Pular para o conteúdo
Detecção e Resposta

O que é MITRE ATT&CK?

MITRE ATT&CK é uma base de conhecimento aberta e gratuita que cataloga as táticas e técnicas que invasores reais usam em ataques cibernéticos, com base em observações do mundo real. Funciona como um mapa do comportamento do adversário: em vez de descrever ameaças de forma vaga, nomeia cada passo de um ataque, o que permite medir se a sua defesa cobre o que os atacantes de fato fazem.

Zamak TechnologiesAtualizado em 10 de julho de 2026

Como o MITRE ATT&CK se organiza

O framework organiza o comportamento do invasor numa matriz que se lê da esquerda para a direita, do primeiro movimento do atacante ao impacto final.

1

Táticas: o objetivo do invasor

14 táticas que respondem por que o atacante age, do reconhecimento inicial ao impacto final. Exemplos: acesso inicial, movimentação lateral, exfiltração.

2

Técnicas: como ele consegue

Mais de 200 técnicas que descrevem o método concreto por trás de cada tática, como o phishing para o acesso inicial ou o roubo de uma credencial para se mover.

3

Subtécnicas e procedimentos: o detalhe real

Variações específicas e exemplos reais de como grupos de ataque conhecidos executaram cada técnica.

4

A matriz: o mapa completo

Tudo se monta numa grade que se lê da esquerda (primeiro movimento) para a direita (impacto): o retrato de um ataque inteiro.

Fonte: MITRE (attack.mitre.org).

As fases de um ataque, na linguagem do ATT&CK

  • Reconhecimento e entrada O invasor estuda o alvo e procura a primeira porta: um e-mail de phishing, uma credencial vazada, uma falha exposta. (Reconhecimento, desenvolvimento de recursos, acesso inicial.)
  • Execução e persistência Roda o código malicioso e garante que continua ali mesmo depois de um reinício, criando acessos escondidos. (Execução, persistência, escalonamento de privilégios.)
  • Evasão e roubo de credencial Se esconde das defesas e captura senhas e chaves para se passar por um usuário legítimo. (Evasão de defesa, acesso a credenciais.)
  • Descoberta e movimentação lateral Mapeia a rede por dentro e salta de um sistema para outro, procurando o que tem valor. (Descoberta, movimentação lateral.)
  • Coleta, controle e exfiltração Junta os dados, mantém um canal de comando com o invasor e envia a informação para fora. (Coleta, comando e controle, exfiltração.)
  • Impacto O golpe final: cifrar os dados (ransomware), apagar, fraudar ou parar a operação. (Impacto.)

Por que isso importa para a sua defesa

14 táticas
descrevem o ciclo completo de um ataque no MITRE ATT&CK (MITRE)
$ 4,44 mi
é o custo médio de uma violação de dados (IBM 2025)
11 dias
é o tempo típico que um invasor passa despercebido na rede (Mandiant 2025)

Falar de ameaça de forma vaga ('protegemos contra hackers') não se mede. O MITRE ATT&CK dá um mapa compartilhado e baseado em evidência, para que uma empresa possa fazer uma pergunta concreta: a minha defesa detecta esses comportamentos específicos? Isso importa porque uma violação de dados custa, em média, $ 4,44 milhões (IBM, Cost of a Data Breach 2025) e o invasor fica, tipicamente, 11 dias despercebido na rede (Mandiant, M-Trends 2025). O valor do ATT&CK é transformar 'espero que a gente esteja coberto' em 'estes são os comportamentos que detectamos, e estas as lacunas que não'. Equipes e ferramentas de segurança do mundo inteiro mapeiam a detecção pelo ATT&CK justamente por isso.

Como usar o MITRE ATT&CK na prática

Você não precisa dominar o framework. O que transforma o ATT&CK em proteção real é:

  1. Mapear a defesa contra comportamentos reaisEm vez de confiar na promessa de um produto, verificar quais técnicas do ATT&CK a sua defesa de fato detecta.
  2. Achar as lacunasAs técnicas que ninguém cobre são exatamente por onde o próximo ataque entra.
  3. Falar uma língua comumQuando o time interno, o fornecedor e o seguro usam o mesmo mapa, um incidente é descrito sem ambiguidade.
  4. Priorizar pelo que ameaça vocêFocar nas técnicas que os grupos que atacam o seu setor de fato usam, não em todas elas de uma vez.
  5. Testar de verdadeExercícios que simulam técnicas reais do ATT&CK mostram se a detecção funciona antes do ataque real.

Na prática

A pergunta que o ATT&CK responde: se um invasor usasse a técnica X, alguém na sua empresa veria? Um mapa sem quem o leia continua sendo só um mapa.

Como a Zamak usa o MITRE ATT&CK

A Zamak Technologies orienta a detecção e a resposta pelo mapa do ATT&CK, para que a defesa seja medida contra o comportamento real dos invasores, não contra uma lista genérica. Um bom ponto de partida é o diagnóstico de cibersegurança, que mostra onde estão as lacunas. Faz parte da Cibersegurança e da Inteligência de Ameaças do Método Zamak.

Perguntas frequentes sobre MITRE ATT&CK

O que significa a sigla ATT&CK?
ATT&CK vem de Adversarial Tactics, Techniques and Common Knowledge (táticas, técnicas e conhecimento comum sobre adversários). É uma base mantida pela MITRE, uma organização sem fins lucrativos, aberta e gratuita.
Qual a diferença entre tática e técnica no ATT&CK?
A tática é o objetivo do invasor (por que ele age): por exemplo, obter acesso inicial. A técnica é o método (como ele consegue): por exemplo, um e-mail de phishing. Uma tática reúne várias técnicas possíveis.
O MITRE ATT&CK é uma ferramenta que eu instalo?
Não. É uma base de conhecimento, um mapa de referência. As ferramentas de segurança (como EDR, MDR e XDR) e as equipes usam esse mapa para organizar a detecção e descrever ataques. Você se beneficia dele através de quem opera a sua defesa.
Qual a diferença entre MITRE ATT&CK e um antivírus?
O antivírus é uma proteção; o ATT&CK é o mapa que ajuda a medir se a proteção cobre o que os atacantes fazem. Um não substitui o outro: o ATT&CK torna a defesa verificável.
Empresa pequena precisa se preocupar com MITRE ATT&CK?
A empresa pequena não precisa dominar o ATT&CK, mas ganha quando a defesa que ela contrata é guiada por ele. Os ataques automatizados usam as mesmas técnicas catalogadas, independentemente do porte do alvo.
Como o MITRE ATT&CK ajuda depois de um ataque?
Ele dá uma linguagem precisa para reconstruir o que aconteceu: quais técnicas o invasor usou, em que ordem e onde a defesa falhou. Isso acelera a resposta e fecha a brecha certa, em vez de apenas apagar o incêndio.

Termos relacionados

Continue explorando

Ver o índice completo →
Ameaças e Ataques
Endpoint e Identidade
MFAPAM (acesso privilegiado)SSO (login único)
Detecção e Resposta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operações)
Rede e Acesso
ZTNAFirewallVPNSASE
Governança e Compliance
LGPDISO 27001SOC 2NIST CSFShadow ITAvaliação de maturidade cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestão de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidade)FedRAMPGRC (governança, risco, conformidade)vCIOvCISO
Conceitos e Fundamentos
Deep webZero TrustDefesa em profundidadeSuperfície de ataqueEndpointMenor privilégio
IA e Segurança
Shadow AIGovernança de IAInjeção de promptOWASP LLM Top 10Deepfake