O que é MITRE ATT&CK?
MITRE ATT&CK é uma base de conhecimento aberta e gratuita que cataloga as táticas e técnicas que invasores reais usam em ataques cibernéticos, com base em observações do mundo real. Funciona como um mapa do comportamento do adversário: em vez de descrever ameaças de forma vaga, nomeia cada passo de um ataque, o que permite medir se a sua defesa cobre o que os atacantes de fato fazem.
Como o MITRE ATT&CK se organiza
O framework organiza o comportamento do invasor numa matriz que se lê da esquerda para a direita, do primeiro movimento do atacante ao impacto final.
Táticas: o objetivo do invasor
14 táticas que respondem por que o atacante age, do reconhecimento inicial ao impacto final. Exemplos: acesso inicial, movimentação lateral, exfiltração.
Técnicas: como ele consegue
Mais de 200 técnicas que descrevem o método concreto por trás de cada tática, como o phishing para o acesso inicial ou o roubo de uma credencial para se mover.
Subtécnicas e procedimentos: o detalhe real
Variações específicas e exemplos reais de como grupos de ataque conhecidos executaram cada técnica.
A matriz: o mapa completo
Tudo se monta numa grade que se lê da esquerda (primeiro movimento) para a direita (impacto): o retrato de um ataque inteiro.
Fonte: MITRE (attack.mitre.org).
As fases de um ataque, na linguagem do ATT&CK
- Reconhecimento e entrada O invasor estuda o alvo e procura a primeira porta: um e-mail de phishing, uma credencial vazada, uma falha exposta. (Reconhecimento, desenvolvimento de recursos, acesso inicial.)
- Execução e persistência Roda o código malicioso e garante que continua ali mesmo depois de um reinício, criando acessos escondidos. (Execução, persistência, escalonamento de privilégios.)
- Evasão e roubo de credencial Se esconde das defesas e captura senhas e chaves para se passar por um usuário legítimo. (Evasão de defesa, acesso a credenciais.)
- Descoberta e movimentação lateral Mapeia a rede por dentro e salta de um sistema para outro, procurando o que tem valor. (Descoberta, movimentação lateral.)
- Coleta, controle e exfiltração Junta os dados, mantém um canal de comando com o invasor e envia a informação para fora. (Coleta, comando e controle, exfiltração.)
- Impacto O golpe final: cifrar os dados (ransomware), apagar, fraudar ou parar a operação. (Impacto.)
Por que isso importa para a sua defesa
Falar de ameaça de forma vaga ('protegemos contra hackers') não se mede. O MITRE ATT&CK dá um mapa compartilhado e baseado em evidência, para que uma empresa possa fazer uma pergunta concreta: a minha defesa detecta esses comportamentos específicos? Isso importa porque uma violação de dados custa, em média, $ 4,44 milhões (IBM, Cost of a Data Breach 2025) e o invasor fica, tipicamente, 11 dias despercebido na rede (Mandiant, M-Trends 2025). O valor do ATT&CK é transformar 'espero que a gente esteja coberto' em 'estes são os comportamentos que detectamos, e estas as lacunas que não'. Equipes e ferramentas de segurança do mundo inteiro mapeiam a detecção pelo ATT&CK justamente por isso.
Como usar o MITRE ATT&CK na prática
Você não precisa dominar o framework. O que transforma o ATT&CK em proteção real é:
- Mapear a defesa contra comportamentos reaisEm vez de confiar na promessa de um produto, verificar quais técnicas do ATT&CK a sua defesa de fato detecta.
- Achar as lacunasAs técnicas que ninguém cobre são exatamente por onde o próximo ataque entra.
- Falar uma língua comumQuando o time interno, o fornecedor e o seguro usam o mesmo mapa, um incidente é descrito sem ambiguidade.
- Priorizar pelo que ameaça vocêFocar nas técnicas que os grupos que atacam o seu setor de fato usam, não em todas elas de uma vez.
- Testar de verdadeExercícios que simulam técnicas reais do ATT&CK mostram se a detecção funciona antes do ataque real.
Na prática
A pergunta que o ATT&CK responde: se um invasor usasse a técnica X, alguém na sua empresa veria? Um mapa sem quem o leia continua sendo só um mapa.
Como a Zamak usa o MITRE ATT&CK
A Zamak Technologies orienta a detecção e a resposta pelo mapa do ATT&CK, para que a defesa seja medida contra o comportamento real dos invasores, não contra uma lista genérica. Um bom ponto de partida é o diagnóstico de cibersegurança, que mostra onde estão as lacunas. Faz parte da Cibersegurança e da Inteligência de Ameaças do Método Zamak.