What is the MITRE ATT&CK Framework?

The MITRE ATT&CK Framework is a curated knowledge base that tracks cyber adversary tactics and techniques used by threat actors across the entire attack lifecycle. The framework is meant to be more than a collection of data: it is intended to be used as a tool to strengthen an organization’s security posture.

Where does the data in the MITRE ATTACK Framework come from?

MITRE’s ATT&CK is populated mainly by publicly available threat intelligence and incident reporting, as well as by research on new techniques contributed by cyber security analysts and threat hunters. It is used by those same professionals to better understand the different ways bad actors might operate so adversarial behavior can be detected and stopped.

What are some Use Cases of the MITRE ATT&CK Matrix?

Some of the ways a security team can use MITRE ATT&CK include conducting a security gap analysis and plan security improvements, strengthening cyber threat intelligence, accelerating alert triaging and investigation, creating more realistic scenarios for red team exercises and adversary emulations, assessing maturity of security maturity of their SOC, communicating clearly and concisely to stakeholders, and acquiring a common language which is helpful when working with consultants and vendors.

Framework MITRE ATT&CK

Chris Prall - dezembro 08, 2025

O que é o Framework MITRE ATT&CK?

Quando as equipes de segurança respondem a um ataque, elas se deparam com um problema comum: precisam reconstruir o caminho percorrido pelo ator de ameaças sem se basear em indicadores consistentes. As famílias de malware mudam, a infraestrutura muda e as ferramentas variam de uma invasão a outra. No entanto, os comportamentos principais costumam ser os mesmos. Um adversário que rouba credenciais, se movimenta lateralmente e extrai dados segue um padrão que se repete em inúmeras investigações, mesmo quando os detalhes técnicos são diferentes.

O framework MITRE ATT&CK® supera esse desafio documentando como os adversários operam na prática. Define as táticas que representam os objetivos de um invasor e as técnicas que ele aplica para atingir esses objetivos. Cada entrada é baseada em investigações reais conduzidas por pesquisadores e analistas de resposta a incidentes, o que fundamenta o framework no que as equipes encontram em ambientes reais.

Para as equipes de segurança, isso transforma o framework MITRE ATT&CK em uma referência e um playbook. O framework explica como suas matrizes estão organizadas, quais plataformas e ambientes elas abrangem e como as táticas e técnicas se conectam de uma fase de um ataque para a seguinte.

Este artigo explica como o framework MITRE ATT&CK está estruturado, descreve os principais benefícios aos profissionais de segurança e mostra como aplicá-lo em operações de segurança.

Um resumo do MITRE ATT&CK

Nome completo: Táticas adversárias, Técnicas e conhecimento comum
Objetivo: fornecer uma base de conhecimento estruturada e disponível ao público sobre o comportamento real de adversários
O que abrange: táticas e técnicas documentadas que os atores de ameaças usam após obterem acesso a um ambiente
Por que é importante: fornece aos agentes de defesa uma linguagem comum para mapear intrusões, orientar a detecção e estudar como os ataques avançam em diferentes sistemas

Relatório Global de Ameaças 2025 da CrowdStrike

Obtenha sua cópia do relatório de cibersegurança definitivo do ano.

Baixe

Definição do framework MITRE ATT&CK

ATT&CK significa Táticas Adversárias, Técnicas e Conhecimento Comum. A MITRE, uma corporação sem fins lucrativos que fornece orientação técnica e de engenharia ao governo federal dos Estados Unidos, criou o framework durante uma pesquisa interna em 2013 e o lançou publicamente em 2015. A adoção cresceu rapidamente em centros de operações de segurança (SOCs), equipes de inteligência de ameaças, equipes vermelhas (red teams) e fabricantes de produtos, porque o framework estava alinhado com o que os profissionais observavam em ambientes reais.

O MITRE ATT&CK cataloga como os atores de ameaças operam in the wild, com base em atividades documentadas coletadas por pesquisadores de segurança, times de threat hunters e analistas de resposta a incidentes. A MITRE mantém essa base de conhecimento selecionada como um recurso público para que os agentes defensores possam confiar em comportamentos verificados em vez de modelos de ameaça especulativos. O objetivo é fornecer às equipes de segurança uma linguagem comum para as táticas e técnicas que formam a base das atividades de intrusão.

O framework concentra-se no comportamento após o comprometimento. Ele documenta como os adversários elevam privilégios, se passam por usuários, se movem entre sistemas e perseguem objetivos após obterem acesso. Essa abordagem difere das que se concentram principalmente em controles preventivos. O MITRE ATT&CK parte de um ataque e mapeia as ações subsequentes, ajudando os agentes defensores a entender como os ataques avançam e como cada técnica se encaixa no ciclo de vida mais amplo.

O framework do MITRE ATT&CK continua a evoluir à medida que a estratégia dos adversários avança. A MITRE publica atualizações que refletem novas plataformas e técnicas emergentes. As adições recentes incluem cobertura expandida na nuvem e técnicas aplicáveis a ambientes ESXi, refletindo a forma como as intrusões modernas se estendem muito além do perímetro corporativo tradicional.

Como as organizações usam o MITRE ATT&CK

Elas o usam de forma prática e repetível em todas as suas operações de segurança. Estes são alguns dos casos de uso mais comuns:

Investigação de ameaças

Os hunters (investigadores) usam o MITRE ATT&CK para orientar buscas por comportamentos que correspondam a táticas e técnicas conhecidas.
Ao identificarem atividades suspeitas, eles verificam a técnica utilizada para compreender o provável objetivo do invasor e os próximos passos.

Engenharia de detecção

As equipes mapeiam seus alertas, regras e análises no framework para entender quais comportamentos detectam atualmente.
O mapeamento destaca as lacunas onde os invasores podem operar sem acionar os controles, ajudando as equipes a definir objetivos e prioridades claros de melhorias.

Linguagem compartilhada entre as equipes

O MITRE ATT&CK fornece uma terminologia consistente para o comportamento de adversários entre fornecedores, consultores e equipes internas.
Um ID técnico como “T1055 Process Injection” transmite o mesmo significado para analistas e equipes de resposta em qualquer região, o que melhora a colaboração durante as investigações.

Matriz MITRE ATT&CK e principais componentes

É comum que adversários específicos usem técnicas particulares. A matriz MITRE ATT&CK cataloga informações que relacionam grupos de adversários a campanhas, ajudando as equipes de segurança a entender melhor seus adversários, avaliar a eficácia das defesas e fortalecer a segurança nos pontos mais críticos.

Táticas adversárias

As táticas representam os objetivos técnicos que os adversários buscam durante uma intrusão. A Matriz MITRE ATT&CK para Empresas inclui 14 táticas que abrangem todo o ciclo de vida de um ataque:

Reconhecimento: coleta de informações para planejar ataques futuros.
Desenvolvimento de recursos: aquisição ou criação de infraestrutura, contas ou ferramentas para operações futuras.
Acesso inicial: técnicas utilizadas para obter uma base de apoio no ambiente alvo.
Execução: ações que executam códigos maliciosos em sistemas locais ou remotos.
Persistência: métodos que mantêm o acesso mesmo após reinicializações ou mudanças de credenciais.
Elevação de privilégios: tentativas de obter permissões de nível superior dentro do ambiente.
Evasão de defesa: técnicas que evitam a detecção durante atividades dentro da rede.
Acesso a credenciais: tentativas de roubar senhas, tokens e outros artefatos de autenticação.
Descoberta: técnicas para aprender sobre sistemas, configurações e layout de rede.
Movimento lateral: métodos que permitem aos adversários se moverem entre sistemas.
Coleta: técnicas para reunir informações relevantes aos objetivos do invasor.
Comando e Controle (C2): métodos para comunicação com sistemas comprometidos e direcionamento de operações.
Exfiltração: técnicas usadas para remover dados do ambiente.
Impacto: ações que afetam a disponibilidade, corrompem dados ou danificam sistemas.

Técnicas dos adversários

As técnicas descrevem como os adversários executam seus objetivos. O MITRE ATT&CK lista atualmente 211 técnicas e 468 subtécnicas para ambientes corporativos. Cada técnica inclui detalhes sobre como funciona, quais plataformas afeta, quais grupos de ameaças a utilizam, como os defensores podem mitigá-la e onde foi observada em investigações reais.

As subtécnicas adicionam ainda mais especificidade. Por exemplo, a técnica abrangente de "phishing" se divide em variantes como "Spearphishing por anexo", "Spearphishing por link" e "Spearphishing via serviço". Essa estrutura ajuda os defensores a identificar não apenas a tática em jogo, mas também o método exato por trás dela. A evasão de defesa continua sendo a tática mais frequentemente observada em intrusões interativas, visto que os adversários tentam ocultar sua atividade como comportamento legítimo do sistema.

Matrizes MITRE ATT&CK

A MITRE organiza táticas e técnicas em matrizes visuais, com as táticas representadas em colunas e as técnicas associadas abaixo de cada tática. Esse formato oferece aos agentes defensores uma visão imediata de como a atividade de ataque se distribui pelos ambientes Windows, macOS e Linux, plataformas em nuvem e outros ambientes.

O framework inclui três matrizes principais:

Matriz MITRE ATT&CK para Empresas
Abrange o comportamento de adversários em ambientes Windows, Linux, macOS e de software como serviço (SaaS), bem como em plataformas de nuvem como AWS, Azure e Google Cloud.
Matriz MITRE ATT&CK para Mobile
Concentra-se nas técnicas utilizadas contra dispositivos Android e iOS.
Matriz MITRE ATT&CK para ICS
Documenta o comportamento específico de sistemas de controle industrial (SCIs) e tecnologia operacional.

As equipes de segurança usam essas matrizes para comparar sua cobertura de detecção com as técnicas conhecidas dos adversários, o que as ajuda a identificar problemas de visibilidade e priorizar melhorias.

Atualizações e contribuições da comunidade

O MITRE ATT&CK evolui por meio da contribuição de pesquisadores de segurança, profissionais de defesa e fornecedores que enviam novas técnicas ou sugerem melhorias para as já existentes. A MITRE valida essas contribuições e publica atualizações regularmente. Em dezembro de 2025, a versão 18.1 representava a versão mais recente.

Essa abordagem de controle de versões ajuda as organizações a se manterem alinhadas com as mudanças nas estratégias dos adversários e a atualizarem suas estratégias de detecção conforme necessário.

Casos de uso práticos para o framework

As organizações confiam no MITRE ATT&CK para melhorar a detecção, validar as defesas e fortalecer sua postura geral de segurança. O framework ajuda nas operações diárias, bem como no planejamento estratégico de longo prazo em áreas como investigação de ameaças, red teaming, engenharia e gerenciamento de centro de operações de segurança (SOC). São aplicações comuns:

Detecção e investigação de ameaças

O time de threat hunters usa o MITRE ATT&CK para orientar suas buscas por comportamentos maliciosos. Em vez de procurar por assinaturas específicas de malware, os especialistas buscam por padrões de comportamento que correspondam a técnicas conhecidas. Essa abordagem permite capturar adversários independentemente das ferramentas específicas que utilizem.

A investigação orientada por hipóteses se baseia diretamente na estrutura do framework. Se os hunters observarem uma técnica de acesso inicial, como o uso de credenciais válidas, eles saberão como investigar técnicas relacionadas ao roubo de credenciais, movimento lateral por meio de protocolos remotos e mecanismos de persistência comuns nesses cenários.

Essa abordagem comportamental é crucial, visto que os adversários já não estão usando ataques dependentes de malware. De julho de 2024 a junho de 2025, as intrusões interativas aumentaram 27% em relação ao ano anterior, e 81% das intrusões nesse período foram livres de malware. O MITRE ATT&CK ajuda as equipes a detectar essa atividade, porque rastreia comportamentos que as assinaturas não conseguem identificar. Muitos SOCs também utilizam esse framework para acelerar a triagem de alertas e melhorar a qualidade das investigações alinhando os eventos observados com IDs de técnicas específicas.

Red teaming e emulação de adversários

As red teams, ou equipes vermelhas, usam o MITRE ATT&CK para construir cenários de ataque que refletem os métodos empregados por adversários reais. Mapear as operações com base em técnicas, táticas e procedimentos (TTPs) conhecidos produz exercícios que testam as defesas contra ameaças concretas, em vez de fragilidades teóricas.

As equipes que emulam atores de ameaças específicos seguem as técnicas associadas a esses grupos no framework MITRE ATT&CK. Por exemplo, emular o ataque SCATTERED SPIDER exigiria que as equipes empregassem técnicas que abrangem comprometimento de identidade, abuso de serviços em nuvem e movimento lateral rápido. Um exercício da red team baseado nesse padrão testaria se os defensores conseguem detectar cada etapa dessa sequência rápida e interromper a intrusão antes que o adversário alcance seu objetivo.

As organizações também usam o MITRE ATT&CK para avaliar a maturidade de suas operações de segurança. Avaliar a eficácia das defesas na detecção de técnicas em todo o framework destaca pontos fortes, pontos fracos e áreas onde o investimento terá o maior impacto.

Engenharia de detecção e monitoramento de segurança

As equipes de segurança usam o MITRE ATT&CK para desenvolver regras de detecção comportamental e melhorar a visibilidade. Cada técnica inclui informações sobre os logs, artefatos e eventos do sistema que indicam seu uso. Os analistas podem traduzir essas informações em regras e análises de gerenciamento de eventos e incidentes de segurança (SIEM) que alertam sobre atividades suspeitas assim que elas ocorrem.

A priorização começa com a compreensão de quais técnicas aparecem com mais frequência em ataques reais. Em seguida, as equipes concentram o trabalho de detecção nos comportamentos mais relevantes aos seus ambientes e cenário de ameaças. Isso evita o desperdício de esforços e apoia uma estratégia de cobertura baseada no risco.

Tecnologias que mapeiam alertas para IDs de técnicas do MITRE ATT&CK reduzem o trabalho manual de correlação. Quando os alertas incluem o contexto técnico, os analistas podem compreender imediatamente a importância de um evento e rastrear como os comportamentos individuais se conectam em uma intrusão.

Outras formas como as organizações usam o MITRE ATT&CK

Muitas equipes também aplicam o framework para:

Realizar análise de problemas de segurança
Fortalecer a produção de inteligência de ameaças
Melhorar a comunicação entre as equipes de SOC, consultores e fabricantes
Planejar melhorias no programa de segurança
Ajudar na elaboração de relatórios executivos com uma linguagem comum

Esses casos de uso destacam a versatilidade do MITRE ATT&CK e reforçam seu papel como base para estratégias defensivas modernas.

Como implementar o framework MITRE ATT&CK

A maioria das organizações implementa o framework MITRE ATT&CK em fases, começando com uma compreensão clara da cobertura de detecção atual. As equipes de segurança começam com o mapeamento e a análise de lacunas, expandem a coleta de telemetria e, em seguida, aprimoram seus processos em engenharia de detecção, investigação e resposta.

Mapeamento e análise de lacunas

A implementação começa com a compreensão da postura defensiva atual da organização. As equipes mapeiam os controles preventivos e de detecção existentes para as técnicas do MITRE ATT&CK usando ferramentas como o ATT&CK Navigator. Este processo mostra quais técnicas têm cobertura e quais permanecem sem solução.

Uma análise de lacunas identifica então onde investir. Nem todas as técnicas apresentam o mesmo nível de risco, e as equipes geralmente priorizam técnicas que aparecem com frequência no seu setor ou que estejam alinhadas com os adversários que provavelmente enfrentarão.

O processo de mapeamento examina vários tipos de controle. Os controles preventivos impedem que as técnicas sejam bem-sucedidas. Os controles de detetive identificam quando as técnicas são executadas. A capacidade de resposta determina a rapidez com que as equipes podem conter a atividade dos adversários assim que ela for detectada.

Telemetria e dados necessários

A implementação eficaz do MITRE ATT&CK depende da visibilidade da atividade do sistema e do usuário. As fontes de telemetria devem capturar os sinais comportamentais associados a diferentes técnicas.

As principais fontes de dados incluem:

Logs de execução de processos: rastreiam inicializações de programas, parâmetros de linha de comando e relações pai-filho.
Registro de logs do PowerShell: registram o conteúdo do script e os detalhes de execução, pois os adversários frequentemente abusam de scripts para execução e descoberta.
Modificações em arquivos e registros: identifique as alterações associadas à persistência e à evasão de defesas.
Conexões de rede: revelam padrões de comunicação interna e externa que sinalizam C2 ou movimento lateral.
Eventos de autenticação: rastreiam logins bem-sucedidos e malsucedidos para detectar acesso indevido a credenciais e movimento não autorizado.

As plataformas de detecção e resposta de endpoint (EDR) e detecção e resposta estendidas (XDR) fornecem ampla telemetria alinhada com a cobertura da técnica MITRE ATT&CK. Essas soluções correlacionam dados entre endpoints, identidades, workloads na nuvem e camadas de rede, proporcionando aos agentes defensores a visibilidade necessária para a detecção comportamental.

Os ambientes de nuvem produzem sinais valiosos para o monitoramento alinhado ao MITRE ATT&CK. As intrusões na nuvem aumentaram 136% no primeiro semestre de 2025 em comparação com todo o ano de 2024, o que significa que muitas sequências de ataques agora se desenrolam nos painéis de controle da nuvem, não nos endpoints tradicionais. As equipes de segurança precisam de visibilidade nessas plataformas para rastrear técnicas relacionadas ao uso indevido de identidade, serviços mal configurados e acesso não autorizado.

Priorização e maturidade

As organizações melhoram a adoção do MITRE ATT&CK ao longo do tempo ao expandir a abrangência e refinar os processos à medida que suas capacidades crescem. Um modelo faseado ajuda as equipes a entender como o progresso se manifesta e onde concentrar seus esforços:

Compreender: as equipes se familiarizam com a estrutura do framework e começam a mapear as descobertas de incidentes para as técnicas.
Rastrear: a organização documenta as técnicas que surgem nos incidentes e os controles que as abordam.
Analisar: as equipes realizam avaliações regulares de problemas e priorizam melhorias com base no comportamento observado dos adversários.
Integrar: o MITRE ATT&CK passa a fazer parte do fluxo de trabalho de operações de segurança, desde a engenharia de detecção até a investigação de ameaças e geração de relatórios.

A implementação em fases garante que o framework esteja alinhado com o tamanho e a maturidade da organização. Equipes menores podem se concentrar em técnicas de alta prioridade relacionadas às ameaças mais relevantes, enquanto organizações maduras podem expandir a cobertura para todas as táticas e integrar o framework MITRE ATT&CK em vários fluxos de trabalho.

Benefícios de usar o framework MITRE ATT&CK

Organizações que adotam o framework MITRE ATT&CK observam melhorias mensuráveis tanto nas funções táticas quanto estratégicas de segurança. Usar o framework:

Melhora o design e a abrangência da detecção comportamental: o framework ajuda as equipes a projetar detecções que identificam ações do adversário em vez de malware específico. Essa abordagem continua eficaz à medida que os invasores mudam de ferramentas e modificam o código para evitar as assinaturas.
Fornece uma linguagem comum entre as equipes: analistas de segurança, analistas de resposta a incidentes, equipes de inteligência de ameaças e red teams usam terminologia consistente ao discutir ameaças. Esse vocabulário compartilhado elimina a confusão e acelera a colaboração.
Possibilita melhorias estratégicas de segurança: as organizações tomam decisões baseadas em dados sobre investimentos em defesa. O mapeamento da cobertura para o framework MITRE ATT&CK revela quais lacunas são mais importantes com base no comportamento real do adversário.
Ajuda a priorizar recursos: as equipes de segurança concentram seus esforços nas técnicas que os adversários usam com mais frequência no cenário de ameaças. Essa abordagem direcionada maximiza o valor defensivo com recursos limitados.
Alinha as defesas com o comportamento do adversário: as defesas identificam os métodos que os adversários realmente empregam, em vez de vetores de ataque teóricos. Essa abordagem prática melhora a precisão da detecção e reduz os falsos positivos decorrentes de atividades incomuns, porém benignas.

100% de detecção.
100% de proteção.
Zero falsos positivos.

A plataforma unificada da CrowdStrike conquistou pontuações perfeitas na mais rígida avaliação MITRE de plataformas até o momento.^*

Baixe o e-book hoje mesmo!

Estratégias de mitigação e defesa

Além de ajudar as equipes de segurança a entender o comportamento dos adversários, o MITRE ATT&CK também conecta muitas técnicas a estratégias de mitigação específicas que reduzem a probabilidade de sucesso dessas técnicas. Essas medidas de mitigação dão às equipes de segurança orientações práticas que podem ser incluídas na modelagem de ameaças, nos planos de reforço e nas revisões de controles.

As organizações podem integrar essas medidas de mitigação em seus esforços de modelagem de ameaças e reforço de sistemas. Por exemplo, para evitar técnicas que abusem do PowerShell, o framework sugere restringir as políticas de execução de scripts, o que permite um registro e monitoramento aprimorados para conteúdo de script suspeito. Técnicas relacionadas ao movimento lateral podem ser combatidas por meio de controles de autenticação mais robustos, segmentação e restrições mais rigorosas aos protocolos administrativos.

Essas medidas de mitigação reforçam uma estratégia de segurança em camadas. Os controles preventivos reduzem a probabilidade de uma técnica funcionar. Os controles detectores identificam quando um adversário tenta aplicar uma técnica mesmo com essas barreiras. A capacidade de resposta abre para as equipes um caminho claro para conter a atividade assim que ela é identificada. O MITRE ATT&CK ajuda as equipes a conectar essas camadas a comportamentos concretos dos adversários e a integrá-las em uma postura defensiva mais resiliente.

Limitações e considerações do framework

O MITRE ATT&CK entrega um valor significativo, mas possui limitações que as organizações devem reconhecer antes de desenvolver uma estratégia em torno dele:

Não prescreve ferramentas ou fornecedores. O framework descreve o comportamento do adversário em um nível técnico, mas não prescreve quais ferramentas ou tecnologias as equipes devem implementar para detectar ou mitigar esses comportamentos. Cada organização deve determinar os controles, as plataformas e as fontes de dados que estejam alinhados ao ambiente.
A implementação requer telemetria madura. O uso eficaz do framework também depende de uma base sólida de telemetria. Organizações sem registro abrangente de logs, visibilidade de endpoints ou monitoramento em nuvem enfrentam custos mais altos ao buscarem a cobertura de dados necessária para a detecção alinhada ao MITRE ATT&CK. Para obter essa visibilidade, geralmente são necessários investimentos em plataformas de EDR ou XDR, gerenciamento centralizado de log e capacidades de correlação.

A classificação de comportamentos é complexa.
O mapeamento preciso do comportamento adiciona maior complexidade. Os analistas devem determinar quais ações correspondem a técnicas específicas e como essas ações se encaixam em uma sequência geral de intrusão. Este trabalho exige profissionais experientes capazes de interpretar a atividade em diversos sistemas e distinguir o comportamento administrativo legítimo da execução de técnicas maliciosas.

Conclusão

O framework MITRE ATT&CK desempenha um papel central na cibersegurança moderna. Ele oferece uma maneira estruturada de entender o comportamento do adversário, identificar lacunas na defesa e orientar melhorias em detecção, resposta e fortalecimento do sistema.

As organizações obtêm o máximo valor quando adotam o MITRE ATT&CK em fases. Começar com um mapeamento dedicado ajuda as equipes a entender seus riscos de maior prioridade. À medida que desenvolvem telemetria e expandem a cobertura, o MITRE ATT&CK torna-se parte integrante da investigação de ameaças, da engenharia de detecção e da estratégia operacional.

Ao alinhar as defesas com o comportamento real dos adversários, as organizações podem aprimorar a capacidade de detectar ameaças, responder com eficácia e melhorar continuamente a maturidade da segurança.

Como parceira de pesquisa do Centro MITRE para Defesa Informada sobre Ameaças, a CrowdStrike contribui para projetos que promovem a defesa consciente sobre ameaças em todo o mundo.

Saiba mais sobre as parcerias da CrowdStrike com a MITRE:

Projeto Secure AI: ampliar as proteções para sistemas habilitados por IA
Projeto Security Stack Mappings — Hardware-Enabled Defense (SSM-HED): mapeamento de funcionalidades de segurança em nível de silício para o MITRE ATT&CK
Projeto Cloud Analytics: identificação de padrões de detecção essenciais para ambientes de nuvem

Chris Prall é Gerente Sênior de Marketing de Produtos na CrowdStrike com foco em detecção e resposta de endpoint (EDR) e Detecção e Resposta Estendidas (XDR). Antes da CrowdStrike, atuou como Gerente de Marketing de Produtos na Carbon Black e na VMware. Chris é formado em administração pela Faculdade de Administração Carroll da Universidade de Boston, com especialização em sistemas de informação e marketing. Atualmente reside em Boston, Massachusetts.

Framework MITRE ATT&CK