# MITRE ATT&CK > [!abstract] Síntese > O MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) é a base de conhecimento mais utilizada globalmente para documentar e categorizar o comportamento de adversários em ataques cibernéticos reais. Mantido pela MITRE Corporation, o framework é referência obrigatória para SOCs, red teams, blue teams e plataformas de CTI. O RunkIntel usa o ATT&CK como espinha dorsal do seu knowledge graph - toda técnica, tática e procedimento documentado no vault está mapeado para o framework. --- ## Visão Geral O MITRE ATT&CK nasceu em 2013 de um projeto interno da MITRE Corporation para documentar o comportamento real de adversários em redes Windows corporativas - não teorias acadêmicas, mas técnicas observadas em ataques reais. O que diferencia o ATT&CK de frameworks anteriores como o [[cyber-kill-chain|Cyber Kill Chain]] é a granularidade: em vez de 7 fases abstratas, o ATT&CK cataloga centenas de técnicas específicas com evidências de uso por atores documentados, procedimentos de detecção e mitigações correspondentes. O impacto na comunidade de segurança foi transformador. Pela primeira vez, defensores podiam responder com precisão à pergunta "o que adversários fazem depois de entrar na rede?" - e mapear suas capacidades de detecção contra essa resposta. O ATT&CK Navigator, ferramenta gratuita do MITRE, permite visualizar cobertura defensiva como um heatmap sobre a matriz de táticas e técnicas. Hoje o framework é atualizado semestralmente com contribuições da comunidade global e é referenciado em mandatos regulatórios de múltiplos países, incluindo o Brasil via BACEN e CTIR Gov. > [!latam] Relevância para o Brasil e LATAM > O MITRE ATT&CK é a linguagem comum da comunidade de CTI brasileira. O CTIR Gov utiliza o framework para classificar e priorizar incidentes em órgãos federais. Grandes bancos usam o ATT&CK Navigator para medir lacunas na cobertura do SOC contra as técnicas favoritas de grupos como Lazarus Group e Blind Eagle. O RunkIntel mapeia cada perfil de grupo, malware e campanha para técnicas ATT&CK específicas, criando um knowledge graph navegável para a comunidade de segurança do Brasil e LATAM. --- ## O que é o MITRE ATT&CK O ATT&CK foi criado em 2013 pela MITRE Corporation a partir de observações de ataques reais contra redes corporativas Windows. Hoje cobre **três matrizes principais**: - **ATT&CK Enterprise** - Windows, macOS, Linux, Cloud, Containers, Network, SaaS - **ATT&CK Mobile** - Android e iOS - **ATT&CK ICS** - Sistemas de controle industrial (SCADA, OT) A estrutura é organizada em **Táticas** (o "por que" do ataque), **Técnicas** (o "como"), e **Sub-técnicas** (variação específica de uma técnica). Os **Procedimentos** descrevem como atores específicos usam determinada técnica. --- ## As 14 Táticas do ATT&CK Enterprise ```mermaid graph TB ATT["🎯 MITRE ATT&CK Enterprise<br/>14 Táticas"] ATT --> T1["TA0043<br/>Reconhecimento"] ATT --> T2["TA0042<br/>Desenvolvimento de Recursos"] ATT --> T3["TA0001<br/>Acesso Inicial"] ATT --> T4["TA0002<br/>Execução"] ATT --> T5["TA0003<br/>Persistência"] ATT --> T6["TA0004<br/>Escalação de Privilégios"] ATT --> T7["TA0005<br/>Evasão de Defesas"] ATT --> T8["TA0006<br/>Acesso a Credenciais"] ATT --> T9["TA0007<br/>Descoberta"] ATT --> T10["TA0008<br/>Movimento Lateral"] ATT --> T11["TA0009<br/>Coleta"] ATT --> T12["TA0011<br/>Comando e Controle"] ATT --> T13["TA0010<br/>Exfiltração"] ATT --> T14["TA0040<br/>Impacto"] style ATT fill:#1a1a2e,stroke:#e94560,color:#fff ``` > As 14 táticas estão documentadas no vault: [[_tactics|Táticas ATT&CK]]. As técnicas individuais estão em [[_techniques|Técnicas ATT&CK]]. --- ## Estrutura Hierárquica | Nível | Exemplo | Descrição | | ----- | ------- | --------- | | Tática | TA0001 - Initial Access | Objetivo do adversário nessa fase | | Técnica | T1566 - Phishing | Método usado para atingir o objetivo | | Sub-técnica | T1566.001 - Spearphishing Attachment | Variante específica da técnica | | Procedimento | APT29 usa T1566.001 com doc Word + macro | Uso real por ator específico | O RunkIntel documenta técnicas individuais com mapeamentos de atores e campanhas. Cada nota de técnica inclui: - ID e nome MITRE - Tática correspondente - Grupos que utilizam a técnica - Mitigações e detecções disponíveis --- ## Como o RunkIntel Usa o ATT&CK O ATT&CK é a **espinha dorsal estrutural** do vault RunkIntel: | Seção do Vault | Relação com ATT&CK | | -------------- | ------------------- | | [[_techniques\|ttp/techniques/]] | Notas individuais por técnica ATT&CK | | [[_tactics\|ttp/tactics/]] | Visões gerais das 14 táticas | | [[_mitigations\|defenses/mitigations/]] | Mitigações M-series mapeadas por técnica | | [[_detections\|defenses/detections/]] | Detecções e analytics por técnica | | [[_data-sources\|defenses/data-sources/]] | Data sources DS-series do ATT&CK | | [[_groups\|cti/groups/]] | Grupos com técnicas mapeadas | | [[_campaigns\|cti/campaigns/]] | Campanhas com kill chain mapeada | --- ## Uso Defensivo - ATT&CK para Blue Team O ATT&CK permite que times defensivos respondam a perguntas concretas: **Cobertura de detecção:** "Quais das 600+ técnicas ATT&CK nós detectamos hoje?" **Gap analysis:** "Quais técnicas usadas por grupos que nos ameaçam ficam sem cobertura?" **Priorização:** "Qual técnica aparece em mais campanhas contra o setor financeiro brasileiro?" Ferramentas como **ATT&CK Navigator** permitem visualizar cobertura de detecção e priorizar investimentos em controles e [[_mitigations|mitigações]]. --- ## ATT&CK e Threat Intelligence O ATT&CK é o vocabulário comum que conecta diferentes fontes de CTI: - Relatórios de [[_groups|grupos APT]] citam técnicas ATT&CK - [[_campaigns|Campanhas]] são mapeadas como kill chains de técnicas - [[_feed|Feed CTI]] prioriza itens com novas técnicas ou técnicas emergentes - [[_intel/insights|Insights LATAM]] analisam tendências de TTPs por região --- ## Relevância para o Brasil No Brasil, o MITRE ATT&CK é referênciado por: - **BACEN** (Resolução 4.893): exige gestão de ciber-riscos com base em ameaças reais - ATT&CK fornece o catálogo - **ANPD**: orientações técnicas de segurança alinham com controles mapeados no ATT&CK - **CTIR Gov** (DSIC): utiliza ATT&CK para categorizar incidentes em órgãos federais - **Grandes bancos e fintechs**: usam ATT&CK Navigator internamente para medir maturidade do SOC Grupos que atacam o Brasil ativamente - como [[g0032-lazarus-group|Lazarus Group]], grupos de ransomware e atores de crime financeiro - têm seus TTPs documentados no ATT&CK. O RunkIntel cruza essas informações com o contexto LATAM em cada perfil de grupo. --- ## Referências - [MITRE ATT&CK Official](https://attack.mitre.org/) - [ATT&CK Navigator](https://mitre-attack.github.io/attack-navigator/) - [ATT&CK for ICS](https://attack.mitre.org/matrices/ics/) - [CTIR Gov - Métodologia](https://www.ctir.gov.br/) - [CISA - ATT&CK e Zero Trust](https://www.cisa.gov/resources-tools/resources/cisa-zero-trust-maturity-model) --- ← Voltar para **[[_regulations|Regulações]]** · **[[_market|Market Intelligence]]**