Um dos maiores desafios da segurança cibernética não é técnico, é de comunicação.
Times de SOC, CTI, Red Team, Blue Team, GRC, conscientização em segurança e gestão executiva frequentemente falam sobre as mesmas ameaças, mas usam linguagens diferentes. O resultado é desalinhamento, ruído, elevação no risco de exposição a ataques e decisões baseadas em interpretações divergentes.

É exatamente nesse ponto que o framework MITRE ATT&CK se consolidou como algo maior do que uma mera base técnica: ele se tornou um idioma comum para segurança cibernética.

O problema: os times falam “segurança” em dialetos diferentes

Considere situações comuns no dia a dia:

• O SOC fala em alertas, eventos e logs
• O CTI fala em grupos, campanhas e TTPs
• O Red Team fala em payloads, exploits e cadeias de ataque
• O GRC fala em risco, impacto e controle
• O time de Conscientização em Segurança fala em comportamento, percepção e tomada de decisão do usuário.
• A liderança fala em exposição, prioridade e custo

Todos estão certos — mas sem um vocabulário comum, a integração se perde.

Quando um analista diz “detectamos comportamento suspeito no endpoint”, o que isso significa exatamente?
Quando o CTI alerta sobre um grupo ativo, como isso se traduz em ação prática?

O que é o MITRE ATT&CK

O MITRE ATT&CK é uma base de conhecimento que descreve como adversários reais conduzem ataques e ela é organizada por:

• Táticas (o objetivo do atacante)
• Técnicas (como esse objetivo é atingido)
• Sub Técnicas (variações específicas)
• Procedimentos (implementação específica ou uso em situações reais que o adversário utiliza para executar as técnicas ou sub técnicas).

Ela é mantida pela MITRE, organização sem fins lucrativos que opera centros de pesquisa financiados pelo governo dos EUA, e é atualizada com base em observações reais de campanhas de ataque.

O ponto-chave: o ATT&CK descreve comportamento, não ferramentas específicas.

O ATT&CK como tradutor entre times

O grande valor do MITRE ATT&CK está em sua capacidade de traduzir contextos entre disciplinas.

CTI → SOC

Quando o CTI diz:

“Esse grupo usa Credential Dumping seguido de Lateral Movement via SMB”

O SOC sabe exatamente:

• Onde procurar
• Que logs priorizar
• Que detecções validar

Não é mais um alerta abstrato,  é uma hipótese operacional clara.

CTI → Red Team

O Red Team deixa de simular ataques genéricos e passa a:

• Emular grupos reais
• Reproduzir cadeias de ataque observadas
• Testar controles contra TTPs específicas

Resultado: exercícios mais realistas e acionáveis.

SOC / Red Team → GRC

Com ATT&CK, o discurso muda de:

“Temos X vulnerabilidades”

Para:

“Temos baixa cobertura de detecção para técnicas de exfiltração usadas por grupos que atacam nosso setor”

Isso conecta ameaça → risco → decisão.

CTI → Conscientização em Segurança

Sem um modelo comum, o discurso costuma ser genérico:

“Precisamos treinar os usuários contra phishing.”

Com CTI integrado à conscientização, o discurso muda para:

“Estamos observando campanhas ativas que usam pretextos de RH e links de redefinição de senha, explorando técnicas de Phishing e Valid Accounts associadas a grupos que já atacam empresas do nosso setor.”

Essa mudança permite:

• Treinamentos baseados em ameaças reais, não cenários hipotéticos
• Simulações alinhadas a TTPs efetivamente usadas no momento
• Mensagens mais específicas para áreas, cargos e contextos certos
• Métricas de conscientização conectadas a risco real, não apenas taxa de clique

 

Em agosto de 2025, eu apresentei uma palestra especificamente sobre como CTI pode apoiar as áreas de  conscientização. Íntegra dessa apresentação em

True Crime: CTI como Base da Educação em Segurança Cibernética – Carlos Cabral | HumanConf 2025

 

ATT&CK na prática: exemplos concretos

Imagine o seguinte cenário:

• O CTI identifica a atividade crescente de um grupo que explora credenciais válidas.
• O comportamento é mapeado como:
  • Tática: Initial Access
  • Técnica: Valid Accounts

A partir disso:

• O SOC revisa autenticações anômalas
• O Red Team simula abuso de contas legítimas
• O GRC avalia controles de MFA e identidade
• O time de Conscientização emite um boletim específico para o caso
• A liderança entende por que identidade virou prioridade

Tudo isso usando a mesma referência.

ATT&CK não é checklist — é contexto

Um erro comum é tratar o MITRE ATT&CK como:

• Lista de controles a implementar
• Planilha de “cobertura completa”

Na prática, cobrir 100% do ATT&CK é inviável e desnecessário.

O valor real está em:

• Priorizar técnicas relevantes para seu perfil de risco
• Entender quais etapas do ataque você detecta bem (e quais não)
• Guiar decisões com base em adversários reais, ao invés de fantasmas subjetivos.

Por que o ATT&CK é essencial para CTI

Para Cyber Threat Intelligence, o ATT&CK é o elo entre:

• Observação externa (campanhas, grupos, fóruns)
• Ação interna (detecção, resposta, testes)

Ele permite:

• Padronizar relatórios
• Facilitar disseminação de inteligência
• Aumentar a adoção do CTI por times técnicos
• Transformar inteligência em decisão operacional

Sem isso, o CTI corre o risco de virar apenas um produtor de relatórios interessantes, porém pouco acionáveis.

Pra fechar

Segurança cibernética é um esforço coletivo.
E esforços coletivos, sem uma linguagem comum, acabam em confusão. 

Em segurança, confusão é vulnerabilidade.

O MITRE ATT&CK não resolve todos os problemas — mas resolve um dos mais críticos: alinhamento.

Quando todos falam a mesma língua:

• O CTI vira ação
• O SOC ganha foco
• O Red Team ganha realismo
• O GRC ganha clareza
• O time de conscientização ganha pragmatismo
• A liderança ganha confiança