O MITRE ATT&CK Framework (Adversarial Tactics, Techniques & Common Knowledge) é uma base de conhecimento global, mantida pela MITRE Corporation sem fins lucrativos, que cataloga táticas, técnicas e procedimentos (TTPs) documentados a partir de ataques reais observados em produção contra organizações de todos os portes. Lançado em 2013, o ATT&CK se tornou a linguagem universal da cibersegurança ofensiva e defensiva, permitindo que equipes de red team, blue team, threat hunters e analistas de inteligência falem a mesma língua ao descrever o comportamento de adversários.

O que é o MITRE ATT&CK e por que ele importa

Antes do ATT&CK, cada organização descrevia ataques com vocabulário próprio, dificultando a comparação de inteligência entre empresas e a criação de defesas padronizadas. O framework resolveu esse problema ao estruturar o comportamento adversarial em uma taxonomia hierárquica e baseada em evidências: cada técnica possui descrição técnica detalhada, exemplos de uso por grupos APT conhecidos, mitigações recomendadas e sugestões de detecção. Atualmente a matriz Enterprise lista mais de 200 técnicas e centenas de sub-técnicas, cobrindo Windows, macOS, Linux, ambientes de nuvem (AWS, Azure, GCP) e redes corporativas.

Táticas, Técnicas, Sub-técnicas e Procedimentos

A estrutura hierárquica do ATT&CK possui quatro camadas distintas:

  • Tática — representa o objetivo tático do adversário em um determinado estágio do ataque (ex.: obter persistência, elevar privilégios, exfiltrar dados). Na matriz Enterprise existem 14 táticas.
  • Técnica — descreve como o adversário alcança o objetivo tático. Cada técnica recebe um identificador único (ex.: T1059 — Command and Scripting Interpreter). Uma mesma técnica pode ser relevante para múltiplas táticas.
  • Sub-técnica — especifica uma variante concreta da técnica pai (ex.: T1059.001 — PowerShell, T1059.003 — Windows Command Shell). Sub-técnicas facilitam a criação de regras de detecção mais precisas.
  • Procedimento — é a implementação real e documentada de uma técnica por um grupo APT ou ferramenta maliciosa específica (ex.: o APT29 usa T1059.001 por meio de scripts PowerShell ofuscados em campanhas de spear-phishing).

As três matrizes do ATT&CK

O MITRE mantém matrizes separadas para diferentes ambientes tecnológicos:

  • ATT&CK for Enterprise — a mais abrangente, cobre Windows, macOS, Linux, nuvem (IaaS, SaaS, Office 365, Google Workspace), redes e contêineres. É a referência primária para a maioria das equipes de segurança corporativa.
  • ATT&CK for Mobile — cobre dispositivos Android e iOS, com táticas específicas para aplicativos maliciosos, abuso de APIs móveis, interceptação de comunicações e acesso à câmera/microfone sem autorização.
  • ATT&CK for ICS — voltado a sistemas de controle industrial (SCADA, DCS, PLCs), com técnicas como manipulação de lógica de controle, inibição de funções de segurança e danos a equipamentos físicos. Fundamental para setores de energia, manufatura e infraestrutura crítica.

As 14 táticas da matriz Enterprise

ID Tática Objetivo do adversário
TA0043ReconnaissanceColetar informações sobre o alvo antes do ataque (OSINT, varreduras, engenharia social passiva)
TA0042Resource DevelopmentAdquirir infraestrutura, contas e ferramentas para suportar operações (domínios, servidores C2, malware)
TA0001Initial AccessObter o primeiro ponto de entrada na rede alvo (phishing, exploração de serviços públicos, supply chain)
TA0002ExecutionExecutar código malicioso no sistema comprometido (scripts, exploits, LOLBins)
TA0003PersistenceManter acesso mesmo após reinicializações, mudanças de credenciais ou limpezas parciais
TA0004Privilege EscalationObter permissões mais elevadas (administrador local, SYSTEM, root, Domain Admin)
TA0005Defense EvasionEvitar detecção por antivírus, EDR, SIEM e analistas (ofuscação, injeção de processo, living-off-the-land)
TA0006Credential AccessRoubar credenciais de autenticação (hashes, tokens, senhas em memória, keystroke logging)
TA0007DiscoveryMapear o ambiente interno: usuários, hosts, compartilhamentos, políticas e topologia de rede
TA0008Lateral MovementMover-se para outros sistemas dentro da rede usando credenciais ou exploits (Pass-the-Hash, RDP, SMB)
TA0009CollectionReunir dados de interesse antes da exfiltração (e-mails, arquivos, banco de dados, capturas de tela)
TA0011Command and ControlComunicar-se com sistemas comprometidos para enviar comandos e receber dados (C2 sobre HTTPS, DNS, Slack)
TA0010ExfiltrationTransferir dados coletados para fora da organização de forma furtiva (compressão, canais alternativos, nuvem)
TA0040ImpactManipular, interromper ou destruir sistemas e dados (ransomware, wiper, DDoS, sabotagem de OT)

ATT&CK Navigator: visualização e análise de cobertura

O ATT&CK Navigator é uma aplicação web open source disponível em attack.mitre.org/resources/attack-navigator que permite criar camadas (layers) sobre a matriz ATT&CK. Cada célula da matriz pode ser colorida, anotada ou pontuada. Os principais usos incluem:

  • Mapeamento de cobertura defensiva — marcar em verde as técnicas que seu EDR ou SIEM já detecta, em vermelho as sem cobertura, e em amarelo as com cobertura parcial.
  • Perfil de grupos APT — carregar o perfil de um grupo (ex.: Lazarus Group, APT41, Sandworm) diretamente do banco de dados MITRE para visualizar todas as técnicas que ele utiliza e comparar com sua cobertura.
  • Planejamento de red team — selecionar técnicas de alta frequência no setor-alvo para priorizar os exercícios de simulação de adversário.
  • Gap analysis — cruzar múltiplas camadas (ex.: técnicas usadas por APTs do setor financeiro versus cobertura atual do SOC) para identificar brechas prioritárias.

Casos de uso práticos do MITRE ATT&CK

Detecção e engenharia de detecção

Cada técnica ATT&CK inclui sugestões de fontes de dados e artefatos detectáveis (ex.: criação de processo, modificação de registro, conexão de rede). Engenheiros de detecção usam essas informações para escrever regras SIEM em Sigma, SPL (Splunk), KQL (Microsoft Sentinel) ou EQL (Elastic) mapeadas a IDs ATT&CK específicos. Isso permite que cada alerta gerado no SOC já venha classificado com a técnica correspondente, acelerando triagem e resposta.

Threat Hunting proativo

Threat hunters utilizam a matriz como roteiro de investigação: dado um grupo APT suspeito ou uma campanha ativa reportada por inteligência, eles buscam evidências das técnicas daquele grupo nos logs internos. Por exemplo, ao saber que o APT29 utiliza T1134.001 (Token Impersonation) para escalada de privilégio, o hunter procura eventos de impersonação de token nos logs do Windows Security.

Red Team e simulação de adversário

Times de red team profissionais estruturam operações inteiras em torno da emulação de um adversário específico, replicando suas TTPs documentadas no ATT&CK. Ferramentas como Atomic Red Team (Red Canary), CALDERA (MITRE) e Cobalt Strike mapeiam suas capacidades a técnicas ATT&CK, facilitando relatórios que o blue team entende diretamente. A emulação de adversário é mais valiosa que um pentest genérico porque reproduz comportamento real de agentes de ameaça relevantes para o setor.

Purple Team e validação de controles

O purple team combina red e blue em exercícios colaborativos: o red team executa uma técnica ATT&CK específica enquanto o blue team monitora em tempo real se os controles disparam. O resultado é um scorecard objetivo de cobertura (técnica X: detectada em Y segundos / não detectada) que alimenta diretamente o backlog de melhorias de detecção.

Gap Analysis e priorização de investimentos

O ATT&CK permite que CISOs apresentem lacunas de segurança em linguagem objetiva para o board: em vez de afirmar que “o EDR é insuficiente”, é possível mostrar que “65% das técnicas usadas pelos principais grupos APT do setor financeiro não são detectadas pelos controles atuais”. Isso transforma decisões de investimento em segurança de opiniões em dados.

Relação com MITRE D3FEND e CAR

O ecossistema MITRE oferece recursos complementares ao ATT&CK que amplificam seu valor:

  • MITRE D3FEND — ontologia de técnicas defensivas que mapeia contramedidas (como isolamento de rede, hardening de sistema, análise de comportamento de processo) diretamente às técnicas ATT&CK que mitigam. Disponível em d3fend.mitre.org, permite ao defensor identificar quais controles aplicar para cobrir determinada técnica.
  • MITRE CAR (Cyber Analytics Repository) — repositório de analíticas prontas expressas em pseudocódigo e implementações para Splunk, EQL e outras plataformas, cada uma mapeada a técnicas ATT&CK. É um ponto de partida valioso para equipes que estão iniciando a engenharia de detecção baseada em ATT&CK.

Integração com SIEM e EDR

A integração do ATT&CK com o stack tecnológico de segurança é direta e madura:

  • EDR — soluções como CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint e Carbon Black rotulam alertas com IDs ATT&CK automaticamente, permitindo que analistas do SOC vejam imediatamente a técnica associada a cada detecção.
  • SIEM — plataformas como Microsoft Sentinel, Splunk Enterprise Security e Elastic SIEM oferecem conteúdo out-of-the-box baseado em ATT&CK (regras, dashboards de cobertura, casos de uso prontos) e permitem criação de regras customizadas com tags ATT&CK.
  • Threat Intelligence Platforms (TIPs) — MISP, OpenCTI e similares permitem enriquecer IOCs com técnicas ATT&CK, criando contexto comportamental que vai além de simples hashes e IPs.
  • SOAR — playbooks de resposta a incidentes em plataformas como Palo Alto XSOAR e Swimlane são organizados por técnica ATT&CK, acelerando a automação de triagem e contenção.

Perguntas frequentes

O que é o MITRE ATT&CK Framework?

É uma base de conhecimento global, mantida pela MITRE Corporation, que documenta táticas, técnicas e procedimentos (TTPs) observados em ataques reais contra sistemas corporativos, mobile e industriais. Serve como linguagem comum entre equipes de segurança para descrever comportamentos de adversários e estruturar defesas baseadas em evidências.

Qual a diferença entre tática, técnica e sub-técnica no ATT&CK?

Tática representa o objetivo do adversário (ex.: Persistência). Técnica descreve como esse objetivo é alcançado (ex.: Scheduled Task/Job, T1053). Sub-técnica detalha uma variante específica (ex.: T1053.005 — Scheduled Task no Windows). Procedimento é a implementação concreta observada em um agente de ameaça real, como o uso de uma ferramenta específica por um grupo APT documentado.

Quais são as matrizes do MITRE ATT&CK?

Existem três matrizes principais: ATT&CK for Enterprise (Windows, macOS, Linux, nuvem e redes), ATT&CK for Mobile (Android e iOS) e ATT&CK for ICS (sistemas de controle industrial, como SCADA e PLCs). Cada matriz contém táticas e técnicas adaptadas ao ambiente correspondente, com fontes de dados e sugestões de detecção específicas.

O que é o ATT&CK Navigator e como ele é usado?

O ATT&CK Navigator é uma ferramenta web open source que permite visualizar e anotar a matriz ATT&CK em formato de grade interativa. Equipes de segurança o utilizam para mapear cobertura de detecção, comparar TTPs de grupos APT, planejar exercícios de red team e identificar lacunas de visibilidade em controles defensivos, gerando relatórios visuais compreensíveis para lideranças.

Como o MITRE ATT&CK se relaciona com D3FEND e CAR?

O MITRE D3FEND é o contraponto defensivo: mapeia técnicas de defesa (como isolamento de rede e análise de memória) diretamente às técnicas ATT&CK que mitigam. O CAR (Cyber Analytics Repository) fornece consultas analíticas prontas — em pseudocódigo e formatos como Splunk SPL ou EQL — para detectar técnicas ATT&CK específicas em logs e eventos de endpoint, acelerando a implementação de detecções.

Como integrar o MITRE ATT&CK com SIEM e EDR?

A maioria dos EDRs modernos já rotula alertas com IDs ATT&CK automaticamente. No SIEM, regras de detecção são criadas mapeando eventos de log a técnicas ATT&CK, permitindo dashboards de cobertura por tática e métricas objetivas de maturidade de detecção. Repositórios como Sigma Rules oferecem milhares de regras prontas traduzíveis para qualquer SIEM, cada uma referenciando a técnica ATT&CK correspondente.

A Decripte e o MITRE ATT&CK

A Decripte utiliza o framework MITRE ATT&CK como base estrutural em todas as suas operações de segurança. No SOC gerenciado, cada alerta é classificado por técnica ATT&CK, os dashboards exibem cobertura por tática em tempo real e os relatórios mensais entregues a clientes mostram quais técnicas foram tentadas contra o ambiente e como foram detectadas ou bloqueadas. Nas operações de Red Team, a Decripte conduz emulação de adversário baseada em ATT&CK — selecionando grupos APT relevantes para o setor do cliente e reproduzindo fielmente suas TTPs — para gerar relatórios que o blue team consegue endereçar diretamente com melhorias de detecção mensuráveis. Esse modelo é aplicado a organizações de todos os portes, do MEI à empresa com mais de 100.000 colaboradores, com profundidade de cobertura e priorização ajustadas à realidade de cada negócio.