva da Cyber Academy
MITRE ATT&CK é a base de conhecimento aberta sobre táticas, técnicas e procedimentos (TTPs) de adversários observados em ambiente real. Vocabulário normalizado para a defesa orientada por ameaças: regras de deteção, cenários de red team, formação de analistas SOC. Atualizada de forma contínua, de utilização gratuita. Se as suas regras SIEM não referenciam identificadores de técnicas ATT&CK, está a trabalhar mais do que o necessário.
Uma linguagem comum para descrever como os atacantes se comportam
O MITRE ATT&CK reorienta a inteligência de ameaças em torno do comportamento em vez dos indicadores. Em vez de catalogar os endereços IP ou os hashes de arquivos vistos numa única campanha, que mudam constantemente, ele cataloga o que os adversários realmente fazem uma vez dentro de um ambiente: como obtêm o acesso inicial, escalam privilégios, movem-se lateralmente, evadem as defesas e exfiltram dados. Cada um desses comportamentos é capturado como uma técnica com um identificador estável, e as técnicas são agrupadas sob táticas que descrevem o objetivo do atacante em cada etapa. O resultado é um mapa estruturado e baseado em evidências do manual de jogadas adversário, extraído de intrusões reais observadas em vez da teoria.
O framework está organizado como uma matriz. As colunas são as táticas, o porquê por trás de uma etapa, e as células sob cada coluna são as técnicas e subtécnicas, o como. Matrizes separadas cobrem os ambientes Enterprise, móveis e os sistemas de controle industrial, porque o comportamento adversário difere conforme esses terrenos. Como os identificadores de técnicas são estáveis e públicos, tornam-se uma referência comum que um analista de inteligência de ameaças, um engenheiro de SOC que escreve detecções e um integrante de red team que planeja um exercício podem todos citar sem ambiguidade. Esse vocabulário compartilhado é o superpoder silencioso do ATT&CK: permite que equipes que nunca conversam descrevam o mesmo ataque da mesma maneira.
Táticas, técnicas e procedimentos
O modelo TTP está no coração do ATT&CK e vale a pena manter os três níveis distintos. As táticas são os objetivos do adversário, as metas amplas como conquistar um ponto de apoio ou manter a persistência. As técnicas são os métodos gerais usados para alcançar uma tática, e muitas técnicas se desdobram ainda em subtécnicas que descrevem uma variante mais específica. Os procedimentos são as implementações concretas, observadas no mundo real, que um grupo específico usou para executar uma técnica. Subir essa escada, do procedimento à técnica e à tática, é o que transforma uma pilha de artefatos de incidente num padrão contra o qual se pode defender.
| Camada | Pergunta que ela responde | Sentido ilustrado |
|---|---|---|
| Tática | Por que o adversário faz isto? | O objetivo de uma etapa, como a persistência ou o movimento lateral |
| Técnica | Como, de modo geral, eles conseguem? | Um método nomeado com um identificador ATT&CK estável, às vezes dividido em subtécnicas |
| Procedimento | Como exatamente este grupo o fez? | A implementação específica observada numa intrusão real |
A razão pela qual os profissionais valorizam essa estrutura é que as defesas construídas no nível da técnica sobrevivem mais tempo do que as defesas baseadas em indicadores. Um atacante pode trocar um domínio malicioso ou recompilar um payload em minutos, derrotando o bloqueio baseado em assinaturas, mas mudar a técnica subjacente exige mais esforço e muitas vezes mais habilidade. As detecções ancoradas em técnicas envelhecem, portanto, mais devagar e capturam variantes que a primeira assinatura nunca viu.
Como as equipes colocam o ATT&CK para trabalhar
A defesa informada por ameaças é a prática que o ATT&CK habilita, e ela aparece em toda a função de segurança. As equipes de SOC marcam as regras de detecção com identificadores de técnicas para ver, num relance, quais comportamentos adversários conseguem detectar e quais lhes escapam. Essa análise de lacunas, muitas vezes visualizada como um mapa de calor sobre a matriz, orienta para onde vai o próximo esforço de detecção.
Os red teams e os purple teams usam a matriz para projetar e pontuar exercícios, percorrendo técnicas deliberadamente para testar se o blue team percebe. As equipes de inteligência de ameaças descrevem os grupos adversários em termos de ATT&CK para que os relatórios sejam comparáveis em vez de prosa sob medida. E os programas de formação se apoiam nele porque oferece aos analistas um modelo único e bem documentado do comportamento dos atacantes para aprender, em vez de mil relatos de guerra desconexos.
O ATT&CK é publicado abertamente, gratuito para usar e atualizado continuamente à medida que novo comportamento adversário é observado, razão pela qual se tornou a referência de fato em vez de um framework de um fornecedor entre muitos. Ele combina naturalmente com catálogos de controles e sistemas de gestão: onde a ISO/IEC 27001, o NIST Cybersecurity Framework ou os CIS Controls dizem quais capacidades de proteção e detecção construir, o ATT&CK diz quais comportamentos adversários essas capacidades precisam abordar, e ele é cada vez mais usado para priorizar e validar esse trabalho.
Frequently asked questions
01Qual é a diferença entre táticas e técnicas no ATT&CK?
Uma tática é o objetivo do adversário numa etapa, o porquê, como a persistência ou a exfiltração. Uma técnica é um método geral usado para alcançar esse objetivo, o como, e muitas técnicas se dividem em subtécnicas mais específicas. Os procedimentos são a maneira concreta como um grupo específico implementou uma técnica numa intrusão real.
02O MITRE ATT&CK é gratuito para usar?
Sim. O ATT&CK é uma base de conhecimento publicada abertamente, mantida pela MITRE, gratuita para usar e atualizada continuamente à medida que novo comportamento adversário é observado no mundo real.
03Como o ATT&CK difere da cyber kill chain?
A kill chain descreve as fases de alto nível de uma intrusão numa sequência linear. O ATT&CK é muito mais granular: cataloga técnicas e subtécnicas específicas sob cada tática, extraídas do comportamento real observado, de modo que é usado para a engenharia de detecção detalhada e o mapeamento de cobertura em vez de como um simples modelo de etapas.
04Como um SOC usa de fato o ATT&CK?
As equipes de SOC marcam as regras de detecção com identificadores de técnicas para mapear sua cobertura ao longo da matriz, expondo quais comportamentos adversários conseguem detectar e quais são pontos cegos. Essa análise de lacunas orienta então onde investir em novas detecções, fontes de logs e esforço de ajuste.
05O ATT&CK substitui frameworks como ISO 27001 ou NIST?
Não, ele os complementa. Os frameworks de controles dizem quais capacidades de proteção e detecção construir, enquanto o ATT&CK descreve os comportamentos adversários que essas capacidades devem abordar. As equipes o usam para priorizar e validar os controles que um framework exige.