Alternativa correta: E - Errado

Tema central da questão: O item aborda o MITRE ATT&CK, um dos frameworks mais importantes para análise de ameaças cibernéticas no âmbito da segurança da informação. O objetivo é avaliar se o candidato compreende como esse modelo categoriza o comportamento dos atacantes.

Resumo teórico: O MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) é uma base de conhecimento globalmente reconhecida que mapeia técnicas e táticas utilizadas por adversários em ataques cibernéticos reais. Ele ajuda organizações a entenderem, detectarem e responderem a ameaças, sendo amplamente citado em normas e práticas como NIST SP 800-53 e referências do próprio site da MITRE.

Componentes principais do MITRE ATT&CK:

• Táticas: Objetivos de alto nível que o atacante busca atingir (ex: obtenção de acesso inicial, persistência, elevação de privilégio etc.).
• Técnicas: Formas específicas de realizar cada tática (ex: phishing, exploração de vulnerabilidades).
• Procedimentos: Maneiras detalhadas com que os atacantes implementam as técnicas (ex: uso de um malware específico em uma campanha de phishing).

Portanto, o MITRE ATT&CK não se baseia apenas em táticas e procedimentos. O modelo utiliza principalmente táticas e técnicas para a classificação, sendo os procedimentos uma camada operacional mais detalhada, mas as técnicas são essenciais e não podem ser ignoradas.

Justificativa da alternativa correta: A afirmação está errada pois omite as técnicas, que são um dos pilares do framework. Qualquer referência séria ao ATT&CK deve mencionar táticas e técnicas, não apenas táticas e procedimentos.

Estratégia de interpretação: Fique atento a enunciados que simplificam excessivamente modelos conhecidos. Palavras como “apenas” frequentemente indicam uma pegadinha. Conheça a estrutura dos frameworks mais cobrados e busque sempre associar cada termo ao seu significado técnico específico.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Errado

Os três componentes principais do MITRE ATT&CK são:

Táticas – o "o quê" o atacante quer alcançar (ex: execução, persistência, evasão).

Técnicas – o "como" o atacante realiza uma tática.

Procedimentos – exemplos específicos de como uma técnica é implementada por uma ameaça real.

Gabarito Errado

O MITRE ATT&CK é, de fato, um modelo que categoriza o comportamento do atacante, mas ele se baseia em três componentes principais:

1. Táticas (Tactics): Representam o "porquê" de uma ação adversária, ou seja, o objetivo técnico de alto nível de um adversário. Exemplos incluem "Acesso Inicial", "Execução", "Persistência", "Descoberta", "Exfiltração", etc.
2. Técnicas (Techniques): Representam o "como" um adversário alcança uma tática. São as ações específicas que os adversários realizam para atingir seus objetivos táticos. Por exemplo, sob a tática "Execução", uma técnica pode ser "PowerShell".
3. Procedimentos (Procedures): Representam as implementações específicas de uma técnica por um adversário real, muitas vezes ligadas a grupos de ameaça ou campanhas específicas. Eles detalham como uma técnica é usada no mundo real. Por exemplo, um procedimento pode descrever como o grupo APT29 usou uma técnica específica de PowerShell para comprometer um alvo.

Portanto, a afirmação de que o MITRE ATT&CK se baseia em apenas dois componentes principais (táticas e procedimentos) está incorreta, pois as técnicas são um componente fundamental e intermediário entre táticas e procedimentos.

Retroceder Nunca Render-se Jamais !

Força e Fé !

Fortuna Audaces Sequitur ! 

Introdução a MITRE ATT&CK

O MITRE ATT&CK é um repositório estruturado de conhecimento sobre táticas e técnicas usadas por atacantes em ataques reais, mantido pela MITRE a partir de evidências de incidentes e pesquisas. Ele organiza o ciclo de comportamento do atacante em uma matriz que permite mapear como invasores alcançam objetivos (táticas), de que maneiras operam (técnicas e sub-técnicas) e como essas ações aparecem na prática (procedimentos associados a grupos e malwares). Essa estrutura é amplamente usada para avaliar cobertura de detecção, orientar controles defensivos, criar hipóteses de caça e padronizar a linguagem entre times de segurança.

Resolução

A afirmação está incorreta. O ATT&CK não se baseia em apenas dois componentes. Sua espinha dorsal é formada por: táticas (os objetivos de alto nível do adversário, como execução, persistência ou exfiltração), técnicas e sub-técnicas (os métodos específicos para atingir cada objetivo) e procedimentos (exemplos concretos de como grupos ou malwares implementam essas técnicas no mundo real). Dizer que o modelo possui “apenas táticas e procedimentos” elimina a camada das técnicas, que é justamente a que conecta o objetivo ao modo de execução e viabiliza o mapeamento de detecções e controles.

Em termos práticos, equipes de defesa definem alertas, regras e testes com base nas técnicas e sub-técnicas, enquanto táticas servem como finalidade e procedimentos dão contexto realista. Sem a camada de técnicas, o framework perderia a granularidade necessária para mensurar cobertura e lacunas.

Resposta: Errado - Perplexity

O MITRE (de TRÊS)

MITR3

Táticas 

Técnicas

Procedimentos

ATT&CK é um modelo que busca categorizar de forma sistemática o comportamento de adversários.

Os principais COMPONENTES do modelo são:

===> Táticas (Tactics): representam o “porquê” — ou a razão pela qual um adversário executa uma ação.

• Por exemplo, um adversário pode querer obter acesso a credenciais.

===> Técnicas (Techniques): representam o “como” / a forma.

• Por exemplo, um adversário pode extrair credenciais para obter acesso a um sistema.

===> Subtécnicas (Sub-techniques): descrição mais específica do comportamento adversário usado para atingir um objetivo. É o compo

• Por exemplo, um adversário pode obter credenciais acessando os Segredos da Autoridade de Segurança Local (LSA).

===> Procedimentos (Procedures): são a implementação específica ou o uso observado “no mundo real” que o adversário aplica para executar técnicas ou subtécnicas.

• Por exemplo, um procedimento poderia ser um adversário usando PowerShell para injetar informações no lsass.exe e extrair credenciais, coletando dados da memória do LSASS em uma vítima.