# M1056 — Pre-compromise ## Visão Geral > - Regulamentações relevantes: LGPD (proteção de dados de colaboradores expostos públicamente), Marco Civil da Internet (monitoramento de menções online), BACEN 4893 (proteção de canais digitais) > - Desafios regionais: baixa cultura de higiene digital em redes sociais, dificuldade de monitorar domínios lookalike em ccTLD .br, custo de serviços de EASM commercial *Fonte: [MITRE ATT&CK — M1056](https://attack.mitre.org/mitigations/M1056)* ## Descrição As mitigações pré-comprometimento envolvem medidas proativas e defesas implementadas para impedir que adversários identifiquem e explorem fragilidades com sucesso durante as fases de Reconhecimento e Desenvolvimento de Recursos de um ataque. Essas atividades focam em reduzir a superfície de ataque da organização, identificar esforços de preparação adversarial e aumentar a dificuldade para que atacantes conduzam operações bem-sucedidas. Esta mitigação pode ser implementada por meio das seguintes medidas: ```mermaid graph TB A["🔍 OSINT Monitoramento<br/>SpiderFoot + exposição pública"] --> B["🌐 Proteção de Domínio<br/>DNSSEC + WHOIS privacy"] B --> C["📡 Attack Surface<br/>Shodan / Censys scan externo"] C --> D["📧 Proteção de Email<br/>SPF + DKIM + DMARC"] D --> E["🧠 Threat Intelligence<br/>MISP + Recorded Future"] E --> F["👥 Treinamento<br/>Conscientização anti-phishing"] ``` Limitar a Exposição de Informações: - Audite e sanitize regularmente os dados públicamente disponíveis, incluindo vagas de emprego, sites e redes sociais. - Use ferramentas de monitoramento OSINT (ex.: SpiderFoot, Recon-ng) para identificar informações vazadas. Proteger a Infraestrutura de Domínio e DNS: - Habilite DNSSEC e use proteção de privacidade WHOIS. - Monitore sequestro de domínio ou domínios lookalike usando serviços como RiskIQ ou DomainTools. Monitoramento Externo: - Use ferramentas como Shodan e Censys para monitorar sua superfície de ataque externa. - Implante scanners de vulnerabilidade externos para tratar proativamente as fragilidades. Inteligência de Ameaças: - Utilize plataformas como MISP, Recorded Future ou Anomali para rastrear infraestrutura, ferramentas e atividades adversariais. Proteções de Conteúdo e E-mail: - Use soluções de segurança de e-mail como Proofpoint, Microsoft Defender for Office 365 ou Mimecast. - Aplique políticas SPF/DKIM/DMARC para proteção contra email spoofing. Treinamento e Conscientização: - Treine os funcionários para identificar tentativas de phishing, proteger suas redes sociais e evitar vazamentos de informações. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1595 | [[t1595-active-scanning\|T1595 — Active Scanning]] | | T1591 | [[t1591-gather-victim-org-information\|T1591 — Gather Victim Org Information]] | | T1585.003 | [[t1585-003-cloud-accounts\|T1585.003 — Cloud Accounts]] | | T1588.006 | [[t1588-006-vulnerabilities\|T1588.006 — Vulnerabilities]] | | T1588.007 | [[t1588-007-artificial-intelligence\|T1588.007 — Artificial Intelligence]] | | T1588.004 | [[t1588-004-digital-certificates\|T1588.004 — Digital Certificates]] | | T1583.002 | [[t1583-002-dns-server\|T1583.002 — DNS Server]] | | T1583.004 | [[t1583-004-server\|T1583.004 — Server]] | | T1587.002 | [[t1587-002-code-signing-certificates\|T1587.002 — Code Signing Certificates]] | | T1590.006 | [[t1590-006-network-security-appliances\|T1590.006 — Network Security Appliances]] | | T1590.003 | [[t1590-003-network-trust-dependencies\|T1590.003 — Network Trust Dependencies]] | | T1596.001 | [[t1596-001-dnspassive-dns\|T1596.001 — DNS/Passive DNS]] | | T1587 | [[t1587-develop-capabilities\|T1587 — Develop Capabilities]] | | T1584.004 | [[t1584-004-server\|T1584.004 — Server]] | | T1589.001 | [[t1589-001-credentials\|T1589.001 — Credentials]] | | T1592.002 | [[t1592-002-software\|T1592.002 — Software]] | | T1588.002 | [[t1588-002-tool\|T1588.002 — Tool]] | | T1584.001 | [[t1584-001-domains\|T1584.001 — Domains]] | | T1595.003 | [[t1595-003-wordlist-scanning\|T1595.003 — Wordlist Scanning]] | | T1584.007 | [[t1584-007-serverless\|T1584.007 — Serverless]] | | T1591.003 | [[t1591-003-identify-business-tempo\|T1591.003 — Identify Business Tempo]] | | T1588.003 | [[t1588-003-code-signing-certificates\|T1588.003 — Code Signing Certificates]] | | T1589 | [[t1589-gather-victim-identity-information\|T1589 — Gather Victim Identity Information]] | | T1596 | [[t1596-search-open-technical-databases\|T1596 — Search Open Technical Databases]] | | T1585 | [[t1585-establish-accounts\|T1585 — Establish Accounts]] | | T1590.005 | [[t1590-005-ip-addresses\|T1590.005 — IP Addresses]] | | T1586.001 | [[t1586-001-social-media-accounts\|T1586.001 — Social Media Accounts]] | | T1589.003 | [[t1589-003-employee-names\|T1589.003 — Employee Names]] | | T1594 | [[t1594-search-victim-owned-websites\|T1594 — Search Victim-Owned Websites]] | | T1608.006 | [[t1608-006-seo-poisoning\|T1608.006 — SEO Poisoning]] | | T1587.003 | [[t1587-003-digital-certificates\|T1587.003 — Digital Certificates]] | | T1597.001 | [[t1597-001-threat-intel-vendors\|T1597.001 — Threat Intel Vendors]] | | T1585.001 | [[t1585-001-social-media-accounts\|T1585.001 — Social Media Accounts]] | | T1589.002 | [[t1589-002-email-addresses\|T1589.002 — Email Addresses]] | | T1593.002 | [[t1593-002-search-engines\|T1593.002 — Search Engines]] | | T1583.007 | [[t1583-007-serverless\|T1583.007 — Serverless]] | | T1587.001 | [[t1587-001-malware\|T1587.001 — Malware]] | | T1608.001 | [[t1608-001-upload-malware\|T1608.001 — Upload Malware]] | | T1586.002 | [[t1586-002-email-accounts\|T1586.002 — Email Accounts]] | | T1590 | [[t1590-gather-victim-network-information\|T1590 — Gather Victim Network Information]] | | T1681 | [[t1681-search-threat-vendor-data\|T1681 — Search Threat Vendor Data]] | | T1608.004 | [[t1608-004-drive-by-target\|T1608.004 — Drive-by Target]] | | T1583.005 | [[t1583-005-botnet\|T1583.005 — Botnet]] | | T1596.004 | [[t1596-004-cdns\|T1596.004 — CDNs]] | | T1597 | [[t1597-search-closed-sources\|T1597 — Search Closed Sources]] | | T1591.001 | [[t1591-001-determine-physical-locations\|T1591.001 — Determine Physical Locations]] | | T1583.006 | [[t1583-006-web-services\|T1583.006 — Web Services]] | | T1584.005 | [[t1584-005-botnet\|T1584.005 — Botnet]] | | T1595.001 | [[t1595-001-scanning-ip-blocks\|T1595.001 — Scanning IP Blocks]] | | T1584.003 | [[t1584-003-virtual-private-server\|T1584.003 — Virtual Private Server]] | | T1597.002 | [[t1597-002-purchase-technical-data\|T1597.002 — Purchase Technical Data]] | | T1592.004 | [[t1592-004-client-configurations\|T1592.004 — Client Configurations]] | | T1592 | [[t1592-gather-victim-host-information\|T1592 — Gather Victim Host Information]] | | T1585.002 | [[t1585-002-email-accounts\|T1585.002 — Email Accounts]] | | T1595.002 | [[t1595-002-vulnerability-scanning\|T1595.002 — Vulnerability Scanning]] | | T1583 | [[t1583-acquire-infrastructure\|T1583 — Acquire Infrastructure]] | | T1591.002 | [[t1591-002-business-relationships\|T1591.002 — Business Relationships]] | | T1592.001 | [[t1592-001-hardware\|T1592.001 — Hardware]] | | T1584.002 | [[t1584-002-dns-server\|T1584.002 — DNS Server]] | | T1584.006 | [[t1584-006-web-services\|T1584.006 — Web Services]] | | T1590.004 | [[t1590-004-network-topology\|T1590.004 — Network Topology]] | | T1586.003 | [[t1586-003-cloud-accounts\|T1586.003 — Cloud Accounts]] | | T1583.001 | [[t1583-001-domains\|T1583.001 — Domains]] | | T1590.001 | [[t1590-001-domain-properties\|T1590.001 — Domain Properties]] | | T1608.003 | [[t1608-003-install-digital-certificate\|T1608.003 — Install Digital Certificaté]] | | T1583.003 | [[t1583-003-virtual-private-server\|T1583.003 — Virtual Private Server]] | | T1587.004 | [[t1587-004-exploits\|T1587.004 — Exploits]] | | T1588.001 | [[t1588-001-malware\|T1588.001 — Malware]] | | T1586 | [[t1586-compromise-accounts\|T1586 — Compromise Accounts]] | | T1588 | [[t1588-obtain-capabilities\|T1588 — Obtain Capabilities]] | | T1596.003 | [[t1596-003-digital-certificates\|T1596.003 — Digital Certificates]] | | T1592.003 | [[t1592-003-firmware\|T1592.003 — Firmware]] | | T1583.008 | [[t1583-008-malvertising\|T1583.008 — Malvertising]] | | T1608.005 | [[t1608-005-link-target\|T1608.005 — Link Target]] | | T1596.002 | [[t1596-002-whois\|T1596.002 — WHOIS]] | | T1588.005 | [[t1588-005-exploits\|T1588.005 — Exploits]] | | T1608 | [[t1608-stage-capabilities\|T1608 — Stage Capabilities]] | | T1584.008 | [[t1584-008-network-devices\|T1584.008 — Network Devices]] | | T1591.004 | [[t1591-004-identify-roles\|T1591.004 — Identify Roles]] | | T1584 | [[t1584-compromise-infrastructure\|T1584 — Compromise Infrastructure]] | | T1596.005 | [[t1596-005-scan-databases\|T1596.005 — Scan Databases]] | | T1593.001 | [[t1593-001-social-media\|T1593.001 — Social Media]] | | T1650 | [[t1650-acquire-access\|T1650 — Acquire Access]] | | T1608.002 | [[t1608-002-upload-tool\|T1608.002 — Upload Tool]] | --- ## Contexto LATAM > [!globe] Relevância Regional > Mitigações pré-compromisso são pouco práticadas no Brasil fora de grandes organizações com equipes de threat intelligence dedicadas. Atores como Lapsus$ demonstraram como a exposição de informações públicas de funcionários brasileiros no LinkedIn facilitou ataques de engenharia social e SIM swapping. O monitoramento de superfície de ataque externa (EASM) é um mercado emergente no Brasil, com empresas como Tempest e CrowdStrike oferecendo serviços locais. A proteção de domínios lookalike é especialmente relevante dado o volume de fraudes com clonagem de sites de bancos brasileiros. > - Adoção em SOCs brasileiros: baixo (exceto grandes bancos e empresas de telecom)