2 shares

Síntese da notícia:

  • O ATT&CK v19 divide a antiga tática Defense Evasion em duas frentes: Stealth e Defense Impairment.
  • A mudança separa comportamentos de camuflagem daqueles que efetivamente degradam ou rompem controles defensivos.
  • A versão amplia cobertura para IA, engenharia social, ICS, mobile e inteligência de ameaças.
  • O domínio ICS ganha sub-técnicas mais granulares para firmware, comunicações, descoberta remota, programas e credenciais inseguras.
  • As Detection Strategies chegam ao domínio mobile, conectando comportamento adversário, telemetria e analytics de forma mais prática.

O que gestores devem fazer agora:

  1. Revisar mapeamentos ATT&CK internos, especialmente conteúdos ainda associados à antiga tática Defense Evasion ou à técnica T1562.
  2. Atualizar detecções e dashboards para refletir Stealth, Defense Impairment, novas técnicas de IA e a reorganização de engenharia social.
  3. Reavaliar ambientes ICS e mobile, usando a nova granularidade para aproximar inteligência, telemetria e resposta operacional.

Um framework mais acionável

O MITRE ATT&CK é uma das mais consagradas bases de conhecimento global para o segmento da Cibersegurança. Este é operado pela organização sem fins lucrativos MITRE, e organiza, em linguagem comum, táticas, técnicas e procedimentos usados por adversários e criminosos em ataques cibernéticos. Diferentemente de listas genéricas de ameaças, o framework ajuda organizações a compreender como os ataques acontecem na prática, quais comportamentos devem ser monitorados e como controles, detecções e respostas podem ser priorizados. Por isso, tornou-se uma referência útil para equipes técnicas, áreas de risco e gestores que precisam transformar sinais de ameaça em decisões mais objetivas de defesa, prontidão e resiliência cibernética.

Sua nova versão, a v19, foi publicada hoje como uma das atualizações mais relevantes recentes do framework, não apenas por adicionar novas técnicas, mas por reorganizar partes centrais da forma como defensores interpretam o comportamento adversário. Segundo o blog oficial do MITRE ATT&CK, a versão v19 traz a aguardada divisão de Defense Evasion, amplia Detection Strategies para mobile, torna a matriz ICS mais granular com sub-técnicas e expande a cobertura de Inteligência Artificial (IA), engenharia social, inteligência de ameaças e campanhas em múltiplos domínios.

O fim de Defense Evasion como categoria única

A principal mudança conceitual é a separação da antiga tática Defense Evasion em duas categorias distintas: Stealth e Defense Impairment. A primeira cobre comportamentos de camuflagem, como uso de binários legítimos, payloads ofuscados ou processos disfarçados. A segunda trata de ações que prejudicam diretamente as defesas, como interromper EDRs, adulterar logs ou subverter controles de confiança. A lógica é simples e importante: esconder-se de uma defesa intacta é diferente de quebrar a defesa.

Essa reorganização também tem impacto operacional. A antiga Defense Evasion (TA0005) foi aposentada como nome de tática e substituída por Stealth, que mantém o ID TA0005, e por Defense Impairment, que recebe o novo ID TA0112. O MITRE também informa que a técnica T1562: Impair Defenses e algumas sub-técnicas foram revogadas, fundidas ou reemitidas sob novos IDs, com destaque para T1685: Disable or Modify Tools, além de novas técnicas como T1687: Exploitation for Defense Impairment e T1686.003: Disable or Modify System Firewall: Windows Host Firewall.

Por isso, o próprio MITRE disponibilizou um crosswalk em JSON e CSV para apoiar a transição da versão v18 para a v19. A recomendação prática é atualizar primeiro os campos que exigem apenas mudança de tática, revisar com mais cuidado tudo o que estiver ligado a T1562, IDs revogados ou conteúdos fundidos, e então mapear as novas técnicas introduzidas pela reorganização. Para organizações que usam ATT&CK em SIEM, EDR, threat hunting, avaliação de controles ou dashboards executivos, esse passo é essencial para evitar lacunas de rastreabilidade.

IA e engenharia social ganham destaque

Outro avanço relevante está na cobertura de IA e engenharia social. O MITRE ressalta que, para técnicas habilitadas por IA, o foco do ATT&CK continua sendo o comportamento adversário, não a ferramenta usada. A IA pode acelerar, baratear e escalar atividades maliciosas, mas a pergunta central permanece: esse comportamento exige detecção, análise ou resposta defensiva diferente? Nessa direção, a versão v19 adiciona T1682: Query Public AI Services, voltada ao uso de serviços públicos de IA para pesquisa e planejamento operacional, e T1683: Generate Content, com sub-técnicas para conteúdo escrito e audiovisual.

Na engenharia social, o ATT&CK v19 cria o novo parent technique T1684: Social Engineering, sob o qual foram reorganizadas técnicas como Impersonation e Email Spoofing. A lógica é útil para a defesa: o canal pode ser e-mail, voz, plataforma colaborativa ou help desk, mas o comportamento central é a manipulação baseada em confiança para induzir ações autorizadas pelo usuário, como reset de senha, alteração de MFA, aprovação financeira ou divulgação de informação sensível.

ICS ganha granularidade operacional

O domínio Industrial Control Systems (ICS) também ganhou maior precisão. A versão v19 introduz ou reorganiza cinco áreas com sub-técnicas: Modify Firmware, separando firmware de sistema e de módulo; Block Communications, cobrindo Serial COM, Ethernet e Wi-Fi; Remote System Discovery, distinguindo port scan, broadcast discovery e multicast discovery; Program Download, com variações como download completo, edição online e acréscimo de programa; e Insecure Credentials, com credenciais padrão e credenciais hardcoded.

Essa granularidade importa porque ambientes industriais não podem ser tratados como TI convencional. Em ICS, pequenas diferenças entre firmware, comunicação física, controladores programáveis e credenciais embutidas podem representar superfícies de detecção e mitigação muito diferentes. A nova estrutura ajuda defensores a mapear melhor comportamentos adversários, controles existentes, necessidades de telemetria e prioridades de resposta em ambientes de infraestrutura crítica, automação, manufatura e operational technology (OT).

Detecção mobile fica mais prática

A versão v19 também leva Detection Strategies para o domínio Mobile. Segundo o MITRE, essas estratégias conectam comportamento adversário a analytics, fontes de log e parâmetros ajustáveis, oferecendo um caminho mais claro entre técnica e telemetria. A orientação é desenhada para diferentes níveis de visibilidade e de forma vendor-agnostic, reconhecendo que a detecção em mobile depende muito das ferramentas disponíveis em cada organização.

Um exemplo citado é a técnica T1398: Boot or Logon Initialization Scripts. A orientação anterior indicava que recursos como Verified Boot, SafetyNet e Knox poderiam detectar modificações não autorizadas; a nova estratégia de detecção, porém, fornece analytics específicos por plataforma, fontes de log e parâmetros ajustáveis para Android e iOS. Como informa o próprio MITRE, a diferença está entre saber que algo é detectável e saber como detectar.

Inteligência de ameaças mais abrangente

O release também amplia a cobertura de Cyber Threat Intelligence, incluindo atividades ligadas ao Irã, à China, a campanhas com IA, operações cross-domain, compromissos de supply chain, regiões menos documentadas e ferramentas de crimeware. Entre os exemplos citados estão campanhas AI-orchestrated, malware que consulta modelos de linguagem em operações reais, ameaças a dispositivos de rede, wipers cross-domain e compromissos no ecossistema npm.

No domínio mobile, o MITRE também adicionou novas entradas de software, como VajraSpy, DocSwap e Crocodilus, além de atualizar T1660: Phishing para capturar voice phishing habilitado por IA, em que adversários usam clonagem de voz para se passar por pessoas confiáveis em chamadas ou mensagens urgentes. Essa atualização reforça como IA, engenharia social e dispositivos móveis estão convergindo em novos vetores de risco.

Evolução Bem-vinda

O ATT&CK v19 reforça uma transição importante na defesa cibernética: sair de classificações amplas e genéricas para uma leitura mais precisa de intenção adversária, telemetria disponível e resposta aplicável. Para gestores, isso significa que o framework não deve ser visto apenas como uma enciclopédia de técnicas, mas como uma linguagem operacional para priorizar controles, avaliar maturidade, orientar detecções e conectar risco técnico a decisões de governança.

A principal mensagem para organizações é direta: quem usa ATT&CK deve tratar a versão v19 como um convite à revisão de seus mapas de cobertura. Isso vale para SOCs, equipes de threat intelligence, programas de Prontidão Cibernética, avaliações de terceiros, ambientes OT/ICS, políticas de mobile security e estratégias de detecção apoiadas por IA. A atualização não muda apenas nomes; ela ajuda a formular melhores perguntas defensivas.

2 shares

Deixe seu comentário

Por favor inclua seu comentário
Digite seu nome aqui