# DET0849 — Detection of Identify Business Tempo ## Descrição Esta estratégia de detecção foca na identificação de adversários que realizam reconhecimento sobre o ritmo operacional de uma organização-alvo — coletando informações sobre horários de funcionamento, ciclos de negócios, calendários de manutenção e padrões de atividade. Adversários utilizam essas informações para sincronizar ataques com momentos de menor vigilância, como períodos de férias corporativas ou janelas de manutenção noturna. O reconhecimento de tempo de negócios geralmente ocorre durante a fase de [[t1591-gather-victim-org-information|Coleta de Informações Organizacionais]], onde atores de ameaça buscam públicamente em comúnicados de imprensa, redes sociais corporativas e relatórios anuais para mapear os ciclos operacionais da vítima. Grupos como [[g0016-apt29|APT29]] e atores de ransomware frequentemente demonstram conhecimento detalhado do timing operacional de suas vítimas. A detecção é fundamentalmente baseada em monitoramento de OSINT externo — verificar quais dados da organização estão públicamente disponíveis que revelariam padrões temporais. Internamente, análises de acesso em horários atípicos e correlação com calendários de negócios podem indicar que um adversário já possui esse conhecimento e está operando de acordo com ele. ## Indicadores de Detecção - Tentativas de acesso a sistemas em períodos incomuns correlacionados com datas conhecidas de baixa atividade (feriados, férias coletivas) - Consultas a páginas públicas de "sobre nós", comúnicados de imprensa e relatórios anuais em padrões sugestivos de scraping automatizado - Aumento de varreduras ou tentativas de intrusão em períodos pós-horário comercial, especialmente em vésperas de eventos corporativos - Picos de requisições a páginas de contato e estrutura organizacional a partir de IPs de data centers ou proxies ## Técnicas Relacionadas - [[t1591-gather-victim-org-information|T1591 — Gather Victim Org Information]] - [[t1589-gather-victim-identity-information|T1589 — Gather Victim Identity Information]] - [[t1590-gather-victim-network-information|T1590 — Gather Victim Network Information]] - [[t1593-search-open-websitesdomains|T1593 — Search Open Websites/Domains]] ## Analytics Relacionadas - [[an1981-analytic-1981|AN1981 — Analytic 1981]] --- *Fonte: [MITRE ATT&CK — DET0849](https://attack.mitre.org/detectionstrategies/DET0849)*