Estamos constantemente em busca de elementos que nos ajudem a prever como seremos atacados e, assim, fazer algo proativamente para reduzir esses riscos. A Intelig\u00eancia sobre Amea\u00e7as Cibern\u00e9ticas (CTI) \u00e9 a disciplina que coleta, analisa e contextualiza informa\u00e7\u00f5es sobre amea\u00e7as cibern\u00e9ticas para entender quem s\u00e3o os advers\u00e1rios, como eles operam, o que buscam e quais t\u00e9cnicas usam, para antecipar ataques e fortalecer as defesas. A CTI permite que as equipes de seguran\u00e7a tomem decis\u00f5es mais bem informadas.<\/p>\n
“O Technique Inference Engine (TIE), apresentado por Matthew Turner (engenheiro do MITRE) no recente workshop de Intelig\u00eancia Artificial para Seguran\u00e7a Cibern\u00e9tica (AICS 2025), \u00e9 uma ferramenta inovadora que tem o potencial de revolucionar a maneira como conduzimos a ca\u00e7a a amea\u00e7as e enfrentamos campanhas advers\u00e1rias complexas. A TIE usa algoritmos avan\u00e7ados de aprendizado de m\u00e1quina e racioc\u00ednio probabil\u00edstico para analisar grandes volumes de dados e extrair padr\u00f5es de comportamento que indicam a presen\u00e7a de atividades mal-intencionadas.<\/p>\n
A TIE prop\u00f5e a capacidade de inferir t\u00e9cnicas e t\u00e1ticas usadas pelos advers\u00e1rios, mesmo quando eles tentam esconder seus rastros. Essa ferramenta permitiria que os analistas de seguran\u00e7a identificassem e rastreassem as campanhas dos advers\u00e1rios ao longo do tempo, mesmo quando eles mudam suas ferramentas e m\u00e9todos. O modelo espera ajudar a “prever” futuras a\u00e7\u00f5es dos advers\u00e1rios, permitindo que os defensores tomem medidas proativas para proteger seus sistemas.<\/p>\n
Mecanismo de infer\u00eancia t\u00e9cnica
\nO TIE \u00e9 um modelo de previs\u00e3o desenvolvido pelo MITRE Center for Threat-Informed Defense, projetado para dar suporte a analistas de amea\u00e7as e equipes de resposta a incidentes. Com base na estrutura MITRE ATT&CK\u00ae, o TIE analisa as t\u00e9cnicas observadas e infere poss\u00edveis t\u00e9cnicas adicionais usadas em uma campanha advers\u00e1ria, mesmo que elas n\u00e3o sejam explicitamente relatadas na CTI (Cyber Threat Intelligence) dispon\u00edvel.
\nEm resumo: a TIE ajuda a responder \u00e0 pergunta “O que mais devo procurar?”<\/p>\n
Pontos de valor
\nUm dos maiores desafios na ca\u00e7a \u00e0s amea\u00e7as \u00e9 lidar com informa\u00e7\u00f5es incompletas. Muitas vezes, os relat\u00f3rios de CTI n\u00e3o documentam todas as TTPs (t\u00e1ticas, t\u00e9cnicas e procedimentos) envolvidas em uma invas\u00e3o. A TIE resolve esse problema aplicando modelos de recomenda\u00e7\u00e3o (como os usados pela Netflix ou pelo Spotify, mas em seguran\u00e7a cibern\u00e9tica) para prever t\u00e9cnicas que provavelmente est\u00e3o ocorrendo, mas que ainda n\u00e3o foram vistas.
\nPodemos separar a TIE em tr\u00eas elementos de valor:
\n\u2981 O maior conjunto de dados p\u00fablicos conhecidos de CTIs rotulados com t\u00e9cnicas ATT&CK.<\/p>\n
\u2981 Algoritmos como o Weighted Matrix Factorization (WMF) e o Bayesian Personalised Ranking (BPR) para t\u00e9cnicas de infer\u00eancia.<\/p>\n
\u2981 Uma interface da Web simples e eficaz para inserir t\u00e9cnicas observadas e receber sugest\u00f5es priorizadas.<\/p>\n
Bom conjunto de dados, bons resultados
\nO TIE foi treinado no maior conjunto de dados publicamente conhecido de relat\u00f3rios de intelig\u00eancia contra amea\u00e7as (CTI) marcados com t\u00e9cnicas ATT&CK. Ele tem um total de:
\n\u2981 6.236 relat\u00f3rios do CTI.<\/p>\n
\u2981 43.899 observa\u00e7\u00f5es t\u00e9cnicas.<\/p>\n
\u2981 96% de cobertura da estrutura do ATT&CK Enterprise v15.<\/p>\n
\u2981 Principais fontes: OpenCTI, TRAM, ATT&CK Flows, planos e campanhas de emula\u00e7\u00e3o de advers\u00e1rios.
\nEsse conjunto de dados reflete tanto a variedade de t\u00e9cnicas relatadas quanto os vieses e a incompletude t\u00edpicos da an\u00e1lise manual.<\/p>\n
Modelagem do problema
\nO TIE modela o problema como uma “tarefa de recomenda\u00e7\u00e3o colaborativa” com feedback impl\u00edcito. Em vez de tentar adivinhar “se uma t\u00e9cnica faz ou n\u00e3o parte de uma campanha”, ela se concentra na previs\u00e3o de uma classifica\u00e7\u00e3o de t\u00e9cnicas prov\u00e1veis, com uma entrada parcial de t\u00e9cnicas observadas.
\n\u2981 Uma matriz bin\u00e1ria A (relat\u00f3rios x t\u00e9cnicas) \u00e9 constru\u00edda, com uns onde a t\u00e9cnica \u00e9 observada e zeros impl\u00edcitos (potencialmente verdadeiros ou falsos negativos).<\/p>\n
\u2981 O objetivo \u00e9 completar a matriz: quais t\u00e9cnicas s\u00e3o prov\u00e1veis a partir do que observei?
\nDe forma simplificada, vamos imaginar que estamos entrando em uma biblioteca enorme, sabemos quais livros algumas pessoas j\u00e1 leram… mas gostar\u00edamos de adivinhar quais outros livros elas podem gostar. \u00c9 a\u00ed que entram os “sistemas de recomenda\u00e7\u00e3o”, como o WMF e o BPR. Eles tentam “adivinhar conex\u00f5es ocultas” entre coisas que observamos (por exemplo, t\u00e9cnicas usadas por um invasor) ou coisas que provavelmente tamb\u00e9m est\u00e3o relacionadas (outras t\u00e9cnicas que ainda n\u00e3o vimos).
\nFatora\u00e7\u00e3o de matriz ponderada (WMF)
\nEsse sistema funciona como uma jun\u00e7\u00e3o de caixas com gostos comuns. Cada relat\u00f3rio de ataque (CTI) e cada t\u00e9cnica ATT&CK \u00e9 representada como um ponto em um mapa. O modelo tenta agrupar relat\u00f3rios e t\u00e9cnicas que costumam aparecer juntos. Se a campanha observou determinadas t\u00e9cnicas, o modelo examina esse “mapa” para ver quais est\u00e3o pr\u00f3ximas e as sugere como prov\u00e1veis.
\nA matriz de observa\u00e7\u00f5es mencionada acima \u00e9 fatorada em vetores latentes de relat\u00f3rios e t\u00e9cnicas. \u00c9 usada uma fun\u00e7\u00e3o de perda que penaliza menos as aus\u00eancias, pressupondo baixa confian\u00e7a nos zeros. Isso nos proporciona um sistema de treinamento r\u00e1pido, baixo custo computacional e bom desempenho.
\nClassifica\u00e7\u00e3o personalizada bayesiana (BPR)
\nPor outro lado, essa \u00e9 a estrat\u00e9gia “isso \u00e9 melhor do que aquilo”. O modelo n\u00e3o tenta prever sim ou n\u00e3o, mas sim ordenar. Ele aprende que se o relat\u00f3rio A usou a t\u00e9cnica X, ent\u00e3o provavelmente prefere X a Y”. Milhares de compara\u00e7\u00f5es s\u00e3o criadas e a maneira de ordenar as t\u00e9cnicas \u00e9 ajustada de acordo. Esse sistema, por outro lado, aprende como se estivesse jogando um videogame de “Qual \u00e9 a mais prov\u00e1vel?”, muitas vezes at\u00e9 encontrar boas classifica\u00e7\u00f5es.
\nAqui \u00e9 usado um m\u00e9todo de amostragem negativa que treina o modelo para classificar as t\u00e9cnicas observadas acima das n\u00e3o observadas. Ele melhora a ordem relativa das previs\u00f5es, mas pode ser tendencioso em rela\u00e7\u00e3o a t\u00e9cnicas muito frequentes. Como consequ\u00eancia, \u00e9 necess\u00e1rio mais tempo de treinamento.<\/p>\n
Simples de usar
\nA ferramenta \u00e9 baseada em JS, sem a necessidade de um backend, tudo \u00e9 executado no navegador do usu\u00e1rio. Usando como entrada uma lista de t\u00e9cnicas observadas. O resultado s\u00e3o as principais t\u00e9cnicas inferidas, classificadas por probabilidade de associa\u00e7\u00e3o.
\n![\"\"](\"https:\/\/base4sec.com\/wp-content\/uploads\/2025\/04\/image1.png\")
\nEntrada de 3 t\u00e9cnicas na interface da Web
\n![\"\"](\"https:\/\/base4sec.com\/wp-content\/uploads\/2025\/04\/image2.png\")
\nSa\u00edda de 20 t\u00e9cnicas de interface da Web previstas<\/p>\n
Conclus\u00f5es
\nComo o contexto \u00e9 conhecido por amea\u00e7as em constante evolu\u00e7\u00e3o, as informa\u00e7\u00f5es dispon\u00edveis s\u00e3o enormes e quase nunca completas, ferramentas como a TIE representam uma etapa fundamental para as equipes de seguran\u00e7a cibern\u00e9tica. A abordagem permite ampliar a visibilidade das campanhas advers\u00e1rias sem depender exclusivamente da documenta\u00e7\u00e3o expl\u00edcita nos relat\u00f3rios de CTI.
\nPara as organiza\u00e7\u00f5es, isso significa ter um aliado que ajuda a priorizar a busca, antecipar os movimentos do atacante e tomar decis\u00f5es mais informadas em menos tempo. O design aberto e a facilidade de uso fazem dele um recurso a ser integrado em qualquer estrat\u00e9gia moderna de ca\u00e7a a amea\u00e7as.<\/p>\n
Refer\u00eancias Estamos constantemente em busca de elementos que nos ajudem a prever como seremos atacados e, assim, fazer algo proativamente para reduzir esses riscos. A Intelig\u00eancia sobre Amea\u00e7as Cibern\u00e9ticas (CTI) \u00e9 a disciplina que coleta, analisa e contextualiza informa\u00e7\u00f5es sobre amea\u00e7as cibern\u00e9ticas para entender quem s\u00e3o os advers\u00e1rios, como eles operam, o que buscam e quais […]<\/p>\n","protected":false},"author":5,"featured_media":6851,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"advanced_seo_description":"","jetpack_seo_html_title":"","jetpack_seo_noindex":false,"footnotes":"","jetpack_post_was_ever_published":false},"categories":[260],"tags":[],"class_list":["post-6866","post","type-post","status-publish","format-standard","has-post-thumbnail","category-technical-pt-br"],"jetpack_featured_media_url":"https:\/\/base4sec.com\/wp-content\/uploads\/2025\/04\/136.png","_links":{"self":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/6866","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/comments?post=6866"}],"version-history":[{"count":2,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/6866\/revisions"}],"predecessor-version":[{"id":6870,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/6866\/revisions\/6870"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/media\/6851"}],"wp:attachment":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/media?parent=6866"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/categories?post=6866"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/tags?post=6866"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n– Mecanismo de infer\u00eancia t\u00e9cnica https:\/\/center-for-threat-informed-defense.github.io\/technique-inference-engine\/#\/<\/a>
\n– Projeto TIE no Github – https:\/\/github.com\/center-for-threat-informed-defense\/technique-inference-engine<\/a>
\n– Technique Inference Engine: A Recommender Model to Support Cyber Threat Hunting, Matthew J. Turner, Mike Carenzo, Jackie Lasky, James Morris-King, James Ross (mar\u00e7o de 2025) https:\/\/arxiv.org\/abs\/2503.04819v1<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"