Se você trabalha com segurança, ofensiva ou defensiva, já esbarrou no MITRE ATT&CK. Ele aparece em relatórios de pentest, dashboards de SIEM, descrições de malware e apresentações de fornecedores. Mas entre "já ouvi falar" e "uso de verdade" existe um gap que este artigo quer ajudar a fechar.
O que é o MITRE ATT&CK
ATT&CK significa Adversarial Tactics, Techniques, and Common Knowledge. É uma base de conhecimento pública, mantida pela organização MITRE, que cataloga e organiza como adversários reais atacam com base em observações de incidentes e campanhas documentadas.
Pensa assim: o ATT&CK é um mapa de tudo que um atacante pode fazer dentro de um ambiente, desde conseguir o primeiro acesso até exfiltrar dados ou destruir sistemas. Cada ação é catalogada como uma técnica, e essas técnicas são agrupadas em táticas (os objetivos do atacante em cada fase do ataque).
O mais importante é que nada ali é teórico. Cada técnica é documentada com exemplos reais de grupos de ameaça (APTs) que a utilizaram em campanhas observadas. Isso faz do ATT&CK a linguagem comum entre red teams, blue teams, SOCs e CISOs ao redor do mundo.
Como o framework está organizado
O ATT&CK é estruturado numa matriz com táticas nas colunas e técnicas nas linhas. Existem três matrizes principais: Enterprise (ambientes corporativos com Windows, Linux, macOS, cloud, containers e SaaS), Mobile (Android e iOS) e ICS (sistemas de controle industrial).
A matriz Enterprise, que é a mais usada no dia a dia, tem 14 táticas que acompanham o ciclo completo de um ataque.
Tudo começa com Reconnaissance, onde o atacante coleta informações sobre o alvo. Depois vem Resource Development, a preparação de ferramentas e infraestrutura para o ataque. Initial Access é como ele consegue entrar no ambiente, seja por phishing, exploração de serviços ou contas comprometidas.
Uma vez dentro, Execution cobre a execução de código. Persistence são os mecanismos para manter acesso mesmo após reboot. Privilege Escalation é a obtenção de permissões maiores. Defense Evasion são as técnicas para evitar ser detectado.
Credential Access é o roubo de credenciais. Discovery é o mapeamento do ambiente interno. Lateral Movement é a movimentação para outros sistemas na rede. Collection é a coleta dos dados que interessam.
Command and Control cobre a comunicação entre o implant e o atacante. Exfiltration é a extração de dados para fora do ambiente. E Impact são ações destrutivas como ransomware, destruição de dados ou denial of service.
Como red teams usam na prática
Para equipes de segurança ofensiva, o ATT&CK funciona como referência de planejamento e execução.
No planejamento de operações, antes de iniciar um engagement, o time define quais táticas e técnicas serão empregadas. Pode ser baseado no perfil de ameaça do setor do cliente: "vamos simular as TTPs do FIN7, que ataca o setor financeiro" ou "vamos cobrir as técnicas mais usadas em ransomware".
Na documentação, cada ação do red team é mapeada para uma técnica ATT&CK. Isso padroniza o relatório e permite comparações objetivas entre diferentes engagements.
E na avaliação de detecção, o mapeamento final mostra quais técnicas foram detectadas pelo blue team e quais passaram despercebidas. Essa visualização é a forma mais clara de evidenciar onde estão os buracos na capacidade de detecção.
Como blue teams usam
Para equipes defensivas, o ATT&CK serve como o mapa de "o que precisamos conseguir detectar".
Na priorização, ninguém consegue detectar todas as técnicas do framework. O blue team usa dados de Threat Intelligence para decidir por onde começar: quais grupos de ameaça são mais relevantes para o setor? Quais técnicas eles usam? É por aí que se prioriza.
No desenvolvimento de regras de detecção, cada técnica tem fontes de dados associadas (logs de processo, eventos de rede, mudanças no registry). O blue team mapeia quais fontes estão disponíveis no SIEM e cria regras para as técnicas que foram priorizadas.
Na avaliação de postura, o ATT&CK permite criar um mapa de calor de cobertura: das mais de 200 técnicas da matriz Enterprise, quantas o SOC consegue detectar hoje? Onde estão os buracos? Essa visualização orienta onde investir.
Por que importa para o negócio
Para CISOs e liderança, o valor do ATT&CK está em traduzir risco técnico para algo comparável e mensurável.
Uma frase como "nosso SOC detecta 60% das técnicas de Initial Access e 40% das de Lateral Movement usadas pelos grupos relevantes ao nosso setor, e o objetivo pro ano que vem é chegar a 80% em ambas" é infinitamente mais útil pro board do que "encontramos 47 vulnerabilidades, 12 críticas".
Exemplo prático de mapeamento
Para ilustrar como funciona na vida real, imagine um cenário simplificado de ataque de ransomware.
O atacante envia um spear phishing para o RH. Isso é a técnica T1566.001 de Initial Access. A pessoa do RH abre o documento Word com macro maliciosa, que é T1204.002 (Execution via User Execution). A macro roda PowerShell para baixar um payload, técnica T1059.001 (Command and Scripting Interpreter). O payload cria uma scheduled task para garantir persistência, T1053.005. Depois desabilita o Windows Defender, que é T1562.001 (Defense Evasion). Usa Mimikatz para extrair credenciais da memória, T1003.001 (Credential Access). Faz pass-the-hash para acessar outros servidores, T1550.002 (Lateral Movement). E finalmente criptografa os dados, T1486 (Impact).
Com esse mapeamento em mãos, o blue team consegue se perguntar: para quais dessas etapas temos detecção? Se o phishing passou pelo filtro de e-mail, o SOC teria detectado a execução de PowerShell? E o dump de credenciais com Mimikatz?
Ferramentas e recursos úteis
O ATT&CK Navigator é uma ferramenta web gratuita da MITRE que permite criar mapas de calor customizados da matriz. Serve para visualizar cobertura de detecção, mapear atividades de red team e comparar com grupos de ameaça específicos.
O Atomic Red Team é uma biblioteca open-source com testes unitários para cada técnica do ATT&CK. Permite que blue teams validem detecções de forma isolada: "meu SIEM pega T1003.001? Vamos rodar o teste e descobrir".
E o site attack.mitre.org tem toda a documentação, com fichas detalhadas de cada técnica, grupos de ameaça conhecidos, ferramentas associadas e mitigações recomendadas.
Como começar a usar
Se sua organização ainda não adotou o ATT&CK formalmente, um bom ponto de partida prático é o seguinte.
Primeiro, identifique no site do ATT&CK quais grupos de ameaça são mais relevantes para o seu setor. Depois, liste as técnicas que esses grupos utilizam. Avalie quais delas o SOC consegue detectar hoje. Priorize investimento nos gaps mais críticos. E valide as detecções usando red team ou os testes do Atomic Red Team.
O ATT&CK não é uma ferramenta. É uma linguagem. E quando red team, blue team e liderança falam a mesma linguagem, decisões de segurança se tornam mensuráveis, comparáveis e muito mais fáceis de defender em qualquer conversa.
