# M1055 — Do Not Mitigaté ## Descrição > [!note] Categoria Especial MITRE ATT&CK > **M1055 não é uma mitigação técnica convencional.** Esta entrada representa técnicas onde o MITRE ATT&CK determina que a tentativa de mitigação direta pode ser contraproducente, introduzir novos riscos ou comprometer a postura de segurança geral. A abordagem recomendada para estas técnicas é **detecção, monitoramento e resposta** — não bloqueio. ## Visão Geral As técnicas associadas ao M1055, como [[t1480-execution-guardrails|T1480 — Execution Guardrails]] e suas sub-técnicas ([[t1480-001-environmental-keying|T1480.001 — Environmental Keying]] e [[t1480-002-mutual-exclusion|T1480.002 — Mutual Exclusion]]), são mecanismos que o próprio adversário usa para restringir a execução do seu malware a ambientes-alvo específicos. Tentar "mitigar" guardrails adversariais pode interferir com detecção e análise de ameaças. ### Por que não mitigar? | Cenário | Risco da Mitigação Direta | |---------|--------------------------| | Sistemas legados (ICS/SCADA) | Patches podem causar instabilidade operacional ou paradas não planejadas | | Guardrails adversariais (T1480) | Bloquear o mecanismo pode mascarar a ameaça — melhor monitorar | | Alta interconexão | Mitigações em um componente introduzem vulnerabilidades em adjacentes | | Criptografia em produção | Adicionar camadas pode degradar sistemas de transações em tempo real | ### Abordagens alternativas recomendadas Em vez de mitigação direta, o MITRE recomenda para estas técnicas: - **Detecção comportamental:** Monitorar padrões de execução condicional em malware (verificações de mutex, fingerprinting de ambiente) - **Threat hunting:** Investigar ativamente artefatos de [[t1480-001-environmental-keying|Environmental Keying]] em amostras suspeitas - **Análise de malware:** Usar sandboxes ([[_defenses|defesas]]) para identificar condições de ativação de guardrails - **Monitoramento de processo:** Rastrear criação de mutexes ([[t1480-002-mutual-exclusion|T1480.002]]) como indicador de infecção ## Fluxo de Decisão — Quando Não Mitigar ```mermaid graph TB A["🔍 Técnica Identificada<br/>T1480 Execution Guardrails"] --> B{"Sistema Crítico<br/>ou Legado?"} B -->|"Sim"| C["⚠️ Avaliar Impacto<br/>Downtime vs. Risco"] B -->|"Não"| D["📊 Análise de Trade-off<br/>Mitigação vs. Visibilidade"] C --> E["🚫 Não Mitigar Diretamente<br/>M1055 aplicável"] D --> E E --> F["👁️ Detectar via Sandbox<br/>Análise comportamental"] F --> G["🔎 Threat Hunting<br/>Mutex, env fingerprint"] G --> H["📋 Documentar IOCs<br/>Condições de ativação"] ``` ## Contexto LATAM > [!info] Perspectiva para SOCs Brasileiros > O conceito de "Não Mitigar" é frequentemente mal compreendido em programas de segurança no Brasil, onde frameworks de compliance tendem a exigir controles técnicos explícitos para cada ameaça identificada. A abordagem M1055 requer maturidade analítica para justificar a **ausência intencional de bloqueio** como decisão de segurança. > > **Regulações relevantes:** > - **BACEN 4893/2021**: A resolução exige que instituições financeiras documentem e justifiquem decisões de aceitação de risco. A adoção de M1055 deve ser formalmente registrada no processo de gestão de riscos cibernéticos, com alternativas compensatórias (detecção, monitoramento) claramente documentadas. > - **LGPD (Lei 13.709/2018)**: Técnicas como [[t1480-001-environmental-keying|Environmental Keying]] são usadas por malware para evadir sandboxes e comprometer sistemas que processam dados pessoais. A ANPD pode questionar a adequação de controles caso um incidente envolva técnicas desta categoria sem plano de detecção documentado. > - **PNSI / Decreto 9.637/2018**: Em infraestruturas críticas nacionais (energia, telecomúnicações), a decisão de não mitigar determinadas técnicas exige parecer formal da equipe de segurança e comunicação ao DSIC/GSI quando aplicável. > > **Realidade dos SOCs:** A maioria dos times brasileiros não possui playbooks formais para técnicas M1055. A recomendação prática é incluir [[t1480-execution-guardrails|T1480]] e sub-técnicas no programa de threat hunting, especialmente em análise de amostras de malware coletadas via feeds como [[_sources|fontes CTI]] do RunkIntel. ## Técnicas Associadas (Detecção em vez de Bloqueio) | ID | Técnica | Abordagem | |---|---------|-----------| | T1480 | [[t1480-execution-guardrails\|T1480 — Execution Guardrails]] | Monitoramento comportamental | | T1480.002 | [[t1480-002-mutual-exclusion\|T1480.002 — Mutual Exclusion]] | Rastreamento de criação de mutexes | | T1480.001 | [[t1480-001-environmental-keying\|T1480.001 — Environmental Keying]] | Análise de fingerprinting em sandbox | ## Notas Relacionadas - [[_defenses|Hub de Defesas]] — visão geral defensiva - [[_mitigations|Todas as Mitigações]] — catálogo M-series completo - [[m1047-audit|M1047 — Audit]] — auditoria como alternativa ao bloqueio - [[ds0009-process|DS0009 — Process]] — detecção de criação de mutex e execução condicional --- *Fonte: [MITRE ATT&CK — M1055](https://attack.mitre.org/mitigations/M1055)*