RESPOSTA A INCIDENTES

Esse documento tem como função principal mostrar as etapas de uma resposta a incidentes seguindo o
método SANS - (System Administration, Networking and Security) e alguns exemplos de ações feitas
em cada passo do tratamento. A resposta a incidentes é toda medida adotada por uma empresa para
solucionar e gerenciar problemas de segurança, como vazamentos de dados e cyber ataques. O
objetivo é que essa abordagem seja rápida para conter a situação, minimizando os custos e
reduzindo o tempo de recuperação dos danos.

Fluxo de Resposta a incidentes

IDENTIFICAÇÃO CONTENÇÃO ERRADICAÇÃO RECUPERAÇÃO

PREPARAÇÃO REVISÃO

A Resposta a incidentes baseado no modelo SANS consiste em 6 passos são eles:

1- Preparação, 2- Identificação, 3- Contenção, 4- Erradicação, 5- Recuperação, 6- Revisão.

1 - Preparação

Treinar a equipe para garantir que a resposta a incidentes funcione, e que cada pessoa
saiba as funções e ações que devem ser tomadas durante um incidente de segurança.

Treinamentos mensais com laboratórios e situações de ataques reais simulados em

ambiente controlado, ajuda a equipe entender o cenário e saber como será tratado um
incidente real caso aconteça.

Reuniões semanais para alinhamento da equipe apresentando suas funções, planos de

melhorias e analise de relatórios de ações preventivas e corretivas feitas nos clientes, afim
de assegurar que todos os analistas estejam inteirados.

Criar modelo de documentação de registro de incidentes contendo o histórico das ações

tomadas para a contenção do incidente. Afim de tê-lo disponível para consulta.

2 - Identificação

Coletar o máximo de informações com o auxilio de ferramentas, sistemas e fontes

confiáveis, afim de confirmar se o evento é um incidente e identificar que tipo de ataque
foi ou esta sendo realizado. Assim sendo necessário a criação de um plano de ação para o
tratamento da ameaça.

O colaborador que identificar o incidente deverá, comunicar ao gestor imediato e acionar

o Analista que está de Plantão, ou o time de resposta a incidentes.

Coletar e analisar os logs utilizando ferramentas confiáveis como SIEM, ANALYZER ou o

Firewall, logs de servidores.

Validar a ameaça e identificar o tipo, o tempo e a origem do ataque.

Criar ou seguir um plano de ação contendo, ações a serem tomadas, sala de comunicação,
planejamento e responsáveis por cada detalhe, comunicação com o cliente para informar
a gravidade do incidente e estabelecer prazos para follow ups sobre o ocorrido e o status.

3 - Contenção

Ações reativas de curto prazo afim de isolar a ameaça ou o agente malicioso evitando
que mesmo afete outros sistemas, ou um desligamento coordenado dos dispositivos ou
sistemas afetados.

Desligamento coordenado de dispositivos ou sistemas afetados, afim de isolar a ameaça

ou o agente malicioso, para evitar que o mesmo se propague na rede.

Bloqueio de acessos a rede ou aos sistemas, IPs maliciosos, neutralizar de backdoors,

encerrar conexões externas, desviar requisições utilizando uma estratégia de blackhole
routing ou modificar as configurações de protocolos de rede.

Limpeza de arquivos maliciosos utilizando o antivírus, ou ferramentas para inspeção de

arquivos ou sandbox.

4 - Erradicação

Após descobrir a ameaça, é necessário garantir a remoção por completo da ameaça dos
sistemas afetados.

Garantir que a causa raiz foi tratada, assim removendo os vestígios da ameaça.

Verificar se o ataque não afetou mais de um sistema ou dispositivo no caso de WORMS.

Verificar se as cópias de segurança, credenciais ou banco de dados foram comprometidos.

5 - Recuperação

Após testes e validações confirmando que a ameaça foi contida, os sistemas podem ser
restaurados ao estado operacional.

Restaurar cópias de segurança armazenadas após verificação das mesmas.

Restaurar e garantir que os sistemas e dispositivos voltem ao seu estado normal assim
garantindo a disponibilidade.

6 - Revisão

Depois que o incidente de segurança é resolvido, a equipe de resposta a incidentes deve

garantir que todas as informações que possam ajudar no futuro sejam documentadas.
Isso inclui a manutenção de um relatório completo de incidentes e a execução de uma
fase de monitoramento pós incidente.

Preencher o documento de histórico de ocorrência, afim de uma posterior consulta na

fase de preparação.

Monitoramento pós incidente, assim garantindo que a ameaça foi mitigada e que não há
nenhum vestígio da mesma.

Preencher o relatório de ações tomadas para ser enviado para o cliente junto com
recomendações técnicas preventivas, afim de prevenir um futuro ataque.

Considerações finais

É de suma importância adotarmos um plano bem elaborado e adequado para resposta a

incidentes, isso nos ajudará a manter a lucidez em meio a uma situação de crise e mudará a forma
como nós estamos olhando os nossos clientes hoje, assim trazendo confiabilidade ao trabalho de
monitoração voltado para segurança.