Red Teaming e Threat Hunting são disciplinas que, quando presentes em uma organização, podem simbolizar a maturidade de um programa de segurança cibernética. Enquanto uma simula ataques para testar defesas, a outra investiga sinais de atividade maliciosa que podem ter passado despercebidos. Mas o que acontece quando essas ações se baseiam em suposições genéricas ou ameaças puramente teóricas?

A resposta: esforço desperdiçado.

É aqui que entra a disciplina de Cyber Threat Intelligence (CTI), contribuindo com táticas, técnicas e procedimentos (TTPs)  reais de adversários ativos. Assim, o CTI transforma simulações pouco embasadas em testes relevantes e preenche a atividade de hunting com contexto, o que a converte em investigações com propósito.

É a vida real pautando o que será feito com os seus investimentos, resultando na verdadeira redução de riscos.

Unindo forças: Red Team, Threat Hunting e CTI

As três disciplinas compartilham um mesmo objetivo: entender e combater o comportamento do adversário. A convergência entre elas potencializa os resultados de forma exponencial.

• O Red Team, por simular ataques, com CTI pode testar situações reais.
• O Threat Hunting, por buscar sinais de intrusão, com CTI pode acessar inteligência que o ajuda a investigar onde realmente importa.
• O CTI fornece o combustível para ambos: contexto, comportamento e intenção.

Essa integração quebra silos e cria uma linha direta entre o que o adversário faz lá fora e o que os times de segurança devem testar e procurar internamente.

TTPs reais: o elo entre inteligência e ação

Os TTPs — Táticas, Técnicas e Procedimentos — são a forma mais concreta de representar o comportamento de um adversário. Eles ajudam a entender como e com quais ferramentas os adversários agem.

Hoje, o MITRE ATT&CK é a principal base de conhecimento sobre TTPs, algo parecido com a tabela periódica dos elementos. Da mesma forma que a tabela periódica nos ajuda a entender a composição das moléculas, o MITRE ATT&CK nos ajuda a entender as múltiplas combinações de técnicas possíveis em um ataque. Com duas diferenças, o conjunto de técnicas do MITRE ATT&CK é muito maior que a quantidade de elementos da tabela periódica e as TTPs mudam de tempos em tempos, de modo que o MITRE ATT&CK precisa ser constantemente atualizado.

Um exemplo de uso do MITRE ATT&CK seria o de, ao explicar o comportamento do adversário APT29, documentar que, dentre os seus procedimentos, ele abusa do binário schtasks.exe, em uma técnica documentada como o “scheduled task/job”, que consiste em abusar do mecanismo de agendamento de tarefas presente no sistema operacional, a qual faz parte da tática de “persistence” que reúne as várias formas pelas quais um adversário pode se manter ativo em um dispositivo mesmo que ele seja reiniciado.

Ao orientar as atividades por meio do que é encontrado por CTI e usar esse “idioma” de TTPs entre os times, as atividades de Red Team e Threat Hunting passam a ser baseadas em casos reais, a segurança deixa de ser genérica e se torna específica, contextualizada e eficaz.

CTI enriquecendo o Red Team

Com base em TTPs documentados no MITRE ATT&CK e em análises de campanhas ativas, o time de inteligência pode construir perfis de adversário.

Com isso, o Red Team pode:

• Simular grupos como Lazarus, FIN7 ou Turla com realismo técnico e estratégico.
• Utilizar ferramentas como MITRE Caldera™ e tantas outras do universo de Red Team com base em comportamentos reais.
• Entregar relatórios que testam controles e processos no mundo real. 

O resultado? Testes que pressionam por evolução não apenas na segurança tecnológica, mas que também ajudam na melhoria dos processos e na prontidão organizacional.

CTI potencializando o Threat Hunting

No lado defensivo, a inteligência de ameaças fornece hipóteses acionáveis para investigações proativas. Tais como:

• “Este grupo tem histórico de usar tunneling via DNS — estamos vendo esse padrão?”
• “Essa infraestrutura de comando e controle foi usada recentemente por campanhas contra nosso setor — temos tráfego para ela?”
• “Esse malware persiste por DLL side-loading — temos registros desse tipo de carregamento em endpoints?”

Ao guiar buscas com base em TTPs conhecidos e em campanhas em andamento, o hunting se torna intencional e mensurável.

Um cenário prático

Imagine que o time de CTI identifica uma campanha ativa usando o infostealer Vidar instalado por meio de outro malware chamado FakeBat. O Red Team monta um cenário simulando a entrega e extração de dados com base nesse vetor. O Threat Hunting, por sua vez, cria queries para identificar comunicações com domínios relacionados, execução de binários ofuscados e criação de arquivos temporários em diretórios comuns a infostealers.

Cada time atua com independência, mas movido pela mesma ameaça real. Isso gera aprendizado cruzado, evolução de controles e fortalecimento da postura de segurança.

Benefícios concretos da integração

✅ Red Teams mais relevantes: seus ataques simulam adversários reais, não apenas vulnerabilidades genéricas.
✅ Hunting mais direcionado: buscas com base em ameaças com probabilidade real de ocorrência.
✅ Menos falsos positivos: os analistas investigam com contexto, não apenas com assinaturas.
✅ Cultura de colaboração: CTI deixa de ser um relatório isolado e passa a ser um insumo de valor para toda a equipe.

Como começar

1. Escolha um adversário real com base no setor, geografia ou histórico de ataque (ex: APT28).
2. Mapeie as TTPs desse ator com MITRE ATT&CK.
3. Desenvolva um cenário de emulação (Red Team) e uma hipótese de hunting correlata.
4. Documente os resultados e alimente o loop de inteligência com aprendizados.

Como a Resonant pode ajudar

A inteligência gerada pelo CTI da Resonant mantém funcionando esse loop que é crucial para integrar o seu pessoal de Red Team e Threat Hunting.

Podemos transformar o Red Team em mais do que um exercício puramente técnico e o Threat Hunting em mais do que um tiro no escuro.

Quando você baseia suas ações nos TTPs do adversário real, sua defesa deixa de ser passiva e passa a ser prontamente orientada à ameaça.

Você está testando e fazendo hunting por ameaças reais ou fantasmas operacionais?

Fale com o time da Resonant e descubra como transformar ruído em ação prática.