# M1017 — User Training ## Descrição O User Training envolve a educação de colaboradores e terceiros sobre como reconhecer, relatar e prevenir ameaças cibernéticas que dependem da interação humana, como phishing, engenharia social e outras técnicas manipulativas. Programas de treinamento abrangentes criam um firewall humano ao capacitar os usuários a serem componentes ativos da defesa cibernética da organização. Esta mitigação pode ser implementada por meio das seguintes medidas: Criar Programas de Treinamento Abrangentes: - Desenvolver módulos de treinamento adaptados ao perfil de risco da organização, cobrindo tópicos como phishing, gerenciamento de senhas e reporte de incidentes. - Fornecer treinamento específico por função para colaboradores de alto risco, como equipe de helpdesk ou executivos. Utilizar Exercícios Simulados: - Conduzir simulações de phishing para medir a suscetibilidade dos usuários e fornecer treinamento de acompanhamento direcionado. - Executar simulações de engenharia social para avaliar as respostas dos colaboradores e reforçar protocolos. Utilizar Gamificação e Engajamento: - Introduzir métodos de aprendizado interativos, como quizzes, desafios gamificados e recompensas pela detecção e reporte bem-sucedidos de ameaças. Incorporar Políticas de Segurança no Onboarding: - Incluir treinamento de cibersegurança como parte do processo de integração de novos colaboradores. - Fornecer materiais de fácil compreensão descrevendo políticas de uso aceitável e procedimentos de reporte. Cursos de Reciclagem Regulares: - Atualizar materiais de treinamento para incluir ameaças emergentes e técnicas usadas por adversários. - Garantir que todos os colaboradores completem cursos periódicos de reciclagem para se manterem informados. Enfatizar Cenários do Mundo Real: - Usar estudos de caso de ataques recentes para demonstrar as consequências de phishing ou engenharia social bem-sucedidos. - Discutir como ações específicas dos colaboradores podem prevenir ou mitigar tais ataques. ## Fluxo de Implementação ```mermaid graph TB A["Avaliar Risco<br/>Identificar perfis de alto risco"] --> B["Desenvolver Programa<br/>Módulos por função e ameaça"] B --> C["Executar Treinamento<br/>Onboarding + simulações phishing"] C --> D["Medir Resultados<br/>Taxa de clique, relatos"] D --> E["Atualizar Conteúdo<br/>Novas ameaças e TTPs"] E --> C ``` ## Contexto LATAM > [!globe] Relevância Regional > O User Training é uma das mitigações mais críticas no Brasil, onde campanhas de phishing em português têm alta taxa de sucesso contra colaboradores não treinados. Grupos como [[g0032-lazarus-group]] e operadores de ransomware como [[lockbit]] adaptam isca para o contexto brasileiro (BECs com tema fiscal, DANFE falso, PIX fraudulento). > - Adoção em SOCs brasileiros: médio > - Regulamentações relevantes: LGPD (Art. 46 — medidas técnicas e administrativas), BACEN 4893 (educação em cibersegurança para IFs), Marco Civil da Internet > - Desafios regionais: alta rotatividade de colaboradores, orçamento limitado para plataformas de treinamento, lacuna de conscientização em PMEs ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1656 | [[t1656-impersonation\|T1656 — Impersonation]] | | T1566.003 | [[t1566-003-spearphishing-via-service\|T1566.003 — Spearphishing via Service]] | | T1566.004 | [[t1566-004-spearphishing-voice\|T1566.004 — Spearphishing Voice]] | | T1204 | [[t1204-user-execution\|T1204 — User Execution]] | | T1213.003 | [[t1213-003-code-repositories\|T1213.003 — Code Repositories]] | | T1552 | [[t1552-unsecured-credentials\|T1552 — Unsecured Credentials]] | | T1213.006 | [[t1213-006-databases\|T1213.006 — Databases]] | | T1036 | [[t1036-masquerading\|T1036 — Masquerading]] | | T1213 | [[t1213-data-from-information-repositories\|T1213 — Data from Information Repositories]] | | T1598 | [[t1598-phishing-for-information\|T1598 — Phishing for Information]] | | T1213.001 | [[t1213-001-confluence\|T1213.001 — Confluence]] | | T1078.002 | [[t1078-002-domain-accounts\|T1078.002 — Domain Accounts]] | | T1557.002 | [[t1557-002-arp-cache-poisoning\|T1557.002 — ARP Cache Poisoning]] | | T1598.003 | [[t1598-003-spearphishing-link\|T1598.003 — Spearphishing Link]] | | T1213.005 | [[t1213-005-messaging-applications\|T1213.005 — Messaging Applications]] | | T1598.004 | [[t1598-004-spearphishing-voice\|T1598.004 — Spearphishing Voice]] | | T1213.004 | [[t1213-004-customer-relationship-management-software\|T1213.004 — Customer Relationship Management Software]] | | T1598.001 | [[t1598-001-spearphishing-service\|T1598.001 — Spearphishing Service]] | | T1557 | [[t1557-adversary-in-the-middle\|T1557 — Adversary-in-the-Middle]] | | T1003.005 | [[t1003-005-cached-domain-credentials\|T1003.005 — Cached Domain Credentials]] | | T1003 | [[t1003-os-credential-dumping\|T1003 — OS Credential Dumping]] | | T1003.003 | [[t1003-003-ntds\|T1003.003 — NTDS]] | | T1185 | [[t1185-browser-session-hijacking\|T1185 — Browser Session Hijacking]] | | T1072 | [[t1072-software-deployment-tools\|T1072 — Software Deployment Tools]] | | T1204.003 | [[t1204-003-malicious-image\|T1204.003 — Malicious Image]] | | T1657 | [[t1657-financial-theft\|T1657 — Financial Theft]] | | T1555.005 | [[t1555-005-password-managers\|T1555.005 — Password Managers]] | | T1552.001 | [[t1552-001-credentials-in-files\|T1552.001 — Credentials In Files]] | | T1036.007 | [[t1036-007-double-file-extension\|T1036.007 — Double File Extension]] | | T1111 | [[t1111-multi-factor-authentication-interception\|T1111 — Multi-Factor Authentication Interception]] | | T1204.005 | [[t1204-005-malicious-library\|T1204.005 — Malicious Library]] | | T1528 | [[t1528-steal-application-access-token\|T1528 — Steal Application Access Token]] | | T1555.003 | [[t1555-003-credentials-from-web-browsers\|T1555.003 — Credentials from Web Browsers]] | | T1598.002 | [[t1598-002-spearphishing-attachment\|T1598.002 — Spearphishing Attachment]] | | T1176.002 | [[t1176-002-ide-extensions\|T1176.002 — IDE Extensions]] | | T1176 | [[t1176-software-extensions\|T1176 — Software Extensions]] | | T1221 | [[t1221-template-injection\|T1221 — Templaté Injection]] | | T1003.001 | [[t1003-001-lsass-memory\|T1003.001 — LSASS Memory]] | | T1056.002 | [[t1056-002-gui-input-capture\|T1056.002 — GUI Input Capture]] | | T1556.001 | [[t1556-001-domain-controller-authentication\|T1556.001 — Domain Controller Authentication]] | | T1557.004 | [[t1557-004-evil-twin\|T1557.004 — Evil Twin]] | | T1176.001 | [[t1176-001-browser-extensions\|T1176.001 — Browser Extensions]] | | T1566.001 | [[t1566-001-spearphishing-attachment\|T1566.001 — Spearphishing Attachment]] | | T1189 | [[t1189-drive-by-compromise\|T1189 — Drive-by Compromise]] | | T1078.004 | [[t1078-004-cloud-accounts\|T1078.004 — Cloud Accounts]] | | T1213.002 | [[t1213-002-sharepoint\|T1213.002 — Sharepoint]] | | T1566.002 | [[t1566-002-spearphishing-link\|T1566.002 — Spearphishing Link]] | | T1552.008 | [[t1552-008-chat-messages\|T1552.008 — Chat Messages]] | | T1204.001 | [[t1204-001-malicious-link\|T1204.001 — Malicious Link]] | | T1204.002 | [[t1204-002-malicious-file\|T1204.002 — Malicious File]] | | T1003.002 | [[t1003-002-security-account-manager\|T1003.002 — Security Account Manager]] | | T1003.004 | [[t1003-004-lsa-secrets\|T1003.004 — LSA Secrets]] | | T1078 | [[t1078-valid-accounts\|T1078 — Valid Accounts]] | | T1566 | [[t1566-phishing\|T1566 — Phishing]] | | T1667 | [[t1667-email-bombing\|T1667 — Email Bombing]] | | T1027 | [[t1027-obfuscated-files-or-information\|T1027 — Obfuscated Files or Information]] | | T1547.007 | [[t1547-007-re-opened-applications\|T1547.007 — Re-opened Applications]] | | T1539 | [[t1539-steal-web-session-cookie\|T1539 — Steal Web Session Cookie]] | | T1621 | [[t1621-multi-factor-authentication-request-generation\|T1621 — Multi-Factor Authentication Request Generation]] | --- *Fonte: [MITRE ATT&CK — M1017](https://attack.mitre.org/mitigations/M1017)*