ATTACK Design and Philosophy March 2020

Machine Translated by Google
MP180360R1
PRODUTO MITRA
MITRE ATT&CKÒ: Design e

Filosofia
Nº do Projeto: 10AOH08A-JC
As opiniões, opiniões e/ou descobertas

contidas neste relatório são da The MITRE
Corporation e não devem ser interpretadas
como uma posição, política ou decisão oficial
do governo, a menos que indicado por outra
documentação.
Aprovado para lançamento público.

Distribuição ilimitada 19-01075-28.
©2020 The MITRE Corporation.

Todos os direitos reservados.
MITRE ATT&CK e ATT&CK são marcas

registradas da MITRE Corporation.
Autores:
McLean, VA Blake E. Strom
Andy Applebaum
Doug P. Miller
Kathryn C. Nickels
Adam G. Pennington
Cody B. Thomas
Publicado originalmente em julho de 2018

Revisado em março de 2020
Abstrato
O MITRE ATT&CK é uma base de conhecimento acessível globalmente de táticas e técnicas adversárias
com base em observações do mundo real. A base de conhecimento da ATT&CK é usada como base para
o desenvolvimento de modelos e metodologias de ameaças específicas no setor privado, no governo e na
comunidade de produtos e serviços de segurança cibernética. O ATT&CK fornece uma taxonomia comum
para ataque e defesa e tornou-se uma ferramenta conceitual útil em muitas disciplinas de segurança
cibernética para transmitir inteligência de ameaças, realizar testes por meio de red teaming ou emulação
de adversários e melhorar as defesas de rede e sistema contra invasões. O processo que o MITRE usou
para criar o ATT&CK e a filosofia que desenvolveu para a curadoria de novos conteúdos são aspectos
críticos do trabalho e são úteis para outros esforços que se esforçam para criar modelos de adversários
semelhantes e repositórios de informações.
iii
©2020 The MITRE Corporation. Todos os direitos reservados
Aprovado para lançamento público. Distribuição ilimitada 19-01075-28.

Esta página foi intencionalmente deixada em branco.

Sumário executivo
Este artigo discute a motivação por trás da criação do ATT&CK, os componentes descritos nele, sua filosofia de design, como
o projeto progrediu e como ele pode ser usado. Destina-se a ser usado como uma fonte oficial de informações sobre ATT&CK,
bem como um guia de como o ATT&CK é mantido e como a metodologia ATT&CK é aplicada para criar
bases de conhecimento para novos domínios.

Prefácio
Este artigo documenta a versão publicada do ATT&CK em março de 2020 com a adição de subtécnicas.
MITRE anunciou planos para evoluir e expandir a ATT&CK ao longo de 2020
[1]. Este documento será mantido como um documento vivo e será atualizado à medida que
mudanças significativas forem feitas no ATT&CK e no processo usado para manter o conteúdo no ATT&CK.
vi

Índice
Introdução................................................. .................................................. .......................... 1
1.1 Antecedentes e Histórico ............................................. .................................................. ...1

Casos de Uso ATT&CK.............................................. .................................................. ...............3
2.1 Cobertura ATT&CK ............................................. .................................................. ........4

O modelo ATT&CK.............................................. .................................................. .............. 6
3.1 A Matriz ATT&CK.............................................. .................................................. ....... 6
3.2 Domínios de Tecnologia ............................................. .................................................. ....... 8

3.3 Táticas .................................................... .................................................. ....................... 8
3.4 Técnicas e Subtécnicas................................................ ......................................... 9 3.4.1

Procedimentos ... .................................................. .................................................. ........... 9
3.4.2 Estrutura de Objetos de Técnica e Subtécnica................................................ ...............9

3.4.3 Detalhes da Subtécnica .............................. .................................................. .........12 3.5
Grupos .............................. .................................................. ......................................... 13 3.5.1
Objeto de Grupo Estrutura................................................. .......................................... 14
3.6 Programas................................................. .................................................. ....................... 14
3.6.1 Estrutura de Objetos de Software ............................................. .........................................15

3.7 Mitigações.... .................................................. .................................................. ..............16
3.7.1 Estrutura de Objetos de Mitigação........................... .................................................. .......16
3.8 ATT&CK Relacionamentos do Modelo de Objeto ......................... .........................17 3.9 Controle
de versão .......... .................................................. .................................................. .........19 3.9.1
Objetos ........................................ .................................................. ..............................19 3.9.1.1
Técnicas e Subtécnicas........ .................................................. ..........19
3.9.1.2 Grupos ......................................... .................................................. ....................... 19
3.9.1.3 Software .............................................. .................................................. ........... 19
3.9.1.4 Mitigações .................................................... .................................................. ....19
3.9.1.5 Descontinuação ........................................ .................................................. ........... 20
3.9.2 Matriz .............................................. .................................................. .......................20
3.9.3 Liberações ............................................. .................................................. ....................20
A Metodologia ATT&CK ............................................. .................................................. 20

4.1 Conceitual................................................. .................................................. ..................20 4.1.1
Perspectiva do Adversário ........................ .................................................. ..................20 4.1.2
Uso Empírico ........................ .................................................. ..............................21
vii

4.1.2.1 Fontes de informação............................................... .......................................21
4.1.2.2 Contribuições da Comunidade ............................................. .........................22 4.1.2.3

Incidentes não reportados..... .................................................. .......................22
4.1.3 Abstração .............................................. .................................................. ...............22
4.2 Táticas .................................................... .................................................. ..............................24
4.2.1 Impacto ............................................. .................................................. .......................24

4.3 Técnicas e Subtécnicas................................................ ..............................25 4.3.1 O que faz uma
técnica ou sub -Técnica .................................................... ...........25
4.3.1.1 Nomenclatura............................................. .................................................. .......................25
4.3.1.2 Tipos de Abstração de Técnicas ....................... .................................................. 25
4.3.1.3 Referências Técnicas............................................. .......................................... 26
4.3.1.4 Uso Adversário ............................................. .................................................. ...26 4.3.1.5

Distinção de Técnica ........................................ .............................................27 4.3.2 Criando
Novas Técnicas .................................................... ..............................27 4.3.3 Aprimorando as
Técnicas Existentes... .................................................. ..............................28 4.3.4 Grupos de
adversários nomeados usando técnicas ............... ..............................29 4.3.5 Inteligência de
Ameaças de Incorporação em Grupos e Software dentro do ATT&CK ........29 4.3.5.1 Uso
desagrupado de técnicas ....................... .............................................30 4.3.6 Exemplos de
Aplicação da Metodologia para Novas Técnicas..............................30 4.4 Aplicação da Metodologia
ATT&CK ..... .................................................. ....................33
Resumo…………………………………………………………………………………… 34
Referências................................................. .................................................. ..............................35
viii

Lista de Figuras
Figura 1. A Matriz ATT&CK para Empresas ............................................. ..............................6 Figura 2.
Tática de persistência com quatro técnicas expandidas... .................................................. ....... 7 Figura 3.
Relacionamentos do Modelo ATT&CK .............................. .................................................. 17 Figura 4.
Exemplo de Relacionamentos do Modelo ATT&CK................................................ ..............................18
Figura 5. Comparação de abstração de modelos e bancos de dados de conhecimento de ameaças ........... ..............23
ix

Lista de mesas
Tabela 1. Domínios da Tecnologia ATT&CK................................................ .............................................
8 Tabela 2. Técnica ATT&CK e Modelo de Subtécnica ............................................. .............10
Tabela 3. Modelo do Grupo ATT&CK.............................. .................................................. .........14
Tabela 4. Modelo de Software ATT&CK ........................ .................................................. ......15
Tabela 5. Modelo de Mitigação ATT&CK ........................ .................................................. ..................16

Esta página foi intencionalmente deixada em branco.
XI

Introdução
O MITRE ATT&CK é uma base de conhecimento e um modelo com curadoria para o comportamento de
adversários cibernéticos, refletindo as várias fases do ciclo de vida do ataque de um adversário e as plataformas
que são conhecidas como alvo. A ATT&CK se concentra em como os adversários externos comprometem e
operam dentro das redes de informações de computadores. Originou-se de um projeto para documentar e
categorizar táticas, técnicas e procedimentos de adversários pós-comprometimento (TTPs) contra sistemas
Microsoft Windows para melhorar a detecção de comportamento malicioso. Desde então, ele cresceu para incluir
Linux e macOS e se expandiu para cobrir o comportamento que leva ao comprometimento de um ambiente, bem
como domínios focados em tecnologia, como dispositivos móveis, sistemas baseados em nuvem e sistemas de
controle industrial. Em alto nível, o ATT&CK é um modelo comportamental que consiste nos seguintes componentes
principais:
• Táticas, denotando objetivos táticos adversários de curto prazo durante um ataque;
• Técnicas, descrevendo os meios pelos quais os adversários atingem os objetivos táticos;
• Subtécnicas, descrevendo meios mais específicos pelos quais os adversários atingem objetivos táticos
em um nível inferior ao das técnicas; e
• Uso documentado de técnicas por adversários, seus procedimentos e outros metadados.
ATT&CK não é uma enumeração exaustiva de vetores de ataque contra software. Outros esforços MITRE
como CAPEC™ [2] e CWE™ [3] são mais aplicáveis a este caso de uso.
1.1 Histórico e Histórico

O ATT&CK foi criado a partir da necessidade de categorizar sistematicamente o comportamento do adversário
como parte da realização de exercícios estruturados de emulação de adversários no ambiente de pesquisa
FMX do MITRE. Estabelecido em 2010, o FMX forneceu um recurso de “laboratório vivo” que permitiu aos
pesquisadores acesso a um enclave de produção da rede corporativa MITRE para implantar ferramentas, testar
e refinar ideias sobre como detectar melhor as ameaças. A MITRE começou a pesquisar fontes de dados e
processos analíticos no FMX para detectar ameaças persistentes avançadas (APTs) mais rapidamente sob uma
mentalidade de “assumir violação”. Exercícios de jogos cibernéticos foram realizados periodicamente para emular
adversários dentro do ambiente fortemente monitorado e a caça a ameaças foi realizada para testar hipóteses
analíticas contra os dados coletados. O objetivo era melhorar a detecção pós-comprometimento de ameaças que
penetram nas redes corporativas por meio de detecção de telemetria e análise comportamental [4]. A principal
métrica para o sucesso foi “Quão bem estamos nos saindo na detecção do comportamento documentado do
adversário?” Para trabalhar efetivamente em direção a esse objetivo, provou-se útil categorizar o comportamento
observado em grupos adversários relevantes do mundo real e usar essas informações para realizar exercícios
controlados emulando esses adversários no ambiente FMX. O ATT&CK foi usado tanto pela equipe de emulação
adversária (para desenvolvimento de cenários) quanto pela equipe defensora (para medição de progresso
analítico), o que o tornou uma força motriz na pesquisa do FMX.
O primeiro modelo ATT&CK foi criado em setembro de 2013 e teve como foco principal o ambiente
empresarial Windows. Foi ainda mais refinado por meio de pesquisa e desenvolvimento interno e
posteriormente divulgado publicamente em maio de 2015 com 96 técnicas organizadas

sob 9 táticas. Desde então, a ATT&CK experimentou um tremendo crescimento com base nas
contribuições da comunidade de segurança cibernética. A MITRE criou vários modelos adicionais
baseados em ATT&CK foram criados com base na metodologia usada para criar o primeiro ATT&CK.
O ATT&CK original foi expandido em 2017 para além do Windows para incluir Mac e Linux e foi referido como
ATT&CK for Enterprise. Um modelo complementar chamado PRE ATT&CK foi publicado em 2017 para focar
no comportamento “à esquerda da exploração”. O ATT&CK for Mobile também foi publicado em 2017 para se
concentrar no comportamento no domínio específico para dispositivos móveis. O ATT&CK for Cloud foi
publicado em 2019 como parte do Enterprise para descrever o comportamento em ambientes e serviços de
nuvem. O ATT&CK for ICS foi publicado em 2020 para documentar o comportamento em relação aos sistemas
de controles industriais.

Casos de uso ATT&CK

Emulação de Adversário – O processo de avaliar a segurança de um domínio de tecnologia aplicando
inteligência de ameaças cibernéticas sobre adversários específicos e como eles operam para emular essa ameaça.
A emulação adversária concentra-se na capacidade de uma organização de verificar a detecção e/ou mitigação da
atividade adversária em todos os pontos aplicáveis em seu ciclo de vida.
ATT&CK pode ser usado como uma ferramenta para criar cenários de emulação de adversários [5] para testar e
verificar defesas contra técnicas comuns de adversários. Perfis para grupos de adversários específicos podem ser
construídos a partir das informações documentadas no ATT&CK (consulte o caso de uso Cyber Threat Intelligence).
Esses perfis também podem ser usados por defensores e equipes de caça para alinhar e melhorar as medidas
defensivas.
Red Teaming – Aplicando uma mentalidade adversária sem o uso de inteligência de ameaças conhecidas com a
finalidade de realizar um exercício. A equipe vermelha se concentra em atingir o objetivo final de uma operação sem
ser detectada para mostrar a missão ou o impacto operacional de uma violação bem-sucedida.
O ATT&CK pode ser usado como uma ferramenta para criar planos de equipe vermelha e organizar operações para
evitar certas medidas defensivas que possam estar em vigor dentro de uma rede. Também pode ser usado como um
roteiro de pesquisa para desenvolver novas formas de realizar ações que podem não ser detectadas por defesas
comuns.
Desenvolvimento de Behavioral Analytics – Indo além dos indicadores tradicionais de comprometimento

(IoCs) ou assinaturas de atividades maliciosas, a análise de detecção comportamental pode ser usada para identificar
atividades potencialmente maliciosas dentro de um sistema ou rede que pode não depender do conhecimento prévio
de ferramentas e indicadores do adversário. É uma maneira de alavancar como um adversário interage com uma
plataforma específica para identificar e vincular atividades suspeitas que são agnósticas ou independentes de
ferramentas específicas que podem ser usadas.
O ATT&CK pode ser usado como uma ferramenta para construir e testar análises comportamentais para detectar
comportamentos adversários em um ambiente. O Cyber Analytics Repository1 (CAR) é um exemplo de
desenvolvimento analítico que pode ser usado como ponto de partida para uma organização desenvolver
análise comportamental baseada em ATT&CK.
Avaliação de lacunas defensivas – Uma avaliação de lacunas defensivas permite que uma organização determine
quais partes de sua empresa carecem de defesas e/ou visibilidade. Essas lacunas representam pontos cegos para
vetores em potencial que permitem que um adversário obtenha acesso às suas redes sem ser detectado ou mitigado.
O ATT&CK pode ser usado como um modelo comum de adversário focado em comportamento para avaliar
ferramentas, monitoramento e mitigação das defesas existentes na empresa de uma organização. As lacunas
identificadas são úteis como forma de priorizar investimentos para melhoria de um programa de segurança.
Produtos de segurança semelhantes também podem ser comparados com um modelo comum de comportamento do
adversário para determinar a cobertura antes da compra.
Avaliação de maturidade do SOC – O Centro de Operações de Segurança de uma organização é um

componente crítico de muitas redes corporativas de médio a grande porte que monitoram continuamente
1
https://car.mitre.org
3

ameaças contra a rede. Compreender a maturidade de um SOC é importante para determinar sua eficácia.
O ATT&CK pode ser usado como uma medida para determinar a eficácia de um SOC na detecção, análise e resposta
a intrusões. Semelhante à avaliação de lacunas defensivas, uma avaliação de maturidade do SOC concentra-se nos
processos que um SOC usa para detectar, entender e responder a ameaças em mudança em sua rede ao longo do
tempo.
Enriquecimento de inteligência de ameaças cibernéticas – A inteligência de ameaças cibernéticas abrange o

conhecimento de ameaças cibernéticas e grupos de atores de ameaças que afetam a segurança cibernética. Inclui
informações sobre malware, ferramentas, TTPs, tradecraft, comportamento e outros indicadores associados a ameaças.
O ATT&CK é útil para entender e documentar perfis de grupos adversários de uma perspectiva comportamental
independente das ferramentas que o grupo pode usar. Analistas e defensores podem entender melhor os
comportamentos comuns em muitos grupos e mapear as defesas de forma mais eficaz para eles e fazer perguntas como
“qual é minha postura defensiva contra o grupo adversário APT3?” Compreender como vários grupos usam o mesmo
comportamento de técnica permite que os analistas se concentrem em defesas impactantes que abrangem vários tipos
de ameaças. O formato estruturado do ATT&CK pode agregar valor aos relatórios de ameaças categorizando o
comportamento além dos indicadores padrão.
Vários grupos dentro do ATT&CK usam as mesmas técnicas. Por esse motivo, não é recomendável
atribuir atividade apenas com base nas técnicas ATT&CK utilizadas. A atribuição a um grupo é um processo complexo
que envolve todas as partes do Modelo Diamond [5], não apenas no uso de TTPs por um adversário.
2.1 Cobertura ATT&CK

Os casos de uso ATT&CK para defesa e red teaming incorporam um conceito de cobertura ATT&CK.
Seja você um defensor olhando quantas técnicas ATT&CK podem ser detectadas em uma empresa, um red teamer
encarregado de testar os comportamentos ATT&CK ou um gerente procurando adquirir uma nova ferramenta que se
alinhe ao ATT&CK, é importante observar que, em geral, a cobertura de todas as técnicas ATT&CK é irreal. [7]
Em sua essência, o ATT&CK documenta o comportamento conhecido do adversário e não se destina a fornecer
uma lista de verificação de coisas que precisam ser abordadas. Nem todos os comportamentos do adversário podem
ou devem ser usados como base para alertar ou fornecer dados a um analista. Uma ação tão simples quanto
executar ipconfig.exe para solucionar problemas de uma conexão de rede pode ocorrer com frequência em um
ambiente. Este procedimento se enquadra na Descoberta de Configuração de Rede do Sistema em ATT&CK e está na
base de conhecimento porque os adversários são conhecidos por usá-lo para aprender sobre o sistema e a rede em que
estão. Com este exemplo, a capacidade de coletar telemetria em instâncias de ipconfig. exe executado em um ambiente
pode ser “cobertura” suficiente como um registro de atividade histórica que pode ser referenciado posteriormente. Se o
ipconfig.exe for usado com frequência e legitimamente, notificar um analista com um alerta em cada instância sobre um
possível comportamento de intrusão seria excessivo.
Outro exemplo é como abordar o uso de contas válidas, sejam elas contas locais, de domínio ou de nuvem. O uso
dessas contas normalmente ocorreria em qualquer ambiente, mas o contexto de como as contas são usadas pode ou
não indicar que o uso é de natureza maliciosa.
Novamente, é importante que os dados relacionados ao uso da conta sejam coletados, mas seria raro o uso simples das
contas indicar uma condição de alerta para um analista sem contexto adicional.

As técnicas dentro da ATT&CK podem ter muitos procedimentos de como um adversário pode implementá-
las – e como os adversários estão sempre mudando, é difícil saber antecipadamente quais são todos esses
procedimentos. Isso torna difícil discutir a cobertura de uma técnica, especialmente quando algumas formas de
detecção de comportamento dependem de procedimentos individuais e algumas podem abranger vários
procedimentos ou até mesmo uma técnica inteira. Voltando ao exemplo anterior do ipconfig.exe, a coleta de
dados no ipconfig.exe em execução pode ser insuficiente para a cobertura da técnica System Network
Configuration Discovery porque os mesmos detalhes podem ser descobertos por um adversário por outros meios,
como Get-NetIPConfiguration cmdlet dentro do PowerShell.
É importante sempre revisar a inteligência de ameaças sobre quais técnicas, subtécnicas e procedimentos os
adversários usaram para entender os detalhes e como as variações podem afetar a forma como você determina
a cobertura. Qualquer pessoa mapeando para ATT&CK deve ser capaz de explicar os procedimentos que cobrem.
Da mesma forma que não é realista esperar cobertura de 100% das técnicas ATT&CK, é irreal esperar cobertura
de todos os procedimentos de uma determinada técnica, especialmente porque muitas vezes não podemos
conhecer todos eles com antecedência.
Operacionalizar o ATT&CK para uma organização também abrange determinar o que significa para você ter
“cobertura ATT&CK”. É que você está coletando dados relevantes para todas as técnicas ou apenas aquelas que
são as mais importantes e você espera ver? Você espera emitir alertas sobre todas as técnicas ou apenas as
mais raras? É importante que todas as instâncias relevantes de uma técnica vista sejam marcadas com um
mapeamento ATT&CK, mesmo que não tenha sido realizado devido a um incidente real? Uma, duas, três ou mais
análises abordando uma técnica são suficientes para ter confiança de que uma técnica é coberta? A definição de
cobertura se expande além da visibilidade para abranger também controles e medidas preventivas para impedir o
uso de técnicas? Sua definição de cobertura inclui a realização de testes de emulação de equipe vermelha ou
adversário para verificar defesas ou testar lacunas de cobertura?
A ATT&CK é tanto sobre a mentalidade e o processo de usá-lo quanto sobre a própria base de
conhecimento. Ele serve como uma linha de base de atividade fundamentada e informada sobre ameaças que
todos devem conhecer. O processo de coletar inteligência, implementar defesas com base nessa inteligência,
verificar se essas defesas funcionam e melhorar as defesas para cobrir melhor as ameaças ao longo do tempo é
o que deve ser buscado, não 100% de cobertura do ATT&CK. Quando se trata de segurança da informação, as
ameaças que enfrentamos, novas tecnologias e a adaptabilidade de adversários baseados em objetivos, não
podemos considerar o preenchimento de uma lista de verificação como “pronto”.

O modelo ATT&CK
A base do ATT&CK é o conjunto de técnicas e subtécnicas que representam as ações que os adversários
podem realizar para atingir os objetivos. Esses objetivos são representados pelas categorias táticas nas
quais as técnicas e subtécnicas se enquadram. Essa representação relativamente simples atinge um
equilíbrio útil entre detalhes técnicos suficientes no nível da técnica e o contexto em torno do motivo pelo
qual as ações ocorrem no nível tático.
3.1 A Matriz ATT&CK

A relação entre táticas, técnicas e subtécnicas pode ser visualizada na Matriz ATT&CK. Por exemplo,
sob a tática Persistence (este é o objetivo do adversário – persistir no ambiente alvo), há uma série de
técnicas, incluindo Hijack Execution Flow, Pre-OS Boot e Scheduled Task/Job. Cada uma delas é uma
técnica única que os adversários podem usar para atingir a meta de persistência. A Figura 1 descreve a
Matriz ATT&CK para Empresas
Figura 1. A Matriz ATT&CK para Empresas
Além disso, algumas técnicas podem ser divididas em subtécnicas que descrevem com mais detalhes
como esses comportamentos podem ser realizados. Por exemplo, o Pre-OS Boot tem três subtécnicas
que consistem em Bootkit, Component Firmware e System Firmware para descrever como a persistência é
alcançada antes que um sistema operacional seja inicializado. A Figura 2 descreve a Tática de Persistência
com técnicas e quatro técnicas expandidas para mostrar subtécnicas: Manipulação de Conta, Inicialização
Pré-SO, Tarefa/Trabalho Agendado e Componente de Software do Servidor

Figura 2. Tática de persistência com quatro técnicas expandidas

7

3.2 Domínios de Tecnologia

A ATT&CK está organizada em uma série de “domínios de tecnologia” – o ecossistema dentro do qual
um adversário opera que fornece um conjunto de restrições que o adversário deve contornar ou
aproveitar para atingir um conjunto de objetivos. Até o momento, o MITRE definiu três domínios de tecnologia
– Enterprise (representando redes corporativas tradicionais e tecnologias em nuvem), Mobile (para
dispositivos de comunicação móvel) e ICS (para sistemas de controle industrial). Dentro de cada domínio de
tecnologia, a ATT&CK define várias “plataformas” - o sistema no qual um adversário está operando. Uma
plataforma pode ser um sistema operacional ou aplicativo (por exemplo, Microsoft Windows). Técnicas e
subtécnicas podem ser aplicadas a várias plataformas. A Tabela 1 lista as plataformas atualmente definidas
para os domínios da tecnologia ATT&CK, exceto ICS, que serão documentados em um documento de filosofia
separado.
O escopo do ATT&CK também se expande além dos domínios tecnológicos com o PRE-ATT&CK. O PRE
ATT&CK cobre a documentação do comportamento do adversário durante a coleta de requisitos,
reconhecimento e armamento antes que o acesso a uma rede seja obtido. É independente da tecnologia e
modela o comportamento de um adversário à medida que ele tenta obter acesso a uma organização ou entidade
por meio da tecnologia que utiliza, abrangendo vários domínios.
Tabela 1. Domínios da Tecnologia ATT&CK
Domínio de Tecnologia Plataforma(s) definida(s)

Empreendimento Linux, macOS, Windows, AWS, Azure, GCP, SaaS, Office
365, Azure AD
Móvel Android, iOS
3.3 Táticas
As táticas representam o “porquê” de uma técnica ou subtécnica ATT&CK. É o objetivo tático do adversário:
a razão de realizar uma ação. As táticas servem como categorias contextuais úteis para técnicas individuais
e cobrem notações padrão para coisas que os adversários fazem durante uma operação, como persistir, descobrir
informações, mover-se lateralmente, executar arquivos e exfiltrar dados. As táticas são tratadas como “tags” dentro
do ATT&CK onde uma técnica ou sub-técnica está associada ou marcada com uma ou mais categorias táticas,
dependendo dos diferentes resultados que
pode ser obtido por meio de uma técnica.
Cada tática contém uma definição que descreve a categoria e serve como um guia para quais técnicas
devem estar dentro da tática. Por exemplo, Execução é definida como uma tática que representa
(sub-)técnicas que resultam na execução de código controlado por adversários em um sistema local ou
remoto. Essa tática é frequentemente usada em conjunto com o acesso inicial como meio de execução do
código assim que o acesso é obtido e o movimento lateral para expandir o acesso a sistemas remotos em
uma rede.
Categorias táticas adicionais podem ser definidas conforme necessário para descrever com mais precisão
os objetivos do adversário. As aplicações da metodologia de modelagem ATT&CK para outros domínios podem
exigir categorias novas ou diferentes para associar técnicas, embora possa haver alguma sobreposição com as
definições táticas em modelos existentes.

3.4 Técnicas e Subtécnicas

As técnicas representam “como” um adversário alcança um objetivo tático ao realizar uma ação.
Por exemplo, um adversário pode despejar credenciais de um sistema operacional para obter acesso a
credenciais úteis em uma rede. As técnicas também podem representar “o que” um adversário ganha ao realizar
uma ação. Essa é uma distinção útil para a tática de Descoberta, pois as técnicas destacam que tipo de
informação um adversário busca com uma ação específica.
As subtécnicas dividem ainda mais os comportamentos descritos pelas técnicas em descrições mais
específicas de como o comportamento é usado para atingir um objetivo. Por exemplo, com o despejo de
credenciais do SO, existem vários comportamentos mais específicos sob essa técnica que podem ser descritos
como subtécnicas, incluindo acessar a memória LSASS, o Gerenciador de contas de segurança ou acessar /
etc/passwd e /etc/shadow.
Pode haver muitas maneiras, ou técnicas, para atingir objetivos táticos, então existem várias técnicas em
cada categoria tática. Da mesma forma, pode haver várias maneiras de executar uma técnica para que possa
haver várias subtécnicas distintas em uma técnica.
3.4.1 Procedimentos
Os procedimentos são outro componente importante do conceito TTP, e não podemos falar sobre
táticas e técnicas sem incluir também os procedimentos. Dentro da ATT&CK, os procedimentos são as
implementações específicas que os adversários usaram para técnicas ou subtécnicas. Por exemplo, um
procedimento poderia APT28 usando o PowerShell para injetar em lsass.exe para despejar credenciais
raspando a memória LSASS em uma vítima.
Os dois aspectos importantes a serem observados sobre os procedimentos no ATT&CK são que é como um
adversário usa técnicas e subtécnicas e que um procedimento pode abranger várias técnicas e subtécnicas.
Expandindo o exemplo anterior, o procedimento que o adversário usa para despejar credenciais inclui
PowerShell, Process Injection e LSASS Memory, que são todos comportamentos distintos. Os procedimentos
também podem incluir o uso de ferramentas específicas na forma como são executados.
Os procedimentos estão documentados em ATT&CK como o uso de técnicas observadas em estado

selvagem na seção "Exemplos de procedimentos" das páginas de técnicas e subtécnicas.
3.4.2 Estrutura de Objetos de Técnica e Subtécnica

Esses termos representam seções e informações importantes incluídas em cada entrada de técnica e
subtécnica no modelo Enterprise ATT&CK. Os itens são anotados por tag se o ponto de dados for uma
referência informativa sobre a técnica que pode ser usada para filtrar e dinamizar, e campo se o item for um
campo de texto livre usado para descrever informações e detalhes específicos da técnica. Os itens marcados
com relacionamento indicam campos que estão associados a relacionamentos de entidade de objeto com
grupos, software ou mitigações. A Tabela 2 lista todos os itens de dados atualmente definidos para técnicas
e subtécnicas em ATT&CK. Os itens de dados marcados com * indicam que o elemento é necessário e
informações adicionais sobre requisitos específicos dependentes da categoria tática estão na descrição.

Tabela 2. Técnica ATT&CK e Modelo de Subtécnica

Item de dados Modelo Descrição
Nome* Campo O nome da (sub)técnica.
EU IRIA*
Marcação Identificador exclusivo para a (sub)técnica dentro da base de
conhecimento. Formato: (técnica) T####; (subtécnica) T####.###.
Subtécnicas* Campo IDs de subtécnica que se enquadram em uma técnica. *Aplica-se

apenas a técnicas e não a sub-técnicas Os objetivos táticos que a
Tática* Marcação (sub-)técnica pode ser utilizada para atingir. (sub-)Técnicas podem ser
usadas para executar uma ou várias táticas.
Descrição* Campo Informações sobre a (sub)técnica, o que é, para que é normalmente

usada, como um adversário pode tirar vantagem dela e variações
de como ela pode ser usada. Inclua referências a artigos autorizados
que descrevam informações técnicas relacionadas à técnica, bem
como referências de uso selvagem, conforme apropriado.
Plataforma* Marcação O sistema no qual um adversário está operando; pode ser um

sistema operacional ou aplicativo (por exemplo, Microsoft Windows).
(sub-)Técnicas podem ser aplicadas a várias plataformas.
Campo de Requisitos do Sistema Informações adicionais sobre os requisitos que o adversário

precisa atender ou sobre o estado do sistema (software, nível de
patch, etc.) que podem ser necessários para que a (sub)técnica
funcione.
Permissões Marcação O nível mais baixo de permissões que o adversário deve estar
Requeridos* operando para executar a (sub) técnica em um sistema.
*Necessário para escalonamento de privilégios.
Eficaz Marcação O nível de permissões que o adversário obterá executando a

Permissões* (sub)técnica. Aplica-se apenas a (sub)técnicas sob a tática de
escalonamento de privilégios. Pode ter várias entradas se as
permissões efetivas puderem ser definidas quando a (sub)técnica for
executada. *Necessário para escalonamento de privilégios
Fonte de dados* Marcação Fonte de informações coletadas por um sensor ou sistema de

registro que pode ser usado para coletar informações
relevantes para identificar a ação que está sendo executada, a
sequência de ações ou os resultados dessas ações por um adversário.
A lista de fontes de dados pode incorporar diferentes variações de
como a ação pode ser executada para uma (sub) técnica específica.
Este atributo destina-se a ser restrito a uma lista definida para permitir
a análise de
10

cobertura técnica com base em fontes de dados exclusivas.

(Por exemplo, “quais técnicas posso detectar se tiver
monitoramento de processo implementado?”)
Suporta Remoto Marcação Se a (sub-)técnica pode ser usada para executar algo em um
sistema remoto. Aplica-se apenas às (sub)técnicas de execução.
Defesa ignorada* Marcação Se a (sub)técnica pode ser usada para contornar ou evadir uma
determinada ferramenta, metodologia ou processo defensivo. Aplica-
se apenas às (sub)técnicas de evasão de defesa. *Necessário para
evasão de defesa.
ID CAPEC Campo Hiperlink para a entrada CAPEC relacionada no site CAPEC.
Versão* Campo Versão da (sub-)técnica no formato MAJOR.MINOR.
Tipo de Impacto* Marcação Indica se a (sub)técnica pode ser usada para ataques de
integridade ou disponibilidade. Aplica-se apenas a (sub)técnicas de
impacto.
Contribuinte Marcação Lista de contribuintes não-MITRE (indivíduos e/ou organizações) do
primeiro ao mais recente que contribuíram com informações sobre, ou
apoiando o desenvolvimento de uma (sub)técnica.
Exemplos de procedimentos Relacionamento Os campos de exemplo de procedimento são preenchidos

/ Campo em uma página de (sub)técnica quando um grupo ou entidade
de software é associado a uma (sub)técnica por meio de uso
documentado. Eles descrevem o grupo ou entidade de software
com uma breve descrição de como a técnica é usada. O exemplo de
como um adversário específico usa uma (sub)técnica é uma referência
direta aos seus procedimentos, ou a maneira exata de como eles
executam uma (sub)técnica em um sistema.
Detecção* Campo Processo analítico de alto nível, sensores, dados e estratégias

de detecção que podem ser úteis para identificar uma (sub)técnica
foi usada por um adversário. Esta seção destina-se a informar os
responsáveis por
detectar o comportamento do adversário (como defensores da
rede) para que possam executar uma ação, como escrever uma análise
ou implantar um sensor. Deve haver informações e referências suficientes
para apontar para metodologias defensivas úteis. Pode haver muitas
maneiras de detectar uma (sub) técnica, mas
A ATT&CK e a MITRE não endossam nenhuma solução de fornecedor

em particular. As recomendações de detecção devem, portanto,
permanecer independentes do fornecedor, recomendando o método

geral e a classe de ferramentas em vez de uma ferramenta específica. A
detecção nem sempre é possível
11

para uma determinada (sub) técnica e deve ser

documentada como tal.
Mitigação* Relação Configurações, ferramentas ou processos que podem impedir que
/ Campo uma (sub)técnica funcione ou tenha o resultado desejado para um
adversário. Esta seção destina-se a informar os responsáveis pela
mitigação contra adversários (como defensores de rede ou
formuladores de políticas) para permitir que eles tomem uma ação,
como alterar uma política ou implantar uma ferramenta. Os campos
de mitigação são preenchidos em uma página de (sub)técnica
quando um objeto de mitigação é associado a uma (sub)técnica. O
relacionamento descreve os detalhes de como uma mitigação
específica pode ser aplicada à (sub)técnica. As recomendações de
mitigação permanecem independentes do fornecedor, recomendando
o método geral ou a classe de capacidade em vez de uma ferramenta
específica.
A mitigação nem sempre é possível para uma determinada

(sub)técnica e é documentada como tal se não houver
relacionamentos com uma determinada (sub)técnica.
3.4.3 Detalhes da Subtécnica

A adição de subtécnicas ao ATT&CK em 2020 marcou uma mudança significativa na forma como o comportamento é
descrito na base de conhecimento. A mudança foi motivada pela necessidade de corrigir alguns dos problemas de nível de
abstração de técnica que ocorreram à medida que a ATT&CK cresceu ao longo dos anos. Algumas técnicas eram muito
amplas e outras estreitas, descrevendo apenas um comportamento muito específico. O desequilíbrio que isso gerou criou
consequências não intencionais que tornaram não apenas difícil visualizar o ATT&CK, mas também difícil entender o propósito
por trás de algumas técnicas porque o ATT&CK se tornou muito grande.
Nossos objetivos de como a subtécnica beneficia a ATT&CK foram os seguintes:
• Torne o nível de abstração das técnicas semelhante em toda a base de conhecimento
• Reduzir o número de técnicas para um nível gerenciável
• Fornecer uma estrutura para permitir que subtécnicas sejam adicionadas facilmente, o que diminuiria o
necessidade de fazer alterações nas técnicas ao longo do tempo
• Demonstrar que as técnicas não são superficiais e podem ter muitas maneiras de serem executadas que
devem ser consideradas
• Simplifique o processo para adicionar novos domínios de tecnologia ao ATT&CK que usam técnicas de
sobreposição
• Habilite fontes de dados e descrições mais detalhadas sobre como um comportamento pode ser observado
em plataformas específicas
Há vários pontos a serem considerados sobre como as subtécnicas são usadas no ATT&CK.
12

As subtécnicas não têm uma relação um-para-muitos com as técnicas. Cada subtécnica terá apenas um
relacionamento com uma técnica de pai único e nenhuma outra para evitar relacionamentos complicados e difíceis
de manter em todo o modelo. Houve casos em que uma subtécnica com vários pais pode ter feito sentido com
técnicas que abrangem várias táticas. Por exemplo, apenas algumas subtécnicas de tarefa/trabalho agendado
podem ser usadas para escalonamento de privilégios além da persistência. Para resolver este caso, as subtécnicas
não são obrigadas a se enquadrar em todas as táticas em que uma técnica está. injeção de processo), cada
subtécnica pode contribuir para as táticas das quais uma técnica faz parte, mas não é necessária para cumprir a
tática de todas as técnicas pai (ou seja, a subtécnica Process Hollowing pode ser usada para Evasão de Defesa,
mas não Escalação de Privilégios, mesmo que o A técnica de injeção de processo abrange ambas as táticas).
Nem todas as técnicas terão subtécnicas. Organizacionalmente, essa consistência estrutural faz sentido. Na prática,
porém, foi difícil de implementar. Mesmo que o propósito por trás das subtécnicas fosse fornecer mais detalhes sobre
como as técnicas podem ser usadas, ainda existem várias técnicas que não têm uma ruptura natural em subtécnicas
ou não fazem sentido generalizar em técnicas de nível superior. A interceptação de autenticação de dois fatores é um
exemplo.
As subtécnicas são frequentemente, mas nem sempre, específicas do sistema operacional ou da plataforma. Ter
subtécnicas específicas da plataforma torna muito mais fácil focar o conteúdo dessa técnica em uma plataforma
específica, mas descobrimos que as subtécnicas nem sempre são maleáveis o suficiente para esse fim.
Isso resultaria em várias das mesmas subtécnicas, cada uma para diferentes plataformas, como contas válidas locais,
de domínio e padrão para cada Windows, Mac, Linux, etc. Este é especialmente o caso de técnicas que se aplicam a
comunicações de rede na tática de Comando e Controle, já que o uso da rede geralmente é independente do sistema
operacional e da plataforma.
Algumas informações dentro de uma técnica serão herdadas por suas subtécnicas filhas. As informações
de mitigação e de fonte de dados terão uma herança ascendente para a técnica de subtécnicas.
Grupos e exemplos de procedimentos de software não são herdados entre técnicas e subtécnicas. Ao
revisar as informações de ameaças para determinar para qual nível mapear um exemplo, se as informações
disponíveis forem específicas o suficiente para atribuí-las a uma subtécnica, as informações se tornarão um exemplo
de procedimento apenas para a subtécnica. Se a informação for ambígua de tal forma que uma subtécnica não possa
ser identificada, então a informação será mapeada para a técnica.
O mesmo procedimento não deve ser mapeado para ambos a fim de reduzir relacionamentos redundantes.
3.5 Grupos
Os adversários conhecidos que são rastreados por organizações públicas e privadas e relatados em relatórios de
inteligência de ameaças são rastreados no ATT&CK sob o objeto Grupo. Os grupos são definidos como conjuntos de
intrusões nomeados, grupos de ameaças, grupos de atores ou campanhas que normalmente representam atividades
de ameaças persistentes e direcionadas. A ATT&CK concentra-se principalmente em grupos APT, embora também
possa incluir outros grupos avançados, como atores motivados financeiramente.
Os grupos podem usar técnicas diretamente ou empregar software que implementa técnicas.
13

3.5.1 Estrutura do Objeto de Grupo
Os itens são anotados por tag se o ponto de dados for uma referência informativa no grupo que pode ser usada para filtrar e
dinamizar, e campo se o item for um campo de texto livre usado para descrever informações e detalhes específicos do grupo.
Itens marcados com relacionamento indicam campos que estão associados a relacionamentos de entidade objeto com
técnicas ou softwares que utilizam a técnica. Os itens de dados marcados com * indicam que o elemento é obrigatório
Tabela 3. Modelo do Grupo ATT&CK

Nome* Campo O nome do grupo adversário.
EU IRIA*
Marcação Identificador exclusivo para o grupo na base de
conhecimento. Formato: G####.
Grupos Associados Marcação Nomes que têm referência sobreposta a uma entrada de grupo e
podem se referir ao mesmo grupo ou a um grupo semelhante no
relatório de inteligência de ameaças.
Versão* Campo Versão do grupo no formato MAJOR.MINOR.
Contribuinte Marcação Lista de contribuintes não-MITRE (indivíduo e/ou organização) do

primeiro ao mais recente que contribuiu com informações, sobre
ou apoiando o desenvolvimento de um perfil de grupo.
Descrição* Campo Uma descrição do grupo com base em relatórios públicos de

ameaças. Ele pode conter datas de atividade, detalhes de atribuição
suspeita, setores visados e eventos notáveis atribuídos às atividades
do grupo.
Grupo associado Campo Seção que pode ser usada para descrever os nomes de grupos
Descrições associados com referências ao relatório usado para vincular o grupo
associado ao nome do grupo primário.
Técnicas / Sub Relação Lista de (sub)técnicas que são utilizadas pelo grupo com um
Técnicas usadas* / Campo campo para descrever detalhes de como a técnica é utilizada. Isso
representa o procedimento do grupo (no contexto de TTPs) para usar
uma técnica. Cada técnica deve incluir uma referência.
Programas Relação Lista de softwares aos quais o grupo foi reportado

/ Campo use com um campo para descrever detalhes sobre como o
software é usado.
3.6 Software
Os adversários geralmente usam diferentes tipos de software durante as invasões. O software pode representar uma
instanciação de uma técnica ou sub-técnica, portanto, também é necessário categorizar dentro do ATT&CK para obter
exemplos de como as técnicas são usadas. O software é dividido em duas categorias de alto nível: ferramentas e malware.
14

• Ferramenta - Software comercial, de código aberto, integrado ou disponível publicamente que pode ser usado por um
defensor, testador de canetas, time vermelho ou adversário. Esta categoria inclui software que geralmente não é
encontrado em um sistema corporativo, bem como software geralmente disponível como parte de um sistema operacional
que já está presente em um ambiente.
Exemplos incluem PsExec, Metasploit, Mimikatz, bem como utilitários do Windows, como Net, netstat, Tasklist, etc.
• Malware - software comercial, de código fechado personalizado ou de código aberto destinado a ser
usado para fins maliciosos por adversários. Exemplos incluem PlugX, CHOPSTICK, etc.
As categorias de software podem ser divididas ainda mais, mas a ideia por trás da categorização atual era mostrar
como os adversários usam ferramentas e softwares legítimos para realizar ações como fazem com o malware tradicional.
3.6.1 Estrutura do Objeto de Software
Os itens são anotados por tag se o ponto de dados for uma referência informativa no software que pode ser usada para filtrar e
dinamizar, e campo se o item for um campo de texto livre usado para descrever informações e detalhes específicos do software. Itens
marcados com relacionamento indicam campos que estão associados a relacionamentos de entidades de objetos com técnicas ou
grupos. Os itens de dados marcados com * indicam que o elemento é obrigatório.
Tabela 4. Modelo de Software ATT&CK

Nome* Campo O nome do software.
EU IRIA*
Marcação Identificador exclusivo para o software dentro da base de
conhecimento. Formato: S####.
Etiqueta de software associada Nomes que têm referência sobreposta a uma entrada de software e
podem se referir ao mesmo software ou software similar no relatório de
inteligência de ameaças.
Versão* Campo Versão do software no formato MAJOR.MINOR.
Contribuinte Marcação Lista de contribuidores não-MITRE (indivíduos e/ou organizações) do

primeiro ao mais recente que contribuíram com informações sobre, ou
apoiando o desenvolvimento de um perfil de software.
Modelo* Marcação Tipo de software: malware ou ferramenta.

Plataforma* Marcação Plataforma em que o software pode ser usado. Por exemplo,
Windows.
Descrição* Campo Uma descrição do software com base em referências técnicas ou

relatórios públicos de ameaças. Pode conter vínculos com grupos
conhecidos por usar o software ou outros detalhes técnicos com
referências apropriadas.
Software Associado Campo Seção que pode ser usada para descrever os nomes de software
Descrições associados com referências ao relatório usado para
15

vincular o software associado ao software principal

nome.
Técnicas / Sub Relação Lista de (sub)técnicas que são implementadas pelo software
Técnicas usadas* / Campo com um campo para descrever detalhes de como a técnica é
implementada ou utilizada. Cada técnica deve incluir uma
referência.
Grupos Relação Lista de grupos pelos quais o software foi relatado para ser
/ Campo usado com um campo para descrever detalhes sobre como o
software é usado. Essas informações são preenchidas a partir
da entrada do grupo associado.
3.7 Mitigações
As mitigações no ATT&CK representam conceitos de segurança e classes de tecnologias que podem ser usadas
para evitar que uma técnica ou subtécnica seja executada com sucesso. Existem 41 mitigações no ATT&CK for
Enterprise em março de 2020 e incluem mitigações como isolamento e sandboxing de aplicativos, backup de dados,
prevenção de execução e segmentação de rede. [7] As mitigações são independentes do produto do fornecedor e
descrevem apenas categorias ou classes de tecnologias, não soluções específicas.
As mitigações são representadas por objetos semelhantes a grupos e softwares onde os relacionamentos significam
como uma mitigação pode mitigar uma técnica ou subtécnica. A ATT&CK for Mobile foi a primeira base de
conhecimento a usar o formato de objeto para mitigações. O ATT&CK for Enterprise foi alterado de um campo de
texto livre para descrever o comportamento de mitigação para o formato do objeto na atualização de julho de 2019.
Tanto o Enterprise quanto o Mobile têm seus próprios conjuntos de categorias de mitigação com sobreposição
mínima entre eles.
3.7.1 Estrutura do Objeto de Mitigação
Os itens são anotados por marca se o ponto de dados for uma referência informativa sobre a mitigação que
pode ser usada para filtrar e dinamizar, e campo se o item for um campo de texto livre usado para descrever
informações e detalhes específicos da mitigação. Itens marcados com relacionamento indicam campos que
estão associados a relacionamentos de entidade objeto com técnicas ou subtécnicas. Os itens de dados marcados
com * indicam que o elemento é obrigatório.
Tabela 5. Modelo de Mitigação ATT&CK

Nome* Campo O nome da categoria de mitigação.
EU IRIA*
Marcação Identificador exclusivo para a mitigação na base de
conhecimento. Formato: M####.
Descrição* Campo Uma descrição da mitigação baseada.
Versão* Campo Versão da mitigação no formato MAJOR.MINOR.
16

Técnicas Relação Lista de (sub-)técnicas potencialmente abrangidas por

Endereçado por / Campo esta mitigação.
Mitigação*
3.8 Relacionamentos do Modelo de Objetos ATT&CK

Cada componente de alto nível do ATT&CK está relacionado a outros componentes de alguma forma.
As relações descritas nos campos de descrição da seção anterior podem ser visualizadas em um
diagrama:
Figura 3. Relacionamentos do Modelo ATT&CK
Um exemplo aplicado a um grupo de ameaças persistentes específico em que o APT28 usa Mimikatz
para despejo de credenciais na memória do processo LSASS do Windows:
17

Figura 4. Exemplo de relacionamentos do modelo ATT&CK
18

3.9 Versão
A ATT&CK utiliza um sistema para versionamento de objetos (técnicas, subtécnicas, grupos, software e mitigações), a
visão matricial de domínios e releases. O sistema foi projetado para informar os usuários quando partes do ATT&CK
foram alteradas, dar uma indicação do grau da mudança, permitir que os usuários diferenciem entre as versões da matriz
e ter referências estáveis para lançamentos de conteúdo.
As versões serão incrementadas apenas entre lançamentos de conteúdo. Isso significa que, se duas alterações forem
feitas em uma técnica entre as atualizações agendadas, a versão aumentará apenas uma vez.
3.9.1 Objetos
No ATT&CK, objetos referem-se a qualquer item da base de conhecimento que possa ter um relacionamento com outro
objeto. Cada um tem seus próprios critérios de como as versões são incrementadas entre os lançamentos.
Todos os objetos são atribuídos a uma versão numérica de duas partes MAJOR.MINOR que começa em 1.0 para
qualquer novo objeto.
3.9.1.1 Técnicas e Subtécnicas
As principais alterações de versão consistem em alterações de nome e alterações de escopo que devem ocorrer
com pouca frequência. As mudanças de escopo são uma modificação de como a técnica pode ser interpretada ou o
que ela cobre ou não cobre na descrição e inclui mudanças em suas táticas atribuídas.
Alterações de versão secundárias consistem em alterações de informações descritivas, como atualizações secundárias
que não alteram o escopo, exemplos de procedimentos, detecções, atenuações e referências. Eles também incluem
quaisquer alterações de metadados, como plataformas, permissões necessárias, fontes de dados, defesas ignoradas,
etc.
3.9.1.2 Grupos
As principais alterações de versão consistem em alterações ou adições a grupos associados, bem como alterações na
descrição do grupo, o que deve ocorrer com pouca frequência.
Mudanças de versão menores consistem em mudanças nas referências e relacionamentos com técnicas e software.
3.9.1.3 Software
As principais alterações de versão consistem em alterações ou adições ao software associado, bem como alterações na
descrição do software, o que deve ocorrer com pouca frequência.
As alterações de versão secundárias consistem em alterações nas referências e relacionamentos com técnicas e
grupos.
3.9.1.4 Mitigações
As principais alterações de versão consistem em alterações no escopo do que a mitigação cobre e alterações no nome da
mitigação, o que deve acontecer com pouca frequência.
Alterações de versão menores consistem em alterações na descrição de uma mitigação que não afeta sua
escopo, bem como mudanças nas referências e relacionamentos com as técnicas.
19

3.9.1.5 Suspensão
Objetos podem ser descontinuados quando não são mais benéficos para rastreamento como parte da
base de conhecimento. Isso pode acontecer por vários motivos, incluindo combinar ideias técnicas ou
remover um objeto desnecessário.
Objetos obsoletos não são excluídos da base de conhecimento e ainda são mantidos nos repositórios STIX,
mas não aparecem mais na barra de navegação e na matriz no site principal da ATT&CK.
3.9.2 Matriz
Cada matriz que aparece no site da ATT&CK recebe um carimbo de data/hora da última modificação que
serve como seu número de versão. Isso se aplica ao Enterprise (e plataformas relacionadas), Cloud (e
plataformas relacionadas), Mobile (e plataformas relacionadas) e PRE-ATT&CK.
3.9.3 Liberações
Um lançamento ocorre quando as alterações na representação STIX do ATT&CK são empacotadas e

lançadas no repositório GitHub CTI [9] juntamente com quaisquer atualizações no site do ATT&CK. Versões
anteriores do conteúdo e do site são salvas e armazenadas para referência histórica. [10]
A Metodologia ATT&CK
As seções anteriores deste documento descreveram e definiram a finalidade e a estrutura da base de
conhecimento da ATT&CK. Esta seção descreve os componentes conceituais da metodologia utilizada na
criação e manutenção da ATT&CK. Ele também descreve o processo recomendado para determinar se e
quando novas técnicas devem ser adicionadas à base de conhecimento e como a inteligência de ameaças é
usada para formar o grupo e os perfis de técnica de software.
As informações dentro da ATT&CK evoluíram ao longo do tempo, assim como as considerações usadas
para quais informações são incluídas e como são estruturadas. O processo é tanto uma arte quanto uma
ciência, mas permanece focado em uma representação precisa de como os adversários conduzem as operações
de uma maneira que seja fácil de categorizar as ações que eles realizam e relacionar essas ações a sensores,
configurações do sistema e contramedidas que os defensores pode usar para detectar e/ou interromper essas ações.
4.1 Conceitual
Existem três ideias conceituais que são fundamentais para a filosofia por trás da ATT&CK:
• Mantém a perspectiva do adversário;
• Segue o uso da atividade no mundo real por meio de exemplos de uso empírico;
• O nível de abstração é apropriado para unir a ação ofensiva com possível defesa
contramedidas.
4.1.1 Perspectiva do Adversário

A ATT&CK assume a perspectiva de um adversário em sua terminologia e descrições de táticas e técnicas
descritas no modelo. Por outro lado, muitos modelos de segurança descrevem
20

segurança do ponto de vista de um defensor com uma visão de cima para baixo, como o modelo CIA2, foco na pontuação de
vulnerabilidade, como CVSS [6], ou principalmente contabilizar cálculos de risco, como DREAD [7].
O uso da perspectiva de um adversário pela ATT&CK facilita a compreensão de ações e potenciais

contramedidas no contexto do que seria de uma perspectiva puramente de defesa. Para detecção, muitas vezes os
analistas defensivos recebem alertas com pouco ou nenhum contexto sobre o evento que causou o alerta. Isso pode causar
um quadro de referência superficial para o que causou esses alertas e como essa causa se relaciona a outros eventos que
podem ter ocorrido em um sistema ou rede.
A mudança de perspectiva muda a questão do que aconteceu com base em uma lista de recursos disponíveis para o que
poderia acontecer com uma estrutura para alinhar uma estratégia defensiva à cartilha do adversário. Em parte, o ATT&CK
fornece um quadro de referência mais preciso sobre como abordar a avaliação da cobertura defensiva. Ele transmite as
relações e dependências entre as ações e as informações adversárias de uma forma que é agnóstica de qualquer ferramenta
de defesa específica ou método de coleta de dados. Os defensores podem então seguir a motivação do adversário para ações
individuais e entender como as ações e dependências se relacionam com classes específicas de defesas que podem ser
implantadas em um ambiente.
4.1.2 Uso Empírico

A atividade descrita pela ATT&CK é em grande parte extraída de incidentes relatados publicamente sobre
comportamento suspeito de grupo de ameaça persistente avançada, o que fornece uma base para a base de
conhecimento para que ela retrate com precisão a atividade que está acontecendo ou que provavelmente acontecerá na natureza.
A ATT&CK também se baseia em técnicas descobertas e relatadas por meio de pesquisas ofensivas em áreas que
adversários e equipes vermelhas provavelmente usarão contra redes corporativas, como técnicas que podem subverter
defesas modernas e comumente usadas. O vínculo com os incidentes mantém o modelo fundamentado em ameaças do
mundo real que provavelmente serão encontradas, em vez de técnicas teóricas que provavelmente não serão vistas devido à
dificuldade de uso ou baixa utilidade.
4.1.2.1 Fontes de Informação
Novas informações relevantes para as técnicas ATT&CK podem vir de muitas fontes diferentes. Essas fontes são usadas para
ajudar a atender aos critérios de uso empírico:
• Relatórios de inteligência de ameaças
• Apresentações de conferências
• Webinars
• Mídia social
• Blogues
• Repositórios de código-fonte aberto
• Amostras de malware
2
Confidencialidade, Integridade e Disponibilidade
21

4.1.2.2 Contribuições da Comunidade
A ATT&CK depende muito da contribuição da comunidade sobre o que eles veem acontecendo na natureza para
manter-se atualizado com informações relevantes. [13] O papel do MITRE no processo é coletar, priorizar e organizar
as informações recebidas para garantir que estejam alinhadas com a ATT&CK e beneficiem a compreensão da
comunidade sobre o comportamento do adversário e melhorem como a comunidade pode se defender contra esses
comportamentos. As informações podem ser usadas de diferentes maneiras, dependendo de onde as informações vêm
e da vantagem que a organização ou o indivíduo contribuinte tem.
Os analistas de inteligência de ameaças normalmente rastreiam incidentes, grupos de ameaças e como seus TTPs
evoluem ao longo do tempo. CTI é a base sobre a qual a ATT&CK é construída e fornece uma das melhores fontes de
informação para informar novas técnicas, bem como grupos e softwares.
Os defensores veem os adversários em ação e muitas vezes estão em posição de ver quando novas técnicas estão
sendo usadas. Os defensores neste contexto referem-se a caçadores de ameaças, analistas de malware e
respondentes a incidentes. As observações dos defensores são outra grande fonte de informação para a ATT&CK
Os Red Teamers podem não rastrear grupos adversários ou estar em posição de ver técnicas em estado selvagem, mas
podem fornecer uma fonte útil de informações sobre como as técnicas são feitas. As equipes vermelhas também
desenvolvem ou usam software de código aberto que também pode ser usado por adversários à solta.
As contribuições para a ATT&CK vão além das técnicas. Informações novas e atualizadas relacionadas a detecções,
fontes de dados, mitigações, melhores práticas e outros aspectos do ATT&CK são usadas para aprimorar as informações
na base de conhecimento.
4.1.2.3 Incidentes não reportados
A grande maioria dos incidentes descobertos não são relatados publicamente. Incidentes não relatados
ou subnotificados podem conter informações valiosas sobre como os adversários se comportam e se envolvem nas
operações. Muitas vezes, as técnicas usadas podem ser separadas de informações potencialmente sensíveis ou
prejudiciais e ajudam a fornecer insights sobre novas técnicas e variações, bem como dados estatísticos para mostrar a
prevalência de uso.
Esse tipo de evidência circunstancial de uso é valioso e é levado em consideração como dados empíricos
relacionados ao uso ao adicionar novas informações ao ATT&CK com base nas contribuições da comunidade.
4.1.3 Abstração
O nível de abstração para táticas e técnicas adversárias dentro do ATT&CK é uma distinção importante entre ele e
outros tipos de modelos de ameaças. Modelos de alto nível, como os vários ciclos de vida do adversário, incluindo
o Lockheed Martin Cyber Kill Chain®, o Microsoft STRIDE, etc., são úteis para entender os processos de alto nível e os
objetivos do adversário. No entanto, esses modelos não são eficazes para transmitir quais ações individuais os
adversários fazem, como uma ação se relaciona com outra, como as sequências de ações se relacionam com os
objetivos táticos do adversário e como as ações se correlacionam com fontes de dados, defesas, configurações e outras
contramedidas usadas para a segurança de uma plataforma e domínio.
Por outro lado, bancos de dados e modelos de exploração descrevem instâncias específicas de software explorável –
que geralmente estão disponíveis para uso com exemplos de código - mas estão muito distantes do
22

circunstâncias em que poderiam ou deveriam ser usados, bem como pela dificuldade de usá-los.
Da mesma forma, os bancos de dados de malware também existem, mas normalmente não têm contexto sobre
como o malware é usado e por quem. Eles também não levam em consideração como o software legítimo pode ser
usado para fins maliciosos.
Um modelo de adversário de nível médio como o ATT&CK é necessário para unir esses vários componentes.
As táticas e técnicas do ATT&CK definem os comportamentos adversários dentro de um ciclo de vida em um grau em
que podem ser mapeados com mais eficácia para as defesas. Os conceitos de alto nível, como Controlar, Executar e
Manter, são divididos em categorias mais descritivas, nas quais as ações individuais em um sistema podem ser
definidas e categorizadas. Um modelo de nível médio também é útil para contextualizar conceitos de nível inferior. As
técnicas baseadas em comportamento são o foco, em oposição às explorações e malware, porque são numerosas,
mas são difíceis de raciocinar sobre elas com um programa defensivo holístico que não seja varreduras regulares de
vulnerabilidades, correções rápidas e IOCs.
Exploits e softwares maliciosos são úteis para um kit de ferramentas do adversário, mas para entender completamente
sua utilidade, é necessário entender o contexto no qual eles podem ser usados para atingir um objetivo. O modelo de
nível médio também é uma construção útil para vincular inteligência de ameaças e dados de incidentes para mostrar
quem está fazendo o quê, bem como a prevalência de uso de técnicas específicas. A Figura 4 mostra uma
comparação do nível de abstração entre modelos de nível alto, médio e baixo e bancos de dados de conhecimento
de ameaças:
Figura 5. Comparação de abstração de modelos e bancos de dados de conhecimento de ameaças
O que a abstração da técnica ATT&CK fornece:
• Uma taxonomia comum de ações e objetivos de adversários individuais compreendidos por ambos
ataque e defesa.
• Um nível apropriado de categorização para relacionar a ação do adversário e formas específicas de defesa
contra ele.
23

4.2 Táticas
Como as táticas representam os objetivos táticos de um adversário, estes permanecem relativamente estáticos
ao longo do tempo, porque é improvável que os objetivos do adversário mudem. As táticas combinam aspectos
do que o adversário está tentando realizar com qual plataforma e domínio ele está operando. Muitas vezes,
esses objetivos serão semelhantes entre as plataformas, e é por isso que as táticas Enterprise ATT&CK são
consistentes no Windows, macOS e Linux e são muito semelhantes às táticas Use Device Access no ATT&CK
for Mobile. Os lugares onde eles diferem serão onde os objetivos do adversário e as tecnologias de plataforma
ou domínio diferem. Um exemplo disso é mais uma vez evidente com o ATT&CK for Mobile para cobrir como os
adversários podem fazer downgrade ou interceptar conexões entre dispositivos móveis e sua rede ou provedor
de serviços.
Pode haver casos em que as táticas precisam ser refinadas para melhor definição das ações que ocorrem.
No ATT&CK for Enterprise original, a tática de cobrança do Windows não existia; em vez disso, foi incluído
como parte da Exfiltração. Essa representação se encaixou suficientemente na época porque era amplamente
vista como uma ação – um adversário filtra informações, mas não representava com precisão os motivos e
ações distintos necessários para uma exfiltração bem-sucedida. De onde vêm os dados e como eles são obtidos
é tão importante quanto como um adversário remove os dados de um ambiente e também representa locais
distintos onde essas ações podem ser detectadas. Há também uma diferença de tempo entre quando um
adversário pode coletar informações e quando ele as exfiltra. Assim, decidiu-se dividir essa tática em duas e
descrever a Coleção separadamente.
Novas táticas seguirão a necessidade de definir objetivos de adversários existentes, mas não categorizados, ou
novos, como forma de fornecer um contexto preciso para o que um adversário está realizando ao realizar uma
ação técnica.
4.2.1 Impacto
Os tipos de táticas da ATT&CK se alinharam historicamente para cobrir adversários focados principalmente
em violar a confidencialidade das informações. Objetivos como acesso inicial, descoberta e acesso a
credenciais são comumente usados para obter e expandir o acesso em um ambiente com o objetivo final de
roubar informações por meio de coleta e exfiltração. No entanto, essas táticas não abrangeram ataques
disruptivos e/ou destrutivos contra informações ou sistemas. Em 2019, a tática Impacto foi adicionada à
ATT&CK para suprir essa falta de cobertura. Com o aumento de ransomware direcionado, incidentes de limpeza
de disco, manipulação de transações financeiras e ataques distribuídos de negação de serviço em larga escala,
era importante para a ATT&CK manter a paridade com o comportamento que os adversários estão usando,
mesmo que seus objetivos não estejam focados na exfiltração de dados.
Em vez de incluir todos os tipos possíveis de comportamentos não abordados em outras partes da
ATT&CK, as técnicas da tática Impacto envolvem especificamente apenas ataques que afetam a
integridade ou disponibilidade de informações ou sistemas. Juntamente com as outras táticas do ATT&CK,
isso aumenta o escopo do ATT&CK para cobrir a tradicional tríade de Confidencialidade, Integridade e
Disponibilidade, ou CIA. Os ataques à disponibilidade reduzem ou removem a capacidade de usar um sistema
ou as informações nele, danificando-o ou reduzindo sua utilidade. Por exemplo, substituir o registro mestre de
inicialização (MBR) de um computador, atividade que se enquadra na Limpeza da estrutura de disco, torna o
sistema incapaz de inicializar e indisponível para os usuários. Ataques à integridade manipulam a precisão ou
integridade das informações. Por exemplo, um invasor modificando o saldo de uma conta bancária
24

armazenados em um banco de dados, atividade que se enquadra em Manipulação de Dados: Manipulação de Dados Armazenados,
danifica a integridade das informações da balança. Cada técnica e subtécnica na tática de Impacto inclui uma etiqueta
obrigatória de “Tipo de Impacto” com um valor de “Disponibilidade” ou “Integridade” indicando qual delas a (sub)técnica
impacta.
Semelhante a outras táticas no ATT&CK, é importante levar em consideração os objetivos do adversário ao alavancar as
técnicas de Impacto. Um adversário que exclua arquivos para diminuir sua probabilidade de detecção em um sistema final
cairia em Remoção de Indicador no Host: Exclusão de Arquivos em Defesa Evasão, em vez de Destruição de Dados no
Impacto, apesar de ambas as técnicas envolverem a exclusão de arquivos.
4.3 Técnicas e Subtécnicas

Técnicas e subtécnicas são a base do ATT&CK e representam as ações individuais que os adversários fazem ou as
informações que o adversário aprende ao realizar uma ação.
4.3.1 O que compõe uma técnica ou subtécnica

Existem vários fatores para técnicas e subtécnicas dentro da ATT&CK. Todos os fatores são ponderados no processo
de decisão para criar uma técnica ou subtécnica e contribuir com as informações que povoam seus respectivos detalhes
dentro da base de conhecimento.
4.3.1.1 Nomenclatura
Os nomes das técnicas focam no aspecto da técnica que a torna única – o que o adversário alcança em um nível intermediário
de abstração ao usar a tática. As subtécnicas geralmente significam como uma técnica é usada em um nível mais baixo de
abstração. Um exemplo do primeiro é
Despejo de credenciais [10] para acesso a credenciais, onde o despejo de credenciais é um método de obter acesso a
novas credenciais — e as credenciais podem ser despejadas de várias maneiras diferentes. UMA
exemplo de sub-técnica deste último é Rundll32 [11] para Evasão de Defesa. Ele fica em um nível mais baixo de abstração,
onde Rundll32 representa uma maneira específica pela qual a técnica Signed Binary Proxy Execution pode ser usada. A
terminologia aceita pela indústria tende a ser usada se já estiver estabelecida e documentada por meio de apresentações em
conferências, postagens em blogs, outros artigos etc.
4.3.1.2 Tipos de Abstração Técnica
As técnicas geralmente caem em dois níveis de abstração:
1. Técnicas gerais que se aplicam a várias plataformas de maneira geral (por exemplo, Exploit Public Facing Application
[12] que depende de software vulnerável)
2. Técnicas gerais que se aplicam a várias plataformas de maneiras específicas (por exemplo, Injeção de
Processo [13] que tem várias maneiras específicas de plataforma que pode ser feita)
As subtécnicas geralmente caem em um nível de abstração:
1. Formas específicas de execução de uma técnica que podem se aplicar a uma ou mais plataformas
(por exemplo, Rundll32 [11] como uma forma específica de executar Signed Binary Proxy Execution [14])
Para o primeiro, detalhar como essa técnica se aplica a várias plataformas com seções específicas para cada plataforma na
descrição técnica provavelmente não faz sentido porque a técnica
25

descreve um comportamento agnóstico de plataforma geral, como muito da tática de Comando e Controle. A descrição
é geral e os detalhes são fornecidos com referências aos exemplos das diferentes plataformas, conforme necessário.
Técnicas que podem ser executadas de algumas maneiras diferentes para alcançar resultados iguais ou semelhantes são
agrupados em uma categoria geral de técnicas, como Credential Dumping. Essas técnicas podem ser aplicadas a várias
plataformas de maneiras específicas. Essas diferentes maneiras seriam então definidas como subtécnicas que descrevem
como esses comportamentos podem ser aplicados individualmente com base na plataforma.
As subtécnicas geralmente são maneiras específicas pelas quais um adversário age contra uma plataforma específica ou
usando um conceito semelhante que funciona de maneira semelhante em todas as plataformas. Rundll32 é um exemplo do
anterior que se aplica apenas a sistemas Windows. Essas subtécnicas tendem a descrever como os componentes individuais
da plataforma são abusados pelos adversários. Arquivos e diretórios ocultos é um exemplo deste último, pois aproveita um
conceito semelhante que abrange Windows, Linux e Mac, mas é um exemplo específico de como um adversário ocultaria
artefatos em um sistema designado pela técnica Ocultar artefatos.
Às vezes, técnicas ou subtécnicas podem ter várias etapas necessárias, algumas dessas etapas podem ser relacionadas a
outras técnicas existentes ou etapas que podem ser técnicas individuais. Quando isso ocorre, é importante focar no atributo
distintivo do comportamento ou no que o torna diferente dos demais.
4.3.1.3 Referências Técnicas
Referências técnicas são fornecidas para direcionar os usuários para pesquisas adicionais ou mais detalhes sobre as técnicas.
As áreas em que as referências técnicas são úteis incluem: histórico da técnica, uso esperado em casos benignos, exemplos
de uso geral, variações de uma técnica, ferramentas relevantes e repositórios de código-fonte aberto, exemplos de detecção
e melhores práticas e categorias de mitigação e melhores práticas.
4.3.1.4 Uso Adversário
ATT&CK também inclui informações sobre se (e por quem) uma técnica ou subtécnica é usada na natureza e seus impactos
relatados. Conforme mencionado na seção de uso empírico, existem muitas fontes dessa informação. A ATT&CK permanece
fortemente ligada a fontes de inteligência de ameaças em grupos de ameaças persistentes. À medida que o escopo do
ATT&CK foi expandido e refinado, também aumentaram os critérios necessários para adicionar informações. A ATT&CK
também inclui pesquisa pública ofensiva usada por equipes vermelhas contra redes corporativas, já que os adversários são
conhecidos por adotar essas técnicas publicadas. Também há menos incidentes de ameaças persistentes relatados em
sistemas Linux e Mac do que em Windows, fazendo com que os dados de ameaças disponíveis sejam substancialmente menos
disponíveis. Fontes de dados gerais que não estão necessariamente vinculadas ao uso de grupos de ameaças persistentes
podem ser usadas no lugar quando as técnicas se alinham bem com o comportamento típico das ameaças persistentes.
Existem várias categorias gerais de informações de uso empírico que podem ser usadas:
• Relatado – O comportamento é relatado com uso selvagem por meio de fontes públicas.
• Relatado, não público – O uso do comportamento é relatado em fontes não públicas, mas o conhecimento da técnica
ou subtécnica existente está presente em fontes públicas.
26

• Subnotificado - Comportamentos que provavelmente estão sendo usados, mas não estão sendo relatados para
alguma razão. Também pode haver casos em que existam informações circunstanciais de que uma técnica está
em uso, mas geralmente é difícil coletar ou divulgar informações afirmando que a técnica está em uso devido a
sensibilidades relacionadas à fonte de informação ou método de coleta. A discrição é usada com base na
credibilidade do
fonte.
• Não reportado – Não há nenhuma fonte de informação pública ou não pública dizendo que um comportamento está em uso.
Esta categoria pode conter novas pesquisas ofensivas usadas por equipes vermelhas que foram
publicadas, mas o uso selvagem por grupos adversários é desconhecido. A discrição é usada com base na
utilidade da técnica ou subtécnica e na probabilidade de uso pelos adversários.
4.3.1.5 Distinção Técnica
Vários fatores são considerados ao incluir novas informações para determinar onde e como elas se encaixam no modelo:
• Objetivo- O que a técnica ou subtécnica está realizando. Técnicas semelhantes podem ser executadas da
mesma maneira para realizar táticas diferentes. Da mesma forma, diferentes técnicas podem realizar a
mesma tática de maneiras diferentes.
• Ações- Como uma técnica ou subtécnica é executada. O "gatilho" é diferente

entre as técnicas que as distingue mesmo que o resultado possa ser o mesmo ou semelhante?
• Use- Quem está usando? Existem vários grupos? Se sim, como o uso é diferente ou o
mesmo?
• Requisitos- Os componentes que são necessários para usar uma técnica ou subtécnica, ou são afetados pelo uso
de uma técnica. Por exemplo, arquivos, locais, alterações de registro, chamadas de API, permissões, etc. Qual
é a sobreposição de componentes entre as técnicas? Eles são distintos ou semelhantes?
• Detecção - O que precisa ser instrumentado para detectar o uso da técnica ou sub
técnica? Isso está relacionado a requisitos e ações, mas pode diferir entre as técnicas relacionadas.
• Mitigações- Quais opções de mitigação disponíveis para a técnica? São semelhantes ou

diferente de outras técnicas que são executadas da mesma forma ou têm o mesmo resultado?
4.3.2 Criando Novas Técnicas

Quando um potencial novo comportamento é identificado, existem várias abordagens possíveis para incluí-lo no ATT&CK:
• Adicionando uma técnica totalmente nova,
• Adicionando uma nova subtécnica em uma técnica existente, ou
• Aprimorar ou abstrair uma técnica ou subtécnica existente para torná-la inclusiva

o comportamento recém-identificado ou anteriormente não categorizado.
27

Essa escolha nem sempre é clara – as seguintes perguntas ajudam a orientar a decisão:
• Em que tática o comportamento se enquadra? Várias táticas se aplicam?
o Dentro de uma tática, outras técnicas são semelhantes a esta?
§ Em caso afirmativo, como eles são semelhantes?
§ A semelhança é suficiente para categorizá-los juntos?
§ É uma forma específica de executar uma técnica existente?
o A referência de uso empírico apoia o uso tático?
§ É plausível que o comportamento possa ser usado para esse objetivo tático mesmo se os dados
não estiverem disponíveis devido a técnicas relacionadas?
• Para comportamentos semelhantes a técnicas ou subtécnicas existentes:
o O novo comportamento se encaixa naturalmente sob a técnica semelhante como um novo sub
técnica?
o Como o novo comportamento é realizado? É semelhante em execução a outros

técnicas? De quantas maneiras diferentes ela pode ser realizada com
malware adversário e outras ferramentas?
§ Uma equipe de emulação vermelha ou adversária agruparia conceitualmente essa

técnica com outras ou a trataria separadamente?
o O novo comportamento tem um método de detecção ou conjunto de métodos diferente da técnica

existente?
§ Existem fontes de dados ou métodos semelhantes para criar análises semelhantes ou

diferentes das técnicas existentes?
o O novo comportamento tem um método ou conjunto de métodos de mitigação diferente da técnica

existente?
§ É a implementação ou os métodos de implantação da mitigação

fundamentalmente diferente das técnicas existentes que podem ser inibidas por uma mitigação
semelhante?
o A criação de uma nova técnica seria útil para um usuário final do modelo?
§ Os defensores agrupariam conceitualmente essa técnica com outras ou a tratariam

separadamente?
4.3.3 Aprimorando as Técnicas Existentes

Se um novo comportamento não é conceitualmente diferente em como é implementado ou defendido,
então provavelmente deve ser incluído em uma técnica ou sub-técnica existente. Outras questões a serem consideradas
ao adicionar novas informações a uma técnica existente:
• O que distingue essa variação dos métodos existentes de uso da técnica ou sub
técnica?
o Como é realizado?
28

o Que diferenças analíticas, se houver, podem ser necessárias para detectar efetivamente o uso ou
artefatos do lado do sistema e da rede resultantes da técnica que está sendo usada?
o Existem considerações diferentes para mitigação?
4.3.4 Grupos Adversários Nomeados Usando Técnicas
Também é importante considerar o uso de grupos adversários e variações de técnicas e subtécnicas para
determinar como elas devem ser documentadas adequadamente. Esses fatores também podem
contribuem para a criação ou não de uma nova técnica ou para o aprimoramento de uma já existente.
• Existem diferentes grupos adversários que usam esta técnica ou subtécnica?
o Se sim, como é diferente?
o As diferenças são características distintivas desse grupo?
o As diferenças devem ser documentadas no perfil do grupo adversário de como eles são
conhecidos por implementar a técnica?
4.3.5 Incorporação de Inteligência de Ameaças em Grupos e Software dentro da ATT&CK
As informações sobre grupos são derivadas de relatórios de código aberto e cada uma das técnicas e subtécnicas
usadas deve ter uma referência à fonte que explica como o grupo a utiliza.
O ATT&CK é baseado em referências de código aberto para garantir a rastreabilidade das informações e permitir
que os usuários avaliem as fontes de informações.
As fontes devem ser conhecidas por serem respeitáveis dentro da comunidade de segurança cibernética e
demonstrar as melhores práticas de análise de inteligência. Fontes comuns incluem blogs de fornecedores de
segurança, mas outras fontes, como blogs pessoais ou Twitter, podem ser usadas desde que as informações sejam
consideradas confiáveis. As fontes originais devem ser usadas sempre que possível, em vez de relatórios
secundários sobre as fontes. Não aceitamos informações vazadas ou classificadas de qualquer corporação ou
governo como base para inteligência de ameaças dentro da ATT&CK.
Exemplos de fontes de relatórios de ameaças disponíveis publicamente são considerados confiáveis com base
em critérios amplamente aceitos para avaliar informações, incluindo:
1. A fonte é consistente interna e externamente?
2. A fonte é conhecida por ter relatado de forma confiável no passado?
3. A fonte é amplamente utilizada, respeitada e referenciada pelos analistas de segurança cibernética no

comunidade?
4. A fonte contém erros ortográficos ou gramaticais?
5. A fonte demonstra uma metodologia de análise sólida (incluindo evidência de apoio, níveis de confiança e
lacunas)? Inclui “saltos” analíticos?
6. Outras fontes corroboram as informações fornecidas?
Ao documentar técnicas e subtécnicas usadas, várias técnicas podem ser aplicadas simultaneamente
ao mesmo comportamento. Por exemplo, o tráfego de Comando e Controle baseado em HTTP na porta 8088
cairia tanto na técnica de Porta Não Padrão quanto na subtécnica de Protocolos da Web do Protocolo de Camada
de Aplicativo. Isto é para capturar as várias técnicas
29

aspectos de uma técnica e relacioná-los às razões específicas de seu uso e quais fontes de dados e contramedidas podem
ser usadas pelos defensores. Os analistas também devem ter cautela e não presumir que uma técnica foi usada se não for
explicitamente declarada ou não puder ter acontecido de outra forma durante o incidente relatado. No mesmo exemplo, se o
tráfego de Comando e Controle for por HTTP, a menos que seja explicitamente declarado ou conhecido, um analista não deve
presumir que o tráfego seja pela porta 80 porque os adversários podem usar portas não padrão, como no exemplo.
Alguns grupos no ATT&CK têm vários nomes associados a conjuntos de atividades relacionados devido a várias organizações
que rastreiam os mesmos (ou semelhantes) conjuntos de atividades por nomes diferentes.
As definições de grupos das organizações podem estar apenas parcialmente sobrepostas e podem discordar em atividades
específicas. Pode haver várias nuances que levam um analista e uma organização a categorizar a atividade adversária
separadamente, como diferenças na visibilidade da atividade suspeita de um grupo.
[12] Apesar desse desafio, rastrear grupos associados para atividades semelhantes é útil para muitos usuários do ATT&CK,
portanto, as páginas do grupo se esforçam ao máximo para rastrear nomes relacionados com base em relatórios públicos. Assim
como as técnicas utilizadas devem ser citadas, cada grupo associado também deve ser citado. Pode haver informações adicionais,
ou análises baseadas em dados incompletos ou indisponíveis, que podem levar a mudanças na forma como os grupos adversários
são categorizados.
As técnicas usadas por um grupo devem se concentrar nas técnicas e subtécnicas que se acredita terem sido executadas
diretamente pelos adversários, e não naquelas executadas sem a interação do adversário por uma amostra de software
específica. As técnicas executadas por software devem ser listadas na página de software apropriada, e esse software é então
vinculado ao grupo que o utilizou usando o relacionamento/campo mencionado acima.
4.3.5.1 Uso desagrupado de técnicas
Os relatórios geralmente incluem comportamento adversário e uso de técnicas para atividades não agrupadas ou não identificadas.
Esta ainda é uma fonte de informação muito útil. Só porque a atividade não está correlacionada a um grupo nomeado não significa
que ela não deva ser incluída como justificativa para uma técnica ou aprimoramento de informações. Normalmente, essas
informações são incluídas como referência na seção técnica de uma técnica que descreve instâncias de como a técnica pode ser
usada.
4.3.6 Exemplos de Aplicação da Metodologia para Novas Técnicas

Esta seção considera duas técnicas separadas – Process Injection e SQL Injection – e percorre a metodologia descrita acima para
ilustrar quando e como adicionar novas técnicas à base de conhecimento ATT&CK.
Injeção de Processo – Análise de uma técnica que existe dentro da ATT&CK aplicando a metodologia acima. A injeção de
processo, às vezes chamada de injeção de DLL, é uma classe de comportamento que descreve como um adversário pode usar
um processo em execução benigno existente como uma forma de ocultar a presença de seu código em execução.
Considerações:
• Essa técnica é usada para ocultar algumas defesas comuns, como análise de árvore de processo. Ele também pode ser
usado para executar dentro de um determinado contexto de outro processo que tenha certos direitos ou permissões de
usuário.
30

• Aplica-se a sistemas Windows e Linux e representa uma funcionalidade benigna usada por software legítimo
que pode ser usado por adversários para fins maliciosos.
• Requer telemetria em tempo real do sistema em processos em execução e interações com processos por meio da
API para detectar efetivamente o uso. Alguma detecção forense de injeção de processo é possível, dependendo
da variação usada, de bibliotecas carregadas e outras fontes de dados, mas requer tempo adequado.
• A mitigação é difícil devido à sua utilidade benigna no software. Alguns recursos de segurança podem atenuar
aspectos dessa técnica, como lista de permissões de aplicativos que inclui análise de módulos carregados
ou integridade de código que impede que processos de um nível de integridade mais baixo façam interface
com processos executados em um nível de integridade mais alto.
• Muitos grupos adversários usam essa técnica, que é um componente de ferramentas, scripts e
malware.
• Existem várias variações de injeção de processo, mas a maioria segue uma sequência comum de um processo
inicial controlado pelo adversário solicitando acesso a um processo não malicioso, carregando código dentro
dele e forçando esse processo a executar o novo código.
• Algumas variações carregam DLLs do disco, enquanto outras executam carregamento reflexivo que não requer um
arquivo em disco.
• Métodos de execução relacionados requerem que um binário seja colocado em disco e/ou algum
alteração de configuração que carregará e executará o código em um novo processo representando diferentes
oportunidades para detectar e mitigar.
• Outros métodos relacionados usam funcionalidades diferentes fornecidas pelo Windows para carregar e
executar código, como shims de aplicativos.
• Conceitos semelhantes existem em sistemas baseados em Linux para carregar bibliotecas dinamicamente em
processos.
Conclusões:
• O recurso principal dessa técnica é carregar código malicioso em um live existente

processo.
• A técnica é amplamente utilizada em muitos grupos de adversários.
• Existem várias variações dessa técnica e o comportamento central é distinto o suficiente de outros métodos
relacionados de evasão de defesa e escalação de privilégios para garantir uma entrada individual.
• Existem várias variações dentro deste conceito central para incluir na entrada de injeção de processo que deve
ser definida como subtécnicas sob uma técnica pai de injeção de processo.
• A injeção de processo deve ser incluída como uma técnica sob evasão e privilégio de defesa
escalação. [13]
SQL Injection (SQLi) – um exemplo de análise de uma técnica que não está explicitamente no ATT&CK aplicando a
metodologia acima.
31

SQLi é um método de injeção de código por meio de uma interface da Web incorretamente protegida que é
interpretada e executada por um processo de banco de dados. A execução de código resultante pode ser usada para
vários propósitos, incluindo adicionar ou modificar informações, obter acesso a um sistema, fazer com que o servidor
baixe e execute outro código que pode resultar em persistência, acesso a credenciais, escalonamento de privilégios,
coleta e exfiltração .
Considerações:
• O SQLi pode ser executado para obter acesso a um servidor Web externo em uma DMZ ou servidor Web
posicionado incorretamente que resultaria em comprometimento da rede. Também pode ser realizado para obter
movimento lateral dentro de uma empresa, mas os incidentes relatados em estado selvagem têm sido escassos
neste caso de uso.
• Fundamentalmente, o SQLi está explorando uma vulnerabilidade no software de aplicativo da Web devido ao
design de código inadequado e não é um comportamento benigno que um adversário possa usar para algum
propósito.
• SQLi é uma vulnerabilidade predominante que ocorre com frequência em muitos tipos diferentes de aplicativos da
Web, independentemente do idioma ou da plataforma em que são escritos.
• Software foi desenvolvido para automatizar SQLi; é improvável que isso seja executado manualmente.
• Para a variação externa, as fontes de dados que coletam tráfego no limite provavelmente veriam esse comportamento.
Os logs de aplicativos da web e do servidor de banco de dados também podem ser usados.
A detecção do verdadeiro positivo pode ser difícil devido a certa variação que pode ser usada na
frequência e no tempo de tentativas e métodos para ocultar indicadores.
• Para a variação interna, as ferramentas que normalmente não estão presentes em uma rede corporativa
provavelmente precisariam ser baixadas e usadas por um adversário. Dependendo da ferramenta e de como
ela é usada, ela pode criar uma enorme quantidade de tráfego contra um
servidor web acessível internamente. Fluxo de rede interno, captura de pacotes, logs da web e monitoramento de
endpoints podem ser usados para detectar aspectos do download e uso da ferramenta.
• Existem muitos métodos de como o SQLi pode alcançar um banco de dados por meio de várias entradas e
parâmetros de dados malformados. Como eles são detectados ou mitigados não são fundamentalmente diferentes
uns dos outros. A entrada de banco de dados ou logs da web podem ser usados para procurar entradas SQLi
comuns que resultam na execução de código. Da mesma forma, o uso de desenvolvimento web seguro e
construções de programação segura existentes mitiga um grande número de instâncias SQLi.
• Os adversários são conhecidos por usar o SQLi como meio de obter acesso a
servidores web disponíveis. Não há bons dados disponíveis sobre uso em redes internas para outros fins.
Conclusões:
• O contexto no qual o SQLi se encaixa nos objetivos táticos de um adversário o coloca nas tentativas de obter acesso
a um sistema por meio de uma vulnerabilidade de software existente. Um exemplo é o acesso inicial em um
comprometimento de rede ao comprometer um aplicativo externo.
• SQLi é uma variação de uma técnica de exploração contra uma tecnologia de software específica
e é uma abstração apropriada de como um adversário realiza o compromisso inicial. Isto
32

não precisaria ser descrito de várias maneiras neste nível de técnica devido às variações limitadas
em como é executada por um adversário, detectada por defensores ou mitigada por meio de design
de software adequado. Recursos adicionais podem ser citados conforme necessário, como CAPEC,
CWE, OWASP que detalham detalhes.
• Inclua SQLi no ATT&CK como um aprimoramento de detalhes técnicos do Exploit Public-Facing

Application para obter acesso a servidores ou bancos de dados da Web expostos. [15]
4.4 Aplicando a Metodologia ATT&CK

A ATT&CK organiza de forma sucinta as táticas e técnicas do adversário, além de fornecer uma linguagem
comum usada em todas as disciplinas de segurança. Esses atributos o tornam um conceito útil para aqueles
que precisam se defender contra adversários entendendo melhor seu comportamento. Embora a ATT&CK se
concentre em como os adversários comprometem e operam dentro de redes de informações de computadores
e tecnologias relacionadas, a metodologia por trás de como foi construída pode ser aplicada a outras áreas.
Desde que o ATT&CK foi publicado, o MITRE o expandiu em vários domínios de tecnologia adicionais,
incluindo dispositivos móveis, nuvem e ICS. Ainda mais domínios poderiam ser pesquisados, mas dado o
nosso critério de basear as informações do ATT&CK no uso de técnicas in-the-wild, muitas vezes uma
aplicação da metodologia ATT&CK não significa que o resultado seja um modelo ATT&CK. Há dois casos
em que isso pode se aplicar. O primeiro caso é quando existe pouca ou nenhuma inteligência de ameaças
disponível sobre os adversários que operam, seja porque não há dados coletados e relatados ou porque não
há adversários operando nesse espaço. Os sistemas de controle de automação predial podem ser um
exemplo. Nesse caso, o processo de identificação da estrutura e do conteúdo do modelo pode incluir
quantidades significativas de comportamentos teóricos ou derivados da equipe vermelha. A segunda é quando
o modelo não se relaciona com o uso adversário da tecnologia da informação do computador
redes, desviando-se do espaço central que o ATT&CK foi projetado para endereçar. Nesse caso, o modelo
pode ser construído em torno de um domínio adversário completamente diferente, como a desinformação,
usando os mesmos critérios que o ATT&CK foi construído com o uso de técnicas disponíveis. O projeto
AMITT da Credibility Coalition é um exemplo em que a metodologia ATT&CK foi aplicada para construir um
modelo descrevendo desinformação e campanhas de influência. [16] Ambos os casos são uma aplicação
válida e potencialmente útil da metodologia MITRE usada para criar e manter ATT&CK, embora não sejam
modelos MITRE ATT&CK.
33

Resumo
Este artigo discutiu a motivação por trás da criação do ATT&CK, os componentes descritos nele, sua filosofia de
design, como o projeto progrediu e como ele pode ser usado. Ele deve ser usado como uma fonte oficial de
informações sobre o ATT&CK, bem como para ajudar a orientar como o ATT&CK é mantido e como a metodologia
por trás do ATT&CK pode ser usada para criar bases de conhecimento para novos domínios.
A adoção do ATT&CK é generalizada em várias disciplinas, incluindo detecção de intrusão, caça a ameaças,
engenharia de segurança, inteligência de ameaças, red teaming e gerenciamento de riscos. É importante que a
MITRE busque transparência sobre como a ATT&CK foi criada e o processo de decisão usado para mantê-la, à
medida que mais organizações usam a ATT&CK. Queremos que os usuários do ATT&CK tenham confiança nas
informações e recursos que ele pode fornecer e compreendam melhor como podem começar a usá-lo – e também
como e onde podem ajudar o ATT&CK a crescer.
Os tipos de informações que entraram no ATT&CK e o processo usado para criá-las e mantê-las também podem
ser úteis para outros trabalhos para derivar modelos semelhantes para outros domínios de tecnologia ou para
taxonomias de comportamento adversário em outras áreas. A base da ATT&CK com informações sobre ameaças
orientadas empiricamente e seus casos de uso direcionados para emulação de adversários e uma melhor medição
da cobertura defensiva foram fundamentais em como ela foi percebida e usada em toda a comunidade de
segurança. Esperamos que este documento possa ser um recurso útil para os esforços que buscam acompanhar o
processo usado para aplicar a metodologia ATT&CK, seja para nos ajudar a expandir e manter as bases de
conhecimento MITRE ATT&CK ou para modelar o comportamento do adversário em novas áreas que não estão
diretamente relacionadas a os domínios cobertos pela ATT&CK.
34

Referências
[1] B. Strom e A. Robertson, "The MITRE Corporation", 3 de março de 2020. [Online].

Disponível: https://medium.com/mitre-attack/2020-attack-roadmap-4820d30b38ba.
[Acessado em 12 de março de 2020].
[2] The MITRE Corporation, "Common Attack Pattern Enumeration and Classification", 21 de fevereiro de 2018.
[Online]. Disponível: https://capec.mitre.org/. [Acessado em 12 de abril de 2018].
[3] "Enumeração de Fraquezas Comuns", 3 de abril de 2018. [Online]. Disponível:
https://cwe.mitre.org/. [Acessado em 12 de abril de 2018].
[4] B. Strom, J. Battaglia, M. Kemmerer, W. Kupersanin, D. Miller, C. Wampler, S. Whitley e R. Wolf, "The MITRE
Corporation", junho de 2017. [Online]. Disponível: https://www.mitre.org/publications/technical-papers/finding-
cyber-threats-with-attck based-analytics. [Acessado em 14 de novembro de 2017].
[5] Corporação MITRE, "Planos de Emulação Adversária", MITRE ATT&CK, [Online].

Disponível: https://attack.mitre.org/resources/adversary-emulation-plans/. [Acessado em 12 de março de
2020].
[6] C. Betz, S. Caltagirone e A. Pendergast, "The Diamond Model of Intrusion Analysis,"
2013. [On-line]. Disponível: http://www.activeresponse.org/wp content/
uploads/2013/07/diamond.pdf. [Acesso em 16 de janeiro de 2018].
[7] K. Nickels, "Como ser um consumidor experiente da ATT&CK", 13 de dezembro de 2019. [Online].
Disponível: https://medium.com/mitre-attack/how-to-be-a-savvy-attack-consumer 63e45b8e94c9.
[Acessado em 17 de março de 2020].
[8] The MITRE Corporation, "Enterprise Mitigations", outubro de 2019. [Online]. Disponível: https://
attack.mitre.org/mitigations/enterprise/. [Acessado em 16 de março de 2020].
[9] A MITRE Corporation, "Repositório de Inteligência de Ameaças Cibernéticas expresso em STIX 2.0,"
[Conectados]. Disponível: https://github.com/mitre/cti. [Acessado em 17 de março de 2020].
[10] The MITRE Corporation, "Versões anteriores", [Online]. Disponível:
https://attack.mitre.org/resources/previous-versions/. [Acessado em 17 de março de 2020].
[11] PRIMEIRO, "Sistema de Pontuação de Vulnerabilidade Comum v3.0: Documento de Especificação", 2018.
[Conectados]. Disponível: https://www.first.org/cvss/specification-document. [Acesso em 20 de
dezembro de 2017].
[12] D. Leblac, "DREADFul", 14 de agosto de 2007. [Online]. Disponível: https://
blogs.msdn.microsoft.com/david_leblanc/2007/08/14/dreadful/. [Acesso em 20 de dezembro de 2017].
[13] A Corporação MITRE, "Contribute," [Online]. Disponível:

https://attack.mitre.org/resources/contribute/. [Acessado em 17 de março de 2020].
[14] The MITRE Corporation, "Credential Dumping", 11 de outubro de 2019. [Online]. Disponível: https://
attack.mitre.org/techniques/T1003/. [Acessado em 16 de março de 2020].
35

[15] The MITRE Corporation, "Rundll32", 24 de junho de 2019. [Online]. Disponível:

https://attack.mitre.org/techniques/T1085/. [Acessado em 16 de março de 2020].
[16] The MITRE Corporation, "Exploit Public-Facing Application", 22 de outubro de 2019. [Online].
Disponível: https://attack.mitre.org/techniques/T1190/. [Acessado em 16 de março de 2020].
[17] The MITRE Corporation, "Process Injection", 18 de julho de 2019. [Online]. Disponível:
https://attack.mitre.org/techniques/T1055/. [Acessado em 16 de março de 2020].
[18] The MITRE Corporation, março de 2020. [Online]. Disponível:
http://attack.mitre.org/techniques/T1218/. [Acessado em 16 de março de 2020].
[19] F. Roth, "The Newcomer's Guide to Cyber Threat Actor Naming", 25 de março de 2018.
[Conectados]. Disponível: https://medium.com/@cyb3rops/the-newcomers-guide-to-cyber threat-
actor-naming-7428e18ee263. [Acessado em 4 de abril de 2018].
[20] The Credibility Coalition, "AMITT", 15 de outubro de 2019. [Online]. Disponível:
https://github.com/misinfosecproject/amitt_framework. [Acessado em 16 de março de 2020].
36

ATTACK Design and Philosophy March 2020

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

ATTACK Design and Philosophy March 2020

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

MITRE ATT&CKÒ: Design e

As opiniões, opiniões e/ou descobertas

Aprovado para lançamento público.

©2020 The MITRE Corporation.

MITRE ATT&CK e ATT&CK são marcas

Publicado originalmente em julho de 2018

©2020 The MITRE Corporation. Todos os direitos reservados

Aprovado para lançamento público. Distribuição ilimitada 19-01075-28.

Esta página foi intencionalmente deixada em branco.

©2020 The MITRE Corporation. Todos os direitos reservados

Aprovado para lançamento público. Distribuição ilimitada 19-01075-28.

bases de conhecimento para novos domínios.

©2020 The MITRE Corporation. Todos os direitos reservados

Aprovado para lançamento público. Distribuição ilimitada 19-01075-28.

©2020 The MITRE Corporation. Todos os direitos reservados

Aprovado para lançamento público. Distribuição ilimitada 19-01075-28.

1.1 Antecedentes e Histórico ............................................. .................................................. ...1

2.1 Cobertura ATT&CK ............................................. .................................................. ........4

3.2 Domínios de Tecnologia ............................................. .................................................. ....... 8

3.4 Técnicas e Subtécnicas................................................ ......................................... 9 3.4.1

3.4.2 Estrutura de Objetos de Técnica e Subtécnica................................................ ...............9

3.6.1 Estrutura de Objetos de Software ............................................. .........................................15

A Metodologia ATT&CK ............................................. .................................................. 20

©2020 The MITRE Corporation. Todos os direitos reservados

Aprovado para lançamento público. Distribuição ilimitada 19-01075-28.

4.1.2.1 Fontes de informação............................................... .......................................21

4.1.2.2 Contribuições da Comunidade ............................................. .........................22 4.1.2.3

4.2 Táticas .................................................... .................................................. ..............................24

4.2.1 Impacto ............................................. .................................................. .......................24

4.3.1.4 Uso Adversário ............................................. .................................................. ...26 4.3.1.5

©2020 The MITRE Corporation. Todos os direitos reservados

Aprovado para lançamento público. Distribuição ilimitada 19-01075-28.

©2020 The MITRE Corporation. Todos os direitos reservados

Aprovado para lançamento público. Distribuição ilimitada 19-01075-28.

©2020 The MITRE Corporation. Todos os direitos reservados

Aprovado para lançamento público. Distribuição ilimitada 19-01075-28.

Esta página foi intencionalmente deixada em branco.

©2020 The MITRE Corporation. Todos os direitos reservados

Aprovado para lançamento público. Distribuição ilimitada 19-01075-28.

• Táticas, denotando objetivos táticos adversários de curto prazo durante um ataque;

• Técnicas, descrevendo os meios pelos quais os adversários atingem os objetivos táticos;

• Uso documentado de técnicas por adversários, seus procedimentos e outros metadados.

1.1 Histórico e Histórico

©2020 The MITRE Corporation. Todos os direitos reservados

Aprovado para lançamento público. Distribuição ilimitada 19-01075-28.

©2020 The MITRE Corporation. Todos os direitos reservados

Aprovado para lançamento público. Distribuição ilimitada 19-01075-28.

Casos de uso ATT&CK

Desenvolvimento de Behavioral Analytics – Indo além dos indicadores tradicionais de comprometimento

Avaliação de maturidade do SOC – O Centro de Operações de Segurança de uma organização é um

©2020 The MITRE Corporation. Todos os direitos reservados

Aprovado para lançamento público. Distribuição ilimitada 19-01075-28.

Enriquecimento de inteligência de ameaças cibernéticas – A inteligência de ameaças cibernéticas abrange o

2.1 Cobertura ATT&CK

©2020 The MITRE Corporation. Todos os direitos reservados

Aprovado para lançamento público. Distribuição ilimitada 19-01075-28.

©2020 The MITRE Corporation. Todos os direitos reservados

Aprovado para lançamento público. Distribuição ilimitada 19-01075-28.

3.1 A Matriz ATT&CK

Figura 1. A Matriz ATT&CK para Empresas

©2020 The MITRE Corporation. Todos os direitos reservados

Aprovado para lançamento público. Distribuição ilimitada 19-01075-28.