O MITRE ATT&CK é uma base de conhecimento pública que cataloga as táticas e técnicas reais usadas por atacantes, observadas em incidentes de verdade. Ele organiza o comportamento adversário em táticas (o que o atacante quer alcançar) e técnicas (como ele consegue). Serve para mapear a defesa, guiar o threat hunting e melhorar a detecção. Um SOC usa o ATT&CK para dar nome ao que vê, encontrar pontos cegos e caçar ameaças com método.
Durante muito tempo, cada equipe de segurança descrevia os ataques do seu jeito. Um chamava de "movimento lateral", outro de "propagação interna" — falando da mesma coisa com palavras diferentes. O MITRE ATT&CK nasceu para resolver isso: dar um vocabulário comum e baseado em evidências para descrever exatamente o que os atacantes fazem, passo a passo, do primeiro acesso até o objetivo final.
Táticas x técnicas
Essa é a distinção que sustenta todo o modelo, e vale entender bem:
- Táticas são o "porquê" — o objetivo do atacante em cada momento. Exemplos: obter acesso inicial, manter persistência, escalar privilégios, mover-se lateralmente, exfiltrar dados. São as grandes etapas de uma intrusão.
- Técnicas são o "como" — os métodos concretos usados para cumprir cada tática. Para "acesso inicial", por exemplo, o atacante pode usar phishing, explorar um serviço exposto ou abusar de uma conta válida.
Cada técnica traz descrição, exemplos reais de grupos que a usaram, formas de detecção e mitigações. É o que transforma o ATT&CK de uma lista em um mapa operacional do comportamento adversário.
Para que serve
O valor do ATT&CK aparece quando ele deixa de ser referência teórica e passa a orientar decisões concretas de defesa:
- Mapear a defesa: cruzar suas detecções e controles contra a matriz mostra, de forma visual, onde você enxerga o atacante e onde está cego. É um jeito honesto de medir cobertura.
- Threat hunting: em vez de procurar ameaças no escuro, o time parte de técnicas específicas ("como eu detectaria persistência via tarefa agendada?") e caça com hipóteses claras.
- Detecção: escrever e priorizar regras a partir de técnicas conhecidas garante que os alertas cubram comportamentos reais, e não só assinaturas isoladas.
Como um SOC usa o ATT&CK no dia a dia
Na prática, o ATT&CK é a espinha dorsal do trabalho de um SOC moderno — não um pôster na parede, mas parte do fluxo:
- Triagem com contexto: ao investigar um alerta, o analista mapeia o comportamento para uma técnica conhecida. Isso responde de imediato "em que etapa do ataque estamos?" e o que provavelmente vem a seguir.
- Reconstrução do incidente: ligar os eventos em uma sequência de táticas conta a história do ataque — do acesso inicial à exfiltração — e ajuda a decidir onde cortar.
- Caça proativa: entre incidentes, o time escolhe técnicas relevantes para o setor do cliente e vai atrás de sinais delas no ambiente, antes que virem um alerta.
- Medir e evoluir: revisar periodicamente quais técnicas o SOC já detecta expõe lacunas e direciona onde investir em novas regras.
Onde o Argos entra
O Argos é o SOC gerenciado 24h da NoBug: uma equipe humana somada à IA vigia seu ambiente sem parar. Nossa detecção com IA e a nossa operação de threat hunting usam as táticas e técnicas do MITRE ATT&CK como base — tanto para detectar comportamento adversário quanto para caçar ameaças de forma proativa. Isso vale inclusive contra os grupos mais sofisticados, como as ameaças persistentes avançadas (APTs). Todo o monitoramento roda com os dados no Brasil, e sempre há alguém acompanhando — inclusive fora do horário comercial.
- MITRE ATT&CK é a base de conhecimento das táticas e técnicas reais usadas por atacantes.
- Táticas são o objetivo do atacante; técnicas são o método concreto para alcançá-lo.
- Serve para mapear a defesa, guiar o threat hunting e melhorar a detecção.
- No SOC, dá nome ao que se vê, reconstrói o ataque e orienta a caça a ameaças.