O que é a cadeia de ataque cibernético? Etapas, exemplos e como interrompê-la

Maio 21, 2026
Kaseya
Detecção de ameaças, Ameaças

Todo ataque cibernético segue um caminho. O invasor precisa entrar no sistema, estabelecer uma presença inicial, movimentar-se pelo ambiente e, por fim, atingir seu objetivo. Esse caminho não é aleatório. Ele segue uma sequência reconhecível de etapas, e a cadeia de ataque cibernético oferece às equipes de segurança uma estrutura para compreender exatamente como é essa sequência e onde ela pode ser interrompida.

Para MSPs e equipes de TI que protegem ambientes complexos e distribuídos, a cadeia de ataque é mais do que um modelo teórico. É uma perspectiva prática para mapear os controles de segurança em relação à progressão real de um ataque e identificar onde as lacunas na cobertura deixam as organizações vulneráveis. Ferramentas como o Datto EDR, o Kaseya SIEM e o Kaseya MDR foram desenvolvidas para interromper os invasores em várias etapas dessa cadeia, antes que os danos cheguem aos estágios dos quais é mais difícil se recuperar.

O que é a cadeia de ataque cibernético?

A cadeia de ataque cibernético é uma estrutura que mapeia as etapas de um ataque cibernético, desde o reconhecimento inicial até o momento em que o invasor alcança seu objetivo final. Ela foi desenvolvida pela Lockheed Martin em 2011, adaptada do conceito militar de “cadeia de ataque”, que divide um confronto com o inimigo em etapas identificáveis, cada uma das quais pode ser alvo de ação e ser neutralizada.

Na segurança cibernética, o modelo tem a mesma finalidade. Ao compreender a sequência que um invasor deve seguir, as equipes de segurança podem identificar pontos de controle em cada etapa onde o ataque pode ser detectado, retardado ou totalmente interrompido. Um invasor que é bloqueado na segunda etapa nunca chega à quinta etapa. Um invasor que é detectado na quarta etapa pode ser contido antes de chegar à sétima etapa.

A estrutura foi originalmente concebida tendo em mente as ameaças persistentes avançadas (APTs): ataques sofisticados e de longa duração, realizados por adversários com recursos consideráveis que planejam cuidadosamente antes de agir. Ela continua sendo mais diretamente aplicável a esses tipos de ameaças, embora sua lógica se aplique de maneira ampla à forma como as equipes de segurança concebem as defesas em camadas contra qualquer tipo de ataque estruturado.

Os 7 etapas da cadeia de ataque cibernético

O modelo original da Lockheed Martin define sete etapas sequenciais. Cada etapa representa um ponto em que os defensores podem intervir.

Passo 1: Reconhecimento

Antes de lançar um ataque, o invasor coleta informações sobre o alvo. Isso inclui identificar dados disponíveis publicamente sobre a infraestrutura da organização, endereços de e-mail dos funcionários, anúncios de vagas que revelam as tecnologias em uso, perfis nas redes sociais e quaisquer sistemas voltados para o exterior que possam servir como pontos de entrada.

O reconhecimento pode ser passivo, utilizando inteligência de fontes abertas (OSINT) sem acessar diretamente os sistemas do alvo, ou ativo, envolvendo a verificação de portas abertas, a identificação de versões de software e a busca por vulnerabilidades. Quanto mais informações um invasor coletar nessa fase, mais preciso e convincente será o ataque nas etapas posteriores.

Foco na defesa: monitoramento de atividades de varredura externa, restrição das informações técnicas disponíveis publicamente e controle dos sistemas voltados para os funcionários que estão expostos à Internet.

Etapa 2: Conversão em arma

O invasor utiliza o que aprendeu durante o reconhecimento para criar ou montar sua carga de ataque. Isso geralmente envolve a criação de arquivos maliciosos projetados para explorar uma vulnerabilidade específica identificada no ambiente do alvo. Um documento de phishing com uma macro incorporada que distribui um trojan de acesso remoto, um PDF malicioso que explora uma vulnerabilidade do leitor ou um dropper que instala ransomware ao ser executado são todos exemplos de weaponização.

Os defensores raramente têm visibilidade direta dessa fase, uma vez que ela ocorre inteiramente na infraestrutura controlada pelo invasor. O foco aqui é reduzir a superfície de ataque exposta pelo reconhecimento: a correção rápida de vulnerabilidades conhecidas elimina as armas que o invasor planejava usar.

Etapa 3: Entrega

O invasor envia a carga maliciosa ao alvo. O e-mail é o mecanismo de entrega mais comum, por meio de campanhas de phishing que contêm anexos ou links maliciosos. Outros métodos de entrega incluem sites comprometidos que realizam downloads automáticos, pen drives maliciosos, atualizações de software de terceiros comprometidas (ataques à cadeia de suprimentos) e a exploração de serviços expostos à Internet.

Foco defensivo: a filtragem de e-mails, a filtragem da web, a proteção de DNS e o treinamento de conscientização sobre segurança para usuários atuam na fase de entrega. Bloquear a entrega antes que a carga maliciosa chegue a um dispositivo é a medida defensiva de maior eficácia disponível, pois impede que todas as etapas subsequentes ocorram.

Etapa 4: Exploração

Assim que a carga maliciosa chega ao destino, ela é executada e explora uma vulnerabilidade para obter acesso inicial. Pode tratar-se de uma vulnerabilidade de software em um aplicativo sem patch, de uma exploração de navegador acionada ao acessar uma página maliciosa ou de uma macro executada em um documento do Office após o usuário clicar em “Ativar Conteúdo”.

É aqui que o invasor passa do exterior do ambiente para o seu interior. A exploração é a fase que as ferramentas de detecção de terminais foram especificamente concebidas para detectar: a análise comportamental identifica a atividade anômala dos processos que se segue a uma exploração bem-sucedida, mesmo quando a vulnerabilidade em si não era conhecida de antemão.

Etapa 5: Instalação

Uma vez estabelecido o acesso inicial, o invasor instala malware persistente ou um backdoor para manter sua presença, mesmo que o ponto de entrada original seja bloqueado. Mecanismos comuns de persistência incluem a criação de chaves de execução no Registro, a instalação de tarefas agendadas, a adição de entradas na inicialização ou a implantação de um trojan de acesso remoto que se comunica com uma infraestrutura de comando e controle controlada pelo invasor.

O objetivo é sobreviver a uma reinicialização, a uma alteração de senha ou a uma correção que corrija a vulnerabilidade original. Sem uma instalação persistente, o invasor perde o acesso assim que a sessão é encerrada. As ferramentas de EDR com telemetria contínua dos terminais são especificamente capazes de detectar as modificações no Registro, novas tarefas agendadas e a criação de processos incomuns que caracterizam essa fase.

Etapa 6: Comando e controle (C2)

O malware instalado estabelece um canal de comunicação com a infraestrutura controlada pelo invasor. Por meio desse canal, o invasor pode emitir comandos, receber dados, implantar ferramentas adicionais e orientar as próximas fases do ataque remotamente. O tráfego C2 costuma ser disfarçado como tráfego legítimo da web, roteado por serviços populares na nuvem ou criptografado para evitar a detecção.

Esta fase representa uma oportunidade crucial para a detecção. A comunicação C2 precisa atravessar os limites da rede, o que significa que as ferramentas de monitoramento de rede e a filtragem de DNS podem detectá-la. Um terminal que tenha sido comprometido, mas cujo canal C2 esteja bloqueado, não pode receber mais comandos. Isolar o terminal nesta fase contém o incidente antes que comece o movimento lateral.

Etapa 7: Ações relacionadas aos objetivos

Na fase final, o invasor executa seu objetivo. Para invasores com motivação financeira, isso geralmente significa a implantação e criptografia de ransomware, a exfiltração de dados para extorsão ou venda, ou fraude financeira. Atores estatais podem buscar espionagem, destruição de sistemas críticos ou acesso persistente de longo prazo para uso futuro.

Esta é a fase mais prejudicial e mais onerosa de se recuperar. Ataques que chegam a afetar os objetivos exigem uma resposta completa a incidentes: investigação forense, reconstrução do sistema, eventual notificação às autoridades regulatórias e gestão da reputação. O objetivo principal de todas as etapas que antecedem esta fase em uma estratégia defensiva é garantir que o invasor nunca chegue a este ponto.

Exemplo da cadeia de ataque cibernético: um ataque de ransomware

Percorrer as sete etapas com base em um tipo de ameaça real ilustra como o modelo funciona na prática:

  1. Reconhecimento: O invasor identifica uma empresa de manufatura de médio porte por meio de um anúncio de emprego que menciona uma versão específica de um software de ERP com uma vulnerabilidade conhecida. Ele também coleta nomes de funcionários e formatos de e-mail no LinkedIn.
  2. Exploração: Utilizando os dados dos funcionários, eles criam um e-mail de phishing fingindo ser um fornecedor, anexando um documento que explora a vulnerabilidade do ERP e instala um trojan de acesso remoto ao ser executado.
  3. Entrega: O e-mail de phishing é enviado a um funcionário do departamento de contas a pagar. Ele passa pelos filtros de e-mail porque o domínio do remetente é uma imitação convincente e o anexo não é sinalizado como um hash malicioso conhecido.
  4. Exploração: O funcionário abre o anexo. A macro do documento é executada, explorando a vulnerabilidade e executando um comando do PowerShell que baixa o trojan de um servidor controlado pelo invasor.
  5. Instalação: O trojan se instala como uma tarefa agendada, configurada para permanecer ativa mesmo após reinicializações. Ele começa a enviar sinais para a infraestrutura C2 a cada poucos minutos por HTTPS.
  6. Comando e controle: O invasor confirma o acesso, instala ferramentas de extração de credenciais e passa vários dias se movimentando lateralmente pelo ambiente, mapeando compartilhamentos de arquivos e sistemas de backup antes de agir.
  7. Ações relacionadas aos objetivos: O invasor distribui o ransomware pela rede simultaneamente a partir de vários terminais comprometidos. A criptografia de arquivos começa em dezenas de sistemas antes que qualquer alerta seja acionado.

Interromper essa cadeia na etapa três (filtragem de e-mails interceptando a mensagem de phishing), na etapa quatro (EDR detectando a execução do PowerShell) ou na etapa seis (filtragem de DNS bloqueando o sinal C2) teria, em cada caso, evitado o resultado final. Quanto mais o invasor avança na cadeia antes de ser detectado, mais onerosa e complexa se torna a resposta.

Cadeia de ataque cibernético x MITRE ATT&CK: Qual é a diferença?

Ambos os modelos mapeiam o comportamento dos invasores, mas operam em diferentes níveis de detalhe e têm finalidades distintas.

A cadeia de ataque cibernético é um modelo sequencial de alto nível. Ela descreve as principais fases de um ataque em ordem, tornando-se útil para o planejamento estratégico, a compreensão da progressão do ataque e a comunicação com partes interessadas sem conhecimentos técnicos. Suas sete etapas proporcionam às equipes de segurança um vocabulário comum para discutir em que ponto do ciclo de vida de um ataque uma ameaça foi detectada ou onde as defesas falharam.

O MITRE ATT&CK é uma base de conhecimento detalhada e continuamente atualizada sobre táticas, técnicas e procedimentos (TTPs) de invasores. Em vez de sete fases sequenciais, ele cataloga centenas de técnicas específicas organizadas por tática, extraídas de ataques observados no mundo real. Não se trata de um processo sequencial: um invasor pode utilizar técnicas de várias táticas do MITRE simultaneamente ou em ordens diferentes, dependendo do que encontrar.

Os dois modelos se complementam. A cadeia de ataque oferece uma visão estrutural da progressão de um ataque. O MITRE ATT&CK fornece os detalhes técnicos sobre exatamente como cada etapa dessa progressão é executada. As equipes de operações de segurança costumam utilizar a cadeia de ataque para a comunicação de incidentes e o planejamento estratégico de defesa, enquanto utilizam o MITRE ATT&CK para a engenharia de detecção, o mapeamento de alertas e a avaliação da cobertura das ferramentas.

O Datto EDR mapeia suas detecções para a estrutura MITRE ATT&CK, o que significa que os alertas são apresentados com o contexto da tática e da técnica que estão sendo utilizadas. Isso relaciona os detalhes técnicos do MITRE com a etapa da cadeia de ataque a que se referem, fornecendo aos analistas tanto a técnica específica observada quanto sua posição na sequência de ataque mais ampla.

Limitações da cadeia de ataque cibernético

O modelo da cadeia de ataque tem utilidade real, mas também apresenta limitações significativas que as equipes de segurança precisam compreender.

Isso pressupõe um ataque linear
O modelo original descreve uma progressão sequencial da fase um à fase sete. Na prática, os ataques frequentemente pulam fases, executam várias fases simultaneamente ou voltam a fases anteriores. Um invasor que já tenha acesso a credenciais obtidas em uma violação anterior pode pular completamente as fases de reconhecimento e entrega.

Ele se concentra em ameaças baseadas no perímetro
O modelo foi concebido numa época em que as redes funcionavam localmente e possuíam limites bem definidos. Ameaças internas, ataques nativos da nuvem, acesso comprometido de terceiros e ataques à cadeia de suprimentos não se encaixam perfeitamente na estrutura tradicional da cadeia de ataque.

Isso não leva em conta a velocidade dos ataques modernos
O Relatório Global de Resposta a Incidentes da Unit 42 de 2026 constatou que os ataques mais rápidos agora conseguem extrair dados em até 72 minutos após o acesso inicial. O modelo da cadeia de ataque pressupõe que os defensores têm tempo para detectar e responder em cada etapa. Contra ataques automatizados de rápida evolução, essa janela de oportunidade costuma ser mais estreita do que o modelo sugere.

Isso pode criar uma falsa sensação de completude
Uma organização que tenha implementado controles em todas as sete etapas da cadeia de ataque ainda pode apresentar lacunas significativas se esses controles não abordarem as técnicas específicas que os invasores utilizam em cada etapa. O MITRE ATT&CK é uma ferramenta mais adequada para avaliar a cobertura no nível das técnicas.

Como a cadeia de ataque cibernético pode melhorar a segurança?

Apesar de suas limitações, a cadeia de destruição continua sendo uma estrutura prática para o planejamento estruturado da defesa. Veja como aplicá-la:

  • Mapeie seus controles para cada etapa: para cada uma das sete etapas, identifique quais ferramentas e processos você já possui para detectar ou prevenir atividades de invasores. As lacunas que surgem ao realizar esse exercício revelam onde é necessário investir.
  • Priorize a interrupção na fase inicial: quanto mais cedo você bloquear um ataque na cadeia de ataque, menor será o dano causado e mais simples será a correção. Os controles na fase de entrega (filtragem de e-mail, proteção de DNS) e na fase de exploração (aplicação de patches, detecção comportamental por EDR) proporcionam o maior retorno, pois impedem todas as etapas posteriores.
  • Utilize a abordagem da cadeia de ataque na análise de incidentes: após qualquer incidente de segurança, analise cada etapa da cadeia de ataque e identifique em qual etapa o invasor foi detectado, até onde ele avançou antes da contenção e quais controles, se houvesse, teriam detectado o ataque mais cedo. Isso gera melhorias específicas e passíveis de implementação, em vez de conclusões genéricas do tipo “reforçar a segurança”.
  • Não confie apenas na cadeia de ataque: complemente-a com o MITRE ATT&CK para avaliar a cobertura da detecção em nível de técnica e com inteligência contra ameaças que reflita as TTPs específicas dos adversários que têm como alvo o seu setor.

Como a Kaseya interrompe a cadeia de ataque

A plataforma de segurança da Kaseya foi projetada para oferecer aos MSPs e às equipes de TI enxutas a capacidade de detectar e interromper ataques em várias etapas da cadeia de ataque simultaneamente, sem a necessidade de uma grande equipe interna de segurança para que ela funcione.

O Datto EDR atua nas fases de exploração, instalação e comando e controle. O monitoramento comportamental detecta a execução anômala de processos, mecanismos de persistência e sinais de C2, com mais de 65 ações de resposta automatizadas para isolar, encerrar e colocar em quarentena antes que o movimento lateral tenha início. As detecções são mapeadas para o MITRE ATT&CK, fornecendo aos analistas contexto imediato sobre qual técnica está sendo utilizada e em que ponto da sequência de ataque ela se insere.

O Kaseya SIEM oferece visibilidade abrangente que cobre toda a cadeia de ataque, correlacionando dados de telemetria de mais de 60 fontes de dados em terminais, rede, identidade e nuvem. Eventos que, isoladamente, parecem não ter relação entre si — como uma tentativa de login malsucedida, a execução de um processo incomum ou tráfego de saída anômalo — tornam-se um padrão interligado da cadeia de ataque em um único incidente correlacionado. A retenção de registros por 400 dias permite a reconstrução forense necessária para determinar o tempo de permanência e o escopo total do ataque.

O Kaseya MDR incorpora uma equipe de analistas que transforma a detecção em defesa ativa. Analistas de segurança sediados nos Estados Unidos monitoram seu ambiente 24 horas por dia, investigam ameaças confirmadas e executam medidas de contenção antes que os ataques avancem para fases mais avançadas, sem que você precise manter um SOC operando 24 horas por dia, 7 dias por semana para que isso funcione.

Em conjunto, esses recursos abrangem toda a cadeia de ataque, desde os terminais até a nuvem, proporcionando aos MSPs e às equipes de TI a visibilidade e a capacidade de resposta necessárias para impedir os ataques muito antes que eles atinjam seus alvos.

Uma plataforma completa para gestão de TI e segurança

Kaseya 365 a solução completa para gerenciar, proteger e automatizar a TI. Com integrações perfeitas entre as principais funções de TI, ele simplifica as operações, reforça a segurança e aumenta a eficiência.

Solicite uma demonstração Conheça o Kaseya 365

Uma plataforma. Tudo em TI.

Kaseya 365 desfrutam dos benefícios das melhores ferramentas de gerenciamento de TI e segurança em uma única solução.

Conheça o Kaseya 365

Seu sucesso é nossa prioridade número 1

O Partner First é um compromisso com condições flexíveis, risco compartilhado e suporte dedicado para o seu negócio.

Conheça Partner First Pledge

Relatório Kaseya sobre a Situação dos MSP de 2026

Kaseya - Relatório sobre a Situação dos MSP em 2026 - Imagem para a Web - 1200x800 - ATUALIZADO

Obtenha insights sobre o MSP para 2026 com mais de 1.000 prestadores de serviços e descubra como aumentar a receita, adaptar-se às pressões do mercado e manter a competitividade.

Faça o download agora

Explore as categorias

O que é detecção e resposta a ameaças (TDR)?

Saiba como funciona a detecção e resposta a ameaças (TDR), por que ela é importante, em quais ferramentas se baseia e como os MSPs e as equipes de TI podem criar programas de TDR eficazes.

Leia a postagem do blog

O que é XDR? Um guia sobre detecção e resposta ampliadas

Aprenda os fundamentos do XDR, incluindo como ele funciona, seus principais benefícios, como se compara a tecnologias semelhantes e como obter cobertura de nível XDR já hoje.

Leia a postagem do blog

Indicadores de comprometimento (IOCs): Tipos, exemplos, detecção e resposta

Saiba o que são indicadores de comprometimento (IOCs), quais são os principais tipos, veja exemplos comuns e como as equipes de segurança os utilizam para detectar e responder a ameaças.

Leia a postagem do blog