Cybersecurity Incident & Vulnerability Response Playbook

Traduzido do Inglês para o Português - www.onlinedoctranslator.
com
TLP: BRANCO
Incidente de cibersegurança
Manuais de Resposta à Vulnerabilidade
Procedimentos Operacionais para Planejamento e Condução de

Atividades de Resposta a Incidentes e Vulnerabilidades de Segurança
Cibernética em Sistemas de Informação FCEB
Agência de Segurança Cibernética e Infraestrutura
ISENÇÃO DE RESPONSABILIDADE: Este documento está marcado como TLP:WHITE. A divulgação não é limitada. As fontes podem usar TLP:WHITE quando as informações apresentarem risco
mínimo ou nenhum risco previsível de uso indevido, de acordo com as regras e procedimentos aplicáveis para divulgação pública. Sujeito às regras de direitos autorais padrão, as informações
TLP:WHITE podem ser distribuídas sem restrições. Para mais informações sobre o Protocolo Semáforo, consultehttps://www.cisa.gov/tlp/ .
TLP: BRANCO
TLP: BRANCO
CONTEÚDO
Introdução................................................. ................................................ ......................................... 3
Visão geral ................................................. ................................................ ......................................... 3
Escopo................................................. ................................................ ......................................... 3
Público ................................................. ................................................ ......................................... 4
Manual de Resposta a Incidentes........................................... ................................................ ................ 5
Processo de Resposta a Incidentes ....................................... ................................................ .............. 5
Fase de preparação.................................................. ................................................ ......................... 6
Detecção e Análise .............................................. ................................................ ...................... 10
Contenção................................................. ................................................ ................................ 14
Erradicação e Recuperação ....................................... ................................................ ................... 15
Atividades pós-incidente ............................... ................................................ ...................... 16
Coordenação................................................. ................................................ ................................ 17
Manual de Resposta a Vulnerabilidades............................................ ................................................ ........ 21
Preparação................................................. ................................................ ......................................... 21

Processo de Resposta de Vulnerabilidade ....................................... ................................................ ...... 22
Identificação ................................................. ................................................ ................................ 22

Avaliação ................................................. ................................................ ......................................... 23
Remediação ....................................... ................................................ ................................ 24
Relatórios e Notificações ....................................... ................................................ ............. 24
Apêndice A: Termos-chave ....................................... ................................................ ...................... 25
Apêndice B: Lista de Verificação de Resposta a Incidentes ...................................... ................................................ 27
Apêndice C: Lista de Verificação de Preparação de Resposta a Incidentes ....................................... ............................. 35
Apêndice E: Vulnerabilidade e Categorias de Incidentes ....................................... ......................................... 38
Apêndice F: Texto original.............................................. ................................................ ...................... 39

Apêndice G: Papéis e responsabilidades de todo o governo ....................................... ................... 41
TLP: BRANCO
CISA | Agência de Segurança Cibernética e Infraestrutura2

TLP: BRANCO
INTRODUÇÃO
A Agência de Segurança Cibernética e Infraestrutura (CISA) está empenhada em liderar a resposta a incidentes e
vulnerabilidades de segurança cibernética para proteger os ativos críticos do país. A Seção 6 da Ordem Executiva 14028
instruiu o DHS, por meio da CISA, a “desenvolver um conjunto padrão de procedimentos operacionais (manual) a ser usado
no planejamento e condução de vulnerabilidades de segurança cibernética e atividades de resposta a incidentes
respeitando os Sistemas de Informação do Poder Executivo Federal Civil (FCEB).1
Visão geral
Este documento apresenta dois manuais: um para resposta a incidentes e outro para resposta a
vulnerabilidades. Esses manuais fornecem às agências do FCEB um conjunto padrão de
procedimentos para identificar, coordenar, remediar, recuperar e rastrear mitigações bem-sucedidas
de incidentes e vulnerabilidades que afetam os sistemas, dados e redes do FCEB. Além disso, futuras
iterações desses manuais podem ser úteis para organizações fora do FCEB para padronizar as
práticas de resposta a incidentes. Trabalhar em conjunto com todas as organizações do governo
federal provou ser um modelo eficaz para lidar com vulnerabilidades e incidentes. Com base nas
lições aprendidas com incidentes anteriores e incorporando as melhores práticas do setor,
Os processos e procedimentos padronizados descritos nestes playbooks:
• Facilitar uma melhor coordenação e uma resposta eficaz entre as

organizações afetadas,
• Permita o rastreamento de ações bem-sucedidas entre organizações,
• Permitir a catalogação de incidentes para melhor gerenciar eventos futuros e
• Análise e descoberta de guias.
As agências devem usar esses manuais para ajudar a moldar as operações cibernéticas defensivas gerais para garantir
uma resposta consistente e eficaz e a comunicação coordenada das atividades de resposta
Escopo
Esses manuais são para as entidades do FCEB se concentrarem nos critérios de resposta e nos limites para
coordenação e relatórios. Incluem comunicações entre as entidades da FCEB e a CISA; a coordenação conectiva entre
as atividades de resposta a incidentes e vulnerabilidades; e definições comuns para os principais termos de segurança
cibernética e aspectos do processo de resposta. As atividades de resposta no escopo deste manual incluem:
• Iniciado por uma agência FCEB (por exemplo, uma detecção local de atividade maliciosa ou
descoberta de uma vulnerabilidade)
• Iniciado pela CISA (por exemplo, um alerta ou diretriz da CISA) ou outros terceiros,
incluindo aplicação da lei, agências de inteligência ou organizações comerciais,
contratados e prestadores de serviços
O manual de resposta a incidentes se aplica a incidentes que envolvem atividades cibernéticas maliciosas confirmadas e
para os quais um incidente grave (conforme definido pelo Office of Management and Budget [OMB] em
1Ordem Executiva (EO) 14028: Melhorando a Cibersegurança da Nação
TLP: BRANCO

TLP: BRANCO
Memorando M-20-042ou memorando sucessor) foi declarado ou ainda não foi razoavelmente descartado. O Manual
de Resposta a Vulnerabilidades se aplica a vulnerabilidades que estão sendo exploradas ativamente na natureza.
Conforme exigido pela EO 14028, o Diretor do OMB emitirá orientações sobre o uso desses manuais pela agência
FCEB.
Observação:esses manuais não cobrem atividades de resposta que envolvam ameaças a informações classificadas ou
Sistemas de Segurança Nacional (NSS), conforme definido por 44 USC3552(b)(6). Consulte CNSSI10103para orientação de
coordenação/relatório de incidentes específicos para NSS ou sistemas que processam informações classificadas.
Público
Esses manuais se aplicam a todas as agências FCEB, sistemas de informação usados ou operados por uma agência,
um contratado de uma agência ou outra organização em nome de uma agência. É política do governo federal que
os provedores de serviços de tecnologia da informação e comunicação (TIC) que tenham contrato com as agências
da FCEB devem relatar incidentes imediatamente a essas agências e à CISA.4
2Memorando do Escritório de Administração e Orçamento (OMB) M-20-04: Orientação para o Ano Fiscal 2019-2020 sobre Segurança da Informação
Federal e Requisitos de Gerenciamento de Privacidade
3Comitê de Sistemas de Segurança Nacional
4EO 14028, Sec. 2.Removendo barreiras ao compartilhamento de informações sobre ameaças
TLP: BRANCO

TLP: BRANCO
MANUAL DE RESPOSTA A INCIDENTES

Este manual fornece um processo de resposta padronizado
para incidentes de segurança cibernética e descreve o Quando usar este manual
processo e a conclusão por meio das fases de resposta a Use este manual para incidentes que envolvam atividades cibernéticas
incidentes, conforme definido na Publicação Especial (SP) maliciosas confirmadas para as quais um incidente grave foi declarado ou
800-61 Rev. 2 do Instituto Nacional de Padrões e Tecnologia ainda não foi razoavelmente descartado.
(NIST).5incluindo preparação, detecção e análise, Por exemplo:

contenção, erradicação e recuperação e atividades pós-
incidente. Este manual descreve o processo que as • Incidentes envolvendo movimento lateral, acesso a
credenciais, exfiltração de dados

agências do FCEB devem seguir para atividades
cibernéticas maliciosas confirmadas para as quais um
• Invasões de rede envolvendo mais de um usuário ou
sistema
grande incidente foi declarado ou ainda não foi
• Contas de administrador comprometidas
razoavelmente descartado.
Este manual não se aplica a atividades que não pareçam
ter um grande potencial de incidente, como:
• A resposta a incidentes pode ser iniciada por
vários tipos de eventos, incluindo, entre outros: • “Derramamentos” de informações classificadas ou outros incidentes
• Sistemas de detecção automatizados ou alertas de que se acredita serem resultado apenas de comportamento não
sensores intencional
• Relatório de usuário da agência • Usuários que clicam em e-mails de phishing sem

• Relatório do fornecedor de serviços de TIC contratado ou comprometer os resultados
terceirizado
• Malware de commodity em uma única máquina ou
• Relatório de incidente de componente
hardware perdido que, em ambos os casos, provavelmente
organizacional interno ou externo ou atualização
não resultará em danos demonstráveis aos interesses de
de consciência situacional
segurança nacional, relações exteriores ou economia dos
• Relatórios de atividades de rede de terceiros para
Estados Unidos ou à confiança pública, liberdades civis ou
infraestrutura comprometida conhecida, detecção de
saúde pública e segurança do povo americano.
código malicioso, perda de serviços, etc.
• Equipes de análise ou busca que
identificam atividades potencialmente
maliciosas ou não autorizadas
Processo de Resposta a Incidentes
O processo de resposta a incidentes começa com a declaração do incidente, conforme mostrado na Figura 1. Nesse
contexto, “declaração” refere-se à identificação de um incidente e comunicação à CISA e aos defensores da rede de agências,
em vez da declaração formal de um incidente grave, conforme definido na lei e na política aplicáveis. As seções seguintes,
organizadas por fases do ciclo de vida do IR, descrevem cada etapa com mais detalhes. Muitas atividades são iterativas e
podem ocorrer e evoluir continuamente até que o incidente seja encerrado. A Figura 1 ilustra as atividades de resposta a
incidentes em termos dessas fases, e o Apêndice B fornece uma lista de verificação complementar para acompanhar as
atividades até a conclusão.
5Publicação especial do NIST (SP) 800-61 Rev. 2: Guia de tratamento de incidentes de segurança de computadores
TLP: BRANCO

TLP: BRANCO
Figura 1: Processo de Resposta a Incidentes
Fase de preparação
Prepare-se para grandes incidentesantes que ocorrampara mitigar qualquer impacto na
organização. As atividades de preparação incluem:
• Documentar e compreender políticas e procedimentos para resposta a incidentes

• Instrumentar o ambiente para detectar atividades suspeitas e maliciosas
• Estabelecimento de planos de pessoal
• Educar os usuários sobre ameaças cibernéticas e procedimentos de notificação
• Aproveitando a inteligência de ameaças cibernéticas (CTI) para identificar proativamente atividades
maliciosas em potencial
Defina sistemas e redes de linha de base antes que ocorra um incidente para entender os fundamentos da atividade
“normal”. Estabelecer linhas de base permite que os defensores identifiquem desvios. A preparação também inclui
• Ter infraestrutura para lidar com incidentes complexos, incluindo comunicações

classificadas e fora de banda
• Desenvolver e testar cursos de ação (COAs) para contenção e erradicação
• Estabelecer meios para coletar perícias digitais e outros dados ou evidências
O objetivo desses itens é garantir arquiteturas e sistemas resilientes para manter as operações críticas em um estado comprometido.
Medidas de defesa ativa que empregam métodos como redirecionamento e monitoramento de atividades adversárias também
podem desempenhar um papel no desenvolvimento de uma resposta robusta a incidentes.6
6Por exemplo, “Enganação: enganar, confundir, ocultar ativos críticos ou expor ativos secretamente corrompidos ao adversário”, conforme definido em
NIST SP 800-160 vol. 2: Desenvolvendo Sistemas Ciberresilientes: Uma Abordagem de Engenharia de Segurança de Sistemas .
TLP: BRANCO

TLP: BRANCO
Atividades de preparação
Políticas e procedimentos todos os recursos de pessoal que podem ser obtidos de recursos
internos, recursos disponíveis em uma agência/departamento
Documente os planos de resposta a incidentes, incluindo
principal, organização terceirizada ou uma combinação dos
processos e procedimentos para designar um líder de
mesmos. Realize exercícios regulares de recuperação para testar
coordenação (gerente de incidentes). Implemente políticas e
a continuidade organizacional total do plano de operações
procedimentos para escalar e relatar incidentes graves e
(COOP) e os sistemas de failover/backup/recuperação para
aqueles com impacto na missão da agência. Documente
garantir que funcionem conforme planejado.
planos de contingência para recursos adicionais e “suporte
de pico” com funções e responsabilidades atribuídas. As
políticas e planos devem abordar notificação, interação e Inteligência de Ameaças Cibernéticas
compartilhamento de evidências com as autoridades
Monitore ativamente feeds de inteligência para alertas de
policiais.
ameaças ou vulnerabilidades do governo, parceiros confiáveis,
Instrumentação fontes abertas e entidades comerciais. A inteligência de
ameaças cibernéticas pode incluir relatórios de cenário de
Desenvolva e mantenha uma imagem precisa da
ameaças, perfis e intenções de agentes de ameaças, metas e
infraestrutura (sistemas, redes, plataformas de nuvem e
campanhas organizacionais, bem como indicadores de ameaças
redes hospedadas pelo contratado) implementando
e cursos de ação mais específicos. Ingerir indicadores de
amplamente a telemetria para oferecer suporte a recursos de
ameaças cibernéticas e feeds de ameaças integradas em um
detecção e monitoramento baseados em sensores e
SIEM e usar outros recursos defensivos para identificar e
sistemas, como software antivírus (AV); soluções de detecção
bloquear comportamentos maliciosos conhecidos. Os
e resposta de endpoint (EDR);7capacidades de prevenção de
indicadores de ameaça podem incluir:
perda de dados (DLP); sistemas de detecção e prevenção de
intrusão (IDPS); logs de autorização, host, aplicativo e nuvem;
8fluxos de rede, captura de pacotes (PCAP); e sistemas de • Indicadores atômicos, como domínios e
gerenciamento de eventos e informações de segurança endereços IP, que podem detectar infraestrutura
(SIEM). Monitore os alertas gerados pelo sistema de detecção e ferramentas adversárias
• Indicadores computados, como regras Yara e
de intrusão EINSTEIN da CISA e pelo programa Continuous
expressões regulares, que detectam artefatos
Diagnostics and Mitigation (CDM) para detectar mudanças na
maliciosos conhecidos ou sinais de atividade
postura cibernética. Implemente requisitos adicionais para
criação de log, retenção de log e gerenciamento de log com • Padrões e comportamentos, como análises
base na Ordem Executiva 14028, Sec. 8.Melhorando as que detectam táticas, técnicas e
capacidades de investigação e remediação do governo procedimentos (TTPs) do adversário
federal,9e garantir que esses logs sejam coletados Os indicadores atômicos podem inicialmente ser valiosos para
centralmente. detectar sinais de uma campanha conhecida. No entanto, como os
adversários frequentemente mudam sua infraestrutura (por
exemplo, watering holes, botnets, servidores C2) entre as
campanhas, o “prazo de validade” dos indicadores atômicos para
Pessoal de Resposta Treinado
detectar novas atividades do adversário é limitado. Além disso,
Certifique-se de que o pessoal seja treinado, treinado e esteja pronto agentes avançados de ameaças
para responder a incidentes de segurança cibernética. Trem
7EO 14028, Sec. 7.Melhorando a detecção de vulnerabilidades e incidentes de segurança cibernética em redes do governo federal
8NIST SP 800-92: Guia para gerenciamento de logs de segurança de computadores
9E0 14028, Sec. 8.Melhorando as capacidades de investigação e remediação do governo federal
TLP: BRANCO

TLP: BRANCO
podem aproveitar diferentes infraestruturas contra Defesa Ativa

diferentes alvos ou mudar para uma nova infraestrutura
As agências do FCEB com recursos e equipe defensiva avançada
durante uma campanha quando suas atividades são
podem estabelecer recursos de defesa ativa - como a capacidade
detectadas. Finalmente, os adversários geralmente se
de redirecionar um adversário para um sandbox ou sistema de
escondem em seus ambientes de destino, usando utilitários
honeynet para estudo adicional, ou "redes escuras" - para atrasar
do sistema operacional nativo e outros recursos para atingir
a capacidade de um adversário de descobrir os interesses
seus objetivos. Por esses motivos, as agências devem usar
legítimos da agência. a infraestrutura. Os defensores da rede
padrões e comportamentos, ou TTPs adversários, para
podem implementar honeytokens (objetos de dados fictícios) e
identificar atividades maliciosas quando possível. Embora
contas falsas para atuar como canários para atividades
sejam mais difíceis de aplicar métodos de detecção e verificar
maliciosas. Esses recursos permitem que os defensores estudem
a aplicação, os TTPs fornecem um contexto mais útil e
o comportamento do adversário e os TTPs e, assim, construam
sustentável sobre os agentes de ameaças, suas intenções e
uma imagem completa das capacidades do adversário.
seus métodos do que os indicadores atômicos sozinhos.O
MITRE ATT&CK ®
estrutura documenta e explica detalhadamente os TTPs
do adversário, tornando-o um recurso valioso para os Comunicações e Logística
defensores da rede.10
Estabelecer procedimentos e mecanismos de comunicação
Compartilhar informações sobre ameaças cibernéticas é um locais e entre agências para coordenar incidentes graves
elemento crítico de preparação. As agências do FCEB são com a CISA e outros parceiros de compartilhamento e
fortemente encorajadas a compartilhar continuamente determinar os protocolos de compartilhamento de
informações sobre ameaças cibernéticas – incluindo informações a serem usados (ou seja, padrões acordados).
indicadores adversários, TTPs e medidas defensivas associadas Defina métodos para lidar com informações e dados
(também conhecidas como “contramedidas”) – com a CISA e classificados, se necessário. Estabeleça canais de
outros parceiros. O principal método para compartilhar comunicação (salas de bate-papo, pontes telefônicas) e
informações sobre ameaças cibernéticas, indicadores e método para coordenação fora de banda.14
medidas defensivas associadas com a CISA é por meio do
Segurança Operacional (OPSEC)
programa Automated Indicator Sharing (AIS).11As agências da
FCEB devem estar cadastradas no AIS. Se a agência não estiver Tome medidas para garantir que os sistemas e
inscrita no AIS, entre em contato com a CISA para obter mais processos de defesa e IR estejam operacionais
informações.12 durante um ataque, principalmente no caso de
As agências devem usar oSistema de envio de indicadores de comprometimento generalizado, como um ataque de
ameaças cibernéticas e medidas defensivas—um método seguro ransomware ou envolvendo um invasor agressivo que
habilitado para web—para compartilhar com a CISA indicadores pode tentar minar as medidas defensivas e distrair ou
de ameaças cibernéticas e medidas defensivas que não são enganar os defensores. Essas medidas incluem:
aplicáveis ou apropriadas para compartilhar via AIS.13
• Segmentar e gerenciar sistemas SOC

separadamente dos sistemas corporativos de TI
mais amplos,
10VerMelhores práticas para a estrutura de mapeamento MITRE ATT&CK® 13DHS CISA Indicador de Ameaças Cibernéticas e Sistema de Envio de
para obter orientação sobre como usar o ATT&CK para analisar e relatar Medidas Defensivas
ameaças de segurança cibernética.
14NIST SP 800-47 Rev. 1: Gerenciando a segurança das
11Compartilhamento automatizado de indicadores CISA trocas de informações
12Compartilhamento automatizado de indicadores CISA
TLP: BRANCO

TLP: BRANCO
• Gerir sensores e dispositivos de segurança através ferramentas de análise e software sandbox para análise de
de meios fora de banda, malware. Implementar um chamado ou caso
• Notificar os usuários de sistemas comprometidos sistema de gestão que captura detalhes
por telefone em vez de e-mail,
pertinentes de:
• Usando estações de trabalho protegidas para
conduzir atividades de monitoramento e resposta, e • Atividade anômala ou suspeita, como
• Garantir que os sistemas defensivos tenham
sistemas, aplicativos e usuários afetados;
processos robustos de backup e recuperação.
• Tipo de atividade;
Evite “informar” um invasor tendo processos e sistemas para
• Grupo(s) de ameaça específico(s);
reduzir a probabilidade de detecção de atividades de IR (por
• Táticas, técnicas e procedimentos
exemplo, não envie amostras de malware a um serviço
adversários (TTPs) empregados; e
público de análise ou notifique os usuários de máquinas
• Impacto.
potencialmente invadidas por e-mail).
Detectar Atividade
Infraestrutura técnica Aproveite a inteligência de ameaças para criar regras e
Implementar recursos para conter, replicar, analisar, assinaturas para identificar a atividade associada ao incidente e
reconstituir e documentar hosts comprometidos; definir seu alcance. Configure ferramentas e analise logs e
implementar a capacidade de coletar dados forenses alertas. Procure sinais de atividade de incidente e informações
digitais e outros. Estabeleça armazenamento seguro (ou potencialmente relacionadas para determinar o tipo de
seja, acessível apenas por respondentes de incidentes) incidente, por exemplo, ataque de malware, comprometimento
para dados e relatórios de incidentes. Forneça meios para do sistema, sequestro de sessão, corrupção de dados,
coletar evidências forenses, como imagem de disco e exfiltração de dados, etc.
memória ativa, e meios para lidar com malware com

Consulte o Apêndice C para obter uma lista de verificação para atividades de
segurança. Obtivermos
preparação.
TLP: BRANCO
CISA | Agência de Segurança Cibernética e Infraestrutura 9

TLP: BRANCO
Detecção e Análise
O aspecto mais desafiador do processo de resposta a incidentes geralmente é detectar e
avaliar com precisão os incidentes de segurança cibernética: determinar se um incidente
ocorreu e, em caso afirmativo, o tipo, extensão e magnitude do comprometimento na
nuvem, tecnologia operacional (OT), híbrida, host e sistemas de rede. Para detectar e
analisar eventos, implementar processos definidos, tecnologia apropriada e
informações de linha de base suficientes para monitorar, detectar e alertar sobre atividades anômalas e suspeitas. Assegure-se de
que haja procedimentos para resolver possíveis incidentes com atividades autorizadas (por exemplo, confirme que um incidente
suspeito não é simplesmente um administrador de rede usando ferramentas de administração remota para executar atualizações
de software). Como líder do governo dos EUA em resposta a ativos, a CISA fará parceria com as agências afetadas em todos os
aspectos do processo de detecção e análise.
Atividades de Detecção e Análise

Coletar e preservar dados
Declarar Incidente
Colete e preserve dados para verificação, categorização,
Declare um incidente relatando-o à CISA em https://
priorização, mitigação, geração de relatórios e atribuição
www.us-cert.cisa.gov/ e alertar a liderança de TI da agência
de incidentes. Quando necessário e possível, essas
sobre a necessidade de investigação e resposta. A CISA
informações devem ser preservadas e protegidas como a
pode ajudar a determinar a gravidade do incidente e se ele
melhor evidência para uso em qualquer potencial
deve ser declarado um incidente grave.Observação:As
investigação policial. Colete dados do perímetro, da rede
agências da FCEB devem relatar imediatamente todos os
interna e do endpoint (servidor e host). Colete logs de
incidentes de segurança cibernética, independentemente
auditoria, transação, intrusão, conexão, desempenho do
da gravidade, à CISA
sistema e atividade do usuário. Quando um endpoint
Determinar o escopo da investigação requer análise forense, capture uma imagem de
memória e disco para evidências
Use os dados disponíveis para identificar o tipo de acesso,
até que ponto os ativos foram afetados, o nível de
preservação. Colete evidências, incluindo dados forenses, de acordo
privilégio alcançado pelo adversário e o impacto
com os procedimentos que atendem a todas as políticas e padrões
operacional ou informativo. Descubra atividades
aplicáveis e registre-as em um registro detalhado que é mantido
maliciosas associadas seguindo o rastro de dados de
para todas as evidências. Para obter mais informações, consulte o
rede; descubra artefatos baseados em host associados
Guia de tratamento de incidentes de segurança do computador do
examinando logs de host, firewall e proxy junto com
NIST, SP 800-61 r2.15Extraia todas as informações relevantes sobre
outros dados de rede, como tráfego de roteador. O
ameaças (indicadores atômicos, computados e comportamentais e
escopo inicial de um incidente para determinar a
contramedidas) para compartilhar com as equipes de RI e com a
atividade adversária pode incluir a análise dos resultados
CISA.
de:
• Um sistema de detecção automatizado ou sensor; Realizar Análise Técnica

• Um relatório de um usuário, contratado ou
Desenvolva uma compreensão técnica e contextual do
provedor de serviços terceirizado de tecnologias
incidente. Correlacione as informações, avalie a atividade
de informação e comunicação (TIC); ou
anômala em relação a uma linha de base conhecida para
• Um relatório de incidente ou atualização de
consciência situacional de outros componentes determinar a causa raiz e documente os TTPs do adversário
organizacionais internos ou externos. para permitir a priorização do subseqüente
15NIST SP 800-61 Rev. 2: Guia de tratamento de incidentes de

segurança de computador
TLP: BRANCO

TLP: BRANCO
atividades de resposta. O objetivo desta análise é dentro do ambiente. Essas condições informarão a
examinar a amplitude das fontes de dados em todo o triagem e a atividade pós-incidente. Avalie redes e
ambiente para descobrir pelo menos parte de uma sistemas quanto a alterações que possam ter sido
cadeia de ataque, se não toda. À medida que as feitas para evitar defesas ou facilitar o acesso
informações evoluem e a investigação avança, atualize o persistente.
escopo para incorporar novas informações.
Reunir Indicadores de Incidentes
Correlacione eventos e documente a linha do tempo
Identificar e documentar indicadores que podem ser usados
Adquira, armazene e analise logs para correlacionar a para análise correlativa na rede. Os indicadores podem fornecer
atividade adversária. A Tabela 1 apresenta um exemplo de informações sobre a posição do adversário
logs e dados de eventos que são comumente empregados capacidades e infraestrutura. Os indicadores como
para detectar e analisar as atividades do invasor.16,17Uma artefatos independentes são valiosos nos estágios
base de conhecimento simples deve ser estabelecida para iniciais da resposta a incidentes.
referência durante a resposta ao incidente. Documente
Analisar TTPs de adversários comuns
minuciosamente cada passo dado durante esta e as fases
subsequentes. Crie uma linha do tempo de todas as Compare os TTPs com os TTPs adversários documentados no
descobertas relevantes. A linha do tempo permitirá que a ATT&CK e analise como os TTPs se encaixam no ciclo de vida
equipe preste contas de todas as atividades do adversário na do ataque. Os TTPs descrevem “por que”, “o quê” e “como”.
rede e ajudará na criação do relatório de descobertas na As táticas descrevem o objetivo técnico que um adversário
conclusão da resposta. está tentando alcançar (“por que”), as técnicas são diferentes
mecanismos que eles usam para alcançá-lo (“o que”) e os
Identificar atividade anômala
procedimentos são exatamente como o adversário atinge
Avalie e crie o perfil dos sistemas e redes afetados quanto a um resultado específico (“como”). Responder aos TTPs
atividades sutis que possam ser um comportamento do permite que os defensores criem hipóteses sobre o curso de
adversário. Frequentemente, os adversários usam utilitários ação mais provável do adversário. A Tabela 1 fornece
de sistema operacional nativos e legítimos e linguagens de algumas técnicas adversárias comuns que devem ser
script assim que conseguem se firmar em um ambiente para investigadas.18
evitar a detecção. Este processo permitirá que a equipe
Validar e refinar o escopo da investigação
identifique desvios da atividade de linha de base estabelecida
e pode ser Usando os dados disponíveis e os resultados das atividades de
particularmente importante na identificação de resposta em andamento, identifique quaisquer sistemas, dispositivos
atividades como tentativas de alavancar credenciais e contas associados potencialmente afetados. A partir dessas
legítimas e recursos nativos no ambiente. informações, novos indicadores de comprometimento (IOCs) e TTPs
podem ser identificados para fornecer feedback adicional às
Identificar a causa raiz e as condições facilitadoras
ferramentas de detecção. Dessa forma, o escopo de um incidente é
Tente identificar a causa raiz do incidente e colete definido ao longo do tempo. À medida que as informações evoluem,
informações sobre ameaças que possam ser usadas em atualize e comunique o escopo a todas as partes interessadas para
pesquisas adicionais e para informar os esforços de garantir um quadro operacional comum.Observação:ver Perguntas-
resposta subsequentes. Identificar as condições que chave a serem respondidaspara orientação.
permitiram ao adversário acessar e operar
16Derivado doEstrutura MITRE ATT&CK® .Observação:esta 17EO 14028, Sec. 8.Melhorando as capacidades de
tabela é uma amostra representativa de táticas comuns, técnicas investigação e remediação do governo federal
e registros relacionados e não pretende ser completa.
18VerMelhores práticas para mapeamento MITRE ATT&CK® Estrutura para
obter orientação sobre o mapeamento de TTPs para ATT&CK para analisar
e relatar ameaças de segurança cibernética.
TLP: BRANCO

TLP: BRANCO
Perguntas-chave a serem respondidas
• Qual foi o vetor de ataque inicial? (ou seja, como o adversário obteve acesso inicial à rede?)
• Como o adversário está acessando o ambiente?
• O adversário está explorando vulnerabilidades para obter acesso ou privilégio?
• Como o adversário mantém o comando e o controle?
• O ator tem persistência na rede ou dispositivo?
• Qual é o método de persistência (por exemplo, backdoor de malware, webshell, credenciais legítimas, ferramentas remotas, etc.)?
• Quais contas foram comprometidas e qual nível de privilégio (por exemplo, administrador de domínio, administrador local, conta de usuário, etc.)?
• Que método está sendo usado para reconhecimento? (Descobrir o método de reconhecimento pode fornecer uma oportunidade de
detecção e determinar a possível intenção.)
• O movimento lateral é suspeito ou conhecido? Como o movimento lateral é conduzido (por exemplo, RDP, compartilhamentos de rede, malware, etc.)?
• Os dados foram exfiltrados e, em caso afirmativo, de que tipo e por meio de qual mecanismo?
Tabela 1: Exemplos de táticas, técnicas e dados relevantes de registro e evento do adversário
tática Técnicas Comuns Fontes de registro e eventos Indicadores
Servidores de phishing, redirecionamento e

Phishing [T1566 ], Compromisso Drive- carga útil (domínios e IP
by [T1189 ], Explorar aplicativo voltado E-mail, proxy da web, logs de endereços), mecanismos de entrega
Acesso inicial
para o público [T1190 ], Serviços aplicativos do servidor, IDS/IPS (iscas, macros, downloaders,
Remotos Externos [T1133 ] droppers, etc.), credenciais
comprometidas, web shells
Logs de eventos do host, logs de

Interpretadores de comandos e scripts [ Invocação de comando ou interpretador de
eventos do Windows, Sysmon,
Execução T1059 ], Exploração para Execução de scripts, exploração, chamadas de API,
antimalware, EDR, logs do
Clientes [T1203 ] ferramentas, malware, cargas úteis
PowerShell
Manipulação de conta [T1098 ], Tarefa/

Logs de eventos do host, Tarefas agendadas, chaves de registro,
Persistência Trabalho Agendado [T1053 ], Contas
Logs de autenticação, Registro execuções automáticas, etc.
válidas [T1078 ]
Incompatibilidade de usuários e aplicativos/

Exploração de Serviços Remotos [T1210 ],
credenciais, comunicação de estação de
Lateral Sequestro de Sessão Remota [T1563 ], Logs de rede interna, logs de
trabalho para estação de trabalho, beaconing
Movimento Ferramentas de implantação de software [ eventos do host, logs de aplicativos
de hosts não destinados a serem acessíveis
T1072 ]
pela Internet, etc.
Força Bruta [T1110 ], Modifique o Registros de autenticação,

Credencial LSASS lê, comandos ou interpretadores
Processo de Autenticação [T1556 ], Registros do controlador de domínio,
Acesso de script acessando LSASS, etc.
Homem no meio [T1557 ] monitoramento de tráfego de rede
Firewall, Proxy Web, DNS,

Protocolo da Camada de Aplicação [T1071 ],
C2 Tráfego de Rede, Nuvem domínios C2, endereços IP
Tunelamento de protocolo [T1572 ]
logs de atividade, IDS/IPS
Exfiltração sobre o canal C2 [ Firewall, Proxy Web, DNS,

Domínios, URLs, endereços IP,
Exfiltração T1041 ], Exfiltração sobre Tráfego de Rede, Nuvem
assinaturas IDS/IPS
protocolo alternativo [T1048 ] logs de atividade, IDS/IPS
TLP: BRANCO

TLP: BRANCO
Suporte de análise de terceiros (se necessário): a assistência de terceiros é responsável por coordenar
com a CISA e facilitar o acesso durante a resposta ao
Para incidentes potencialmente graves, as agências que
incidente, incluindo o acesso a sistemas hospedados
precisam de assistência podem entrar em contato com a
externamente.
CISA. Cada agência FCEB tem uma Autorização de Rede
Federal (FNA) arquivada na CISA para permitir a resposta a Ferramentas de ajuste:
incidentes e a assistência na busca. Ao buscar assistência

A equipe de RI deve usar seu conhecimento crescente
externa, a primeira ação padrão da agência afetada deve
dos TTPs do adversário para modificar as ferramentas
ser ativar sua FNA permanente e solicitar assistência CISA.
para diminuir o ritmo do avanço adversário e
Com base na disponibilidade, a CISA pode fornecer uma
aumentar a probabilidade de detecção. O foco deve
equipe de busca de ameaças para ajudar.19A CISA pode
estar na prevenção e detecção de táticas como
colaborar com outras agências — como a Agência de
execução, persistência, acesso a credenciais,
Segurança Nacional (NSA) ou o Comando Cibernético dos
movimento lateral e comando e controle - para
EUA — para fornecer conhecimento ou complementar as
minimizar a probabilidade de exfiltração e/ou impacto
capacidades da CISA.
operacional ou informativo. COI
as assinaturas podem ser incorporadas às ferramentas de
As agências também podem trazer um provedor de serviços de prevenção e detecção para impor um custo operacional
RI terceirizado para ajudar. Esses provedores complementam, temporário ao adversário e auxiliar no escopo do incidente.
em vez de substituir, a assistência fornecida pela CISA. O No entanto, o adversário pode introduzir novas ferramentas
Programa Nacional de Assistência Cibernética da NSA (NSCAP) na rede e/ou modificar as ferramentas existentes para
20fornece uma lista de provedores de IR credenciados. Uma subverter os mecanismos de resposta centrados no COI.
agência da FCEB usando
19O nível de suporte da análise CISA será determinado pelos 20Agência de Segurança Nacional (NSA) Programa de Assistência Cibernética
recursos disponíveis e pela prioridade do incidente. de Segurança Nacional
TLP: BRANCO

TLP: BRANCO
Contenção
A contenção é uma alta prioridade para a resposta a incidentes, especialmente para
incidentes graves. O objetivo é evitar maiores danos e reduzir o impacto imediato do
incidente, removendo o acesso do adversário. O cenário específico determinará o tipo de
estratégia de contenção usada. Por exemplo, a abordagem de contenção para um
adversário sofisticado ativo usando malware sem arquivo será diferente da
abordagem de contenção para ransomware.
As principais atividades de contenção incluem:

Considerações
Ao avaliar os cursos de ação de contenção, • Isolar sistemas e segmentos de rede
afetados uns dos outros e/ou de sistemas e
considere:
redes não afetados. Se isso for necessário,
• Quaisquer impactos adversos adicionais nas considere a missão ou necessidades de
operações da missão, disponibilidade de serviços negócios e como fornecer serviços para que
(por exemplo, conectividade de rede, serviços as missões possam continuar durante esta
prestados a terceiros), fase na medida do possível.
• Duração do processo de contenção, • Captura de imagens forenses para preservar
recursos necessários e eficácia (por evidências para uso legal (se aplicável) e
exemplo, contenção total vs. parcial; nível investigação adicional do incidente.
de contenção total vs. desconhecido) e • Atualizando a filtragem do firewall.
• Qualquer impacto na coleta, preservação, • Bloqueio (e registro) de acessos não

proteção e documentação de evidências. autorizados; bloqueando fontes de malware.
• Fechar portas específicas e servidores de correio
Alguns adversários podem monitorar ativamente as medidas ou outros servidores e serviços relevantes.
de resposta defensiva e mudar seus métodos para evitar a • Alteração de senhas de administrador do sistema,
detecção e contenção. Os defensores devem, portanto, rotação de chaves privadas e
desenvolver uma imagem tão completa quanto possível das segredos de conta de serviço/aplicativo onde há
capacidades do atacante e possíveis reações para evitar “dar
suspeita de comprometimento e revogação de
acesso privilegiado.
uma dica” ao adversário. A contenção é desafiadora porque
• Direcionar o adversário para uma caixa de areia
os defensores devem ser o mais completos possível na
(uma forma de contenção) para monitorar a
identificação da atividade adversária, considerando o risco de atividade do ator, reunir evidências adicionais e
permitir que o adversário persista até que o escopo total do identificar vetores de ataque. Nota: este
comprometimento possa ser determinado. As atividades de a atividade de contenção é limitada a SOCs
contenção para incidentes graves devem ser coordenadas de avançados com recursos maduros.
perto com a CISA. Certifique-se de que o escopo de contenção englobe todos os
incidentes e atividades relacionados, especialmente todas as
atividades adversárias. Se novos sinais de comprometimento
Atividades de Contenção
forem encontrados, retorne à etapa de análise técnica para
Implemente mitigações de curto prazo para isolar a redefinir o escopo do incidente. Após a contenção bem-sucedida
atividade do agente da ameaça e evitar danos adicionais da (ou seja, sem novos sinais de comprometimento), preserve as
atividade ou a migração para outros sistemas. evidências para referência ou investigação policial, ajuste as
ferramentas de detecção e passe para a erradicação e
recuperação.
TLP: BRANCO

TLP: BRANCO
Erradicação e Recuperação
O objetivo desta fase é permitir o retorno das operações normais, eliminando os artefatos do
incidente (por exemplo, remover código malicioso, recriar a imagem dos sistemas infectados) e
atenuar as vulnerabilidades ou outras condições que foram exploradas. Antes de passar para a
erradicação, certifique-se de que todos os meios de acesso persistente à rede foram
contabilizados, que a atividade adversária está suficientemente contida e
que todas as evidências foram coletadas. Isso geralmente é um processo iterativo. Também pode envolver fortalecer
ou modificar o ambiente para proteger os sistemas de destino se a causa raiz da intrusão e/ou vetor de acesso inicial
for conhecida. É possível que ações de erradicação e recuperação possam ser executadas simultaneamente.
Observação:coordenar com provedores de serviços de TIC, fornecedores comerciais e aplicação da lei antes do início
dos esforços de erradicação.
• Desenvolvimento de cenários de resposta para o uso de

Executar Plano de Erradicação
vetores de ataque alternativos por agentes de ameaça.
Tome medidas para eliminar todas as evidências de • Permitir tempo adequado para garantir que todos os
comprometimento e impedir que o agente da ameaça sistemas estejam livres de todos os possíveis
mecanismos de persistência de agentes de ameaças
mantenha uma presença no ambiente. Certifique-se de que
(backdoors, etc.), pois os adversários costumam
as evidências foram preservadas conforme necessário. Os
usar mais de um mecanismo.
agentes de ameaças geralmente têm vários acessos
Depois de executar o plano de erradicação, continue com as
persistentes de backdoor em sistemas e redes e podem
atividades de detecção e análise para monitorar quaisquer sinais
voltar para áreas 'limpas' se a erradicação não for bem
de reentrada do adversário ou uso de novos métodos de acesso.
orquestrada e/ou não for rigorosa o suficiente. Portanto, os
Se a atividade adversária for descoberta após a conclusão dos
planos de erradicação devem ser bem formulados e
esforços de erradicação, contenha a atividade e retorne à análise
coordenados antes da execução. Se o adversário explorou
técnica até que o verdadeiro escopo do comprometimento e os
uma vulnerabilidade específica, inicie o manual de resposta à
vetores iniciais de infecção sejam identificados. Se nenhuma
vulnerabilidade abaixo para abordar a vulnerabilidade
nova atividade adversária for detectada, entre na fase de
durante as atividades de erradicação.
recuperação.
Atividades de Erradicação
Recuperar sistema(s) e serviços
Restaure os sistemas para operações normais e
• Remediar todos os ambientes de TI infectados (por
exemplo, nuvem, OT, híbrido, host e sistemas de confirme se eles estão funcionando normalmente.
rede). Os principais desafios desta fase são confirmar que
• Reimaginar os sistemas afetados (geralmente de a correção foi bem-sucedida, reconstruir sistemas,
fontes 'ouro'), reconstruir os sistemas a partir do reconectar redes e recriar ou corrigir informações.
zero.
• Reconstruir hardware (necessário quando o
incidente envolve rootkits). Ações de Recuperação21
• Substituir arquivos comprometidos por versões
limpas. • Reconectar sistemas reconstruídos/novos
• Instalando correções. às redes.
• Redefinição de senhas em contas • Reforçar a segurança do perímetro (por exemplo, conjuntos de
comprometidas. regras de firewall, listas de controle de acesso do roteador de
• Monitoramento de qualquer sinal de resposta limite) e regras de acesso de confiança zero.
adversária às atividades de contenção.
21VerNIST SP 800-184: Guia para recuperação de eventos de segurança cibernética

para orientação adicional.
TLP: BRANCO

TLP: BRANCO
• Sistemas de teste minuciosos, incluindo ambiente. Para validar que as operações normais foram
controles de segurança. retomadas, considere a realização de um teste
• Operações de monitoramento para
independente ou revisão de
comportamentos anormais.
atividade relacionada a compromisso/resposta. Para ajudar a
Um aspecto fundamental para a recuperação é ter detectar ataques relacionados, revise a inteligência de ameaças
vigilância e controles aprimorados para validar que o cibernéticas (incluindo a consciência situacional da rede) e monitore
plano de recuperação foi executado com sucesso e de perto o ambiente em busca de evidências da atividade do agente
que não existem sinais de atividade adversária no da ameaça.
Atividades Pós-Incidente
O objetivo desta fase é documentar o incidente, informar a liderança da agência, fortalecer o
ambiente para evitar incidentes semelhantes e aplicar as lições aprendidas para melhorar o
tratamento de incidentes futuros.
Ajustar sensores, alertas e coleta de registros Executar Hotwash

Adicione detecções em toda a empresa para mitigar contra Realize uma análise das lições aprendidas para revisar a
TTPs adversários que foram executados com sucesso eficácia e a eficiência do tratamento de incidentes. Capture
durante o incidente. Identifique e resolva os “pontos cegos” as lições aprendidas, a causa raiz inicial, os problemas na
para garantir uma cobertura adequada no futuro. Monitore execução dos cursos de ação e quaisquer políticas e
de perto o ambiente em busca de evidências da presença procedimentos ausentes.
persistente do adversário. Os SOCs avançados devem
Os principais objetivos da análise incluem:
considerar a emulação de TTPs adversários para garantir que
as contramedidas implementadas recentemente sejam • Garantir que a causa raiz foi eliminada ou
eficazes na detecção ou mitigação da atividade observada. mitigada.
Este teste deve ser coordenado de perto com uma equipe • Identificar problemas de infraestrutura a serem
resolvidos.
azul para garantir que eles não sejam confundidos com uma
• Identificar a política organizacional e os
verdadeira atividade adversária.
problemas processuais a serem resolvidos.
• Revisar e atualizar funções,
responsabilidades, interfaces e autoridade
Finalizar relatórios
para garantir clareza.
Forneça atualizações pós-incidente conforme exigido por lei e • Identificação de necessidades de treinamento técnico ou
política.22Trabalhe com a CISA para fornecer os artefatos operacional.

• Melhorar as ferramentas necessárias para
necessários, fechar o ticket e/ou executar uma ação de
executar ações de proteção, detecção,
resposta adicional.
análise ou resposta.
22Diretrizes de Notificação de Incidentes Federais da CISA
TLP: BRANCO

TLP: BRANCO
Coordenação
A coordenação é fundamental para uma resposta eficaz a incidentes. É fundamental que a agência
FCEB que está enfrentando o incidente e a CISA se coordenem com antecedência e frequentemente
durante todo o processo de resposta. Também é importante entender que algumas agências têm
autoridades especiais, conhecimento e informações que são extremamente úteis durante um
incidente. Esta seção destaca esses aspectos da coordenação.
Coordenação com o CISA

CTI, que pode ajudar as agências em todo o ciclo de
Os recursos de defesa cibernética variam amplamente. Por esse
vida de RI. A lista completa de serviços de segurança
motivo, a coordenação envolve diferentes graus de
cibernética disponíveis para o FCEB está listada no
engajamento entre o órgão afetado e a CISA. Como linha de
Catálogo de Serviços CISA , página 18.23
base, todos os incidentes de segurança cibernética que afetam
uma agência da FCEB devem ser relatados à CISA. Para Os requisitos de relatórios para as agências FCEB são
organizações com esforços de operações de segurança definidos pela FISMA e acionados pela CISA. Veja os círculos
maduros, relatórios e compartilhamento de informações são numerados na Figura 2 para relatórios e atividades de
essenciais para ajudar outras pessoas. coordenação que devem fazer parte do processo de RI.
Consulte o Apêndice B, nº 11, para uma
As agências também utilizam os serviços de defesa cibernética
lista de verificação do acompanhante para acompanhar as atividades
da CISA para complementar suas próprias capacidades de RI.
de coordenação até a conclusão.
A CISA fornece uma variedade de serviços, como caça a
ameaças, análise, análise de malware e
Figura 2: Atividades de Coordenação de RI Numeradas
23Catálogo de Serviços CISA, Primeira Edição: Outono de 2020
TLP: BRANCO
CISA | Agência de Segurança Cibernética e Infraestrutura 17

TLP: BRANCO
É essencial que o departamento ou agência afetada número para o incidente e (2) uma classificação de risco com
colabore e coordene estreitamente com a CISA em base na pontuação do CISA National Cyber Incident Scoring
cada etapa do fluxograma de RI. Algumas das System (NCISS).26, 27
atividades essenciais de coordenação e comunicação
3) Compartilhar IOCs, TTPs, dados
são definidas pelos círculos numerados. Cada número
corresponde a uma descrição abaixo: A agência FCEB afetada compartilha dados de log relevantes,
indicadores de ameaças cibernéticas com contexto associado
1) Informar e Atualizar CISA
(incluindo TTPs associados, se disponível) e medidas defensivas
A agência FCEB fornece relatórios de conscientização recomendadas com a CISA e parceiros de compartilhamento. O
situacional para a CISA, incluindo: compartilhamento de informações adicionais sobre ameaças é
um processo simultâneo durante toda a fase de contenção. As
• Notificar a CISA dentro de 1 hora após a
atualizações de incidentes incluem o seguinte:
determinação do incidente, conforme orientado pelo
OMB M-20-04.Observação:Os provedores de
serviços de TIC da FCEB devem fornecer notificação • Escopo atualizado
de incidentes cibernéticos de acordo com os • Cronograma atualizado (descobertas, esforços de
requisitos do FCEB Agency Contracting Officer (CO), resposta, etc.)
que incluem os requisitos de relatórios do Sistema • Novos indicadores de atividade adversária
de Segurança Nacional (NSS).24 • Compreensão atualizada do impacto
• Status atualizado dos esforços pendentes
• Quando aplicável, notificando seus Comitês do • Estimativa do tempo até à contenção,
Congresso apropriados, seu Gabinete do erradicação, etc.
Inspetor Geral (OIG) e o Escritório OMB do
Diretor Federal de Informações (OFCIO), 4) A CISA compartilha inteligência cibernética coordenada
conforme orientado pelo OMB M-20-04. A CISA – em coordenação com a comunidade de inteligência
e aplicação da lei – compartilha inteligência cibernética
• Fornecer atualizações de incidentes à CISA, conforme relacionada com as organizações envolvidas.
apropriado, até que todas as atividades de erradicação
sejam concluídas ou até que a CISA concorde com a 5) Reporte à Polícia Federal
agência FCEB de que o incidente está encerrado. A agência FCEB relata os incidentes às autoridades
• Cumprir os requisitos adicionais de federais, conforme apropriado.
relatórios para incidentes graves,
conforme exigido pelo OMB e outras 6) CISA determina escalonamento
políticas federais.25 A CISA ou o Federal Bureau of Investigation (FBI)
determina se o incidente justifica o escalonamento do
2) CISA fornece rastreamento de incidentes e classificação
Grupo de Coordenação Unificada Cibernética (C-UCG) e,
NCISS
em caso afirmativo, recomenda o estabelecimento de
Dentro de uma hora após o recebimento do relatório um C-UCG de acordo com as disposições do PPD-41 §
inicial, a CISA fornece à agência (1) um rastreamento VBb C -UCG é o principal mecanismo de
cadeia interna de relatórios da organização, a CISA deve receber o

24EO 14028, Sec. 2.Removendo barreiras ao compartilhamento de informações relatório de incidente grave dentro de 1 hora após a declaração
sobre ameaças do incidente grave.
25PorOMB M-20-04 , a análise apropriada para saber se o incidente é um 26Diretrizes de Notificação de Incidentes Federais da CISA
incidente grave incluirá o CIO da agência, o CISO, os proprietários da
missão ou do sistema e, se for uma violação, o Oficial Sênior de 27OMB M-20-04
Privacidade da Agência (SAOP). Independentemente do
TLP: BRANCO

TLP: BRANCO
coordenação entre agências federais em resposta a um A agência consultará a CISA para garantir que
incidente cibernético significativo, bem como para todas as ações apropriadas foram tomadas. O CISA
integração de parceiros do setor privado nos esforços de avaliará esses materiais e:
resposta a incidentes.
• Determine se o incidente foi tratado
7) Forneça o Relatório Final do Incidente adequadamente e feche o ticket CISA.
• Determine se ações de resposta adicionais
A agência FCEB fornece atualizações pós-incidente CISA
devem ser concluídas e solicite que a
conforme necessário.
agência as conclua antes de fechar o ticket.
8) CISA Conduz Verificação e Validação
• Solicite mais informações, incluindo dados
Para garantir a conclusão da recuperação, a CISA validará os
de log e artefatos técnicos.
resultados e processos de resposta a incidentes e
vulnerabilidades da agência. A validação garante às
• Recomende o uso do CISA ou de outros
serviços de resposta a incidentes de terceiros.
agências que estão atendendo aos padrões básicos,
implementando todas as etapas importantes e erradicando As entidades FCEB afetadas devem tomar as ações exigidas
totalmente um incidente ou vulnerabilidade. Para todos os pela CISA antes de encerrar o incidente. Trabalhando com
incidentes que exigem o uso do playbook, as agências as entidades afetadas do FCEB, a CISA determina as ações,
devem fornecer proativamente listas de verificação de que variam dependendo da natureza do incidente e da
resposta a incidentes e um relatório de incidente erradicação.
preenchido para fechar o ticket. Se uma agência não
conseguir completar a lista de verificação, o
Coordenação Intergovernamental
Em um contexto mais amplo, as operações de defesa cibernética do FCEB não estão sozinhas no combate a grandes
incidentes. Vários departamentos e agências governamentais definiram papéis e responsabilidades e estão
coordenando todo o governo antes mesmo que os incidentes ocorram. Essas funções e responsabilidades podem ser
descritas em termos de linhas de esforço (LOEs) simultâneas: resposta de ativos, resposta a ameaças, suporte de
inteligência e resposta da agência afetada; juntos, esses LOEs garantem uma resposta abrangente. A Tabela 2 resume
os LOEs para agências em resposta a incidentes de segurança cibernética.
Tabela 2: Orientações do Governo Federal para Linhas de Esforço de acordo com o NCIRP28
Linha de Esforço Papel Agência Federal Principal
Ameaça Conduzir atividade investigativa e executar cursos de ação destinados Departamento de Justiça por meio do FBI e da
Resposta a mitigar a ameaça imediata; facilitar o compartilhamento de Força-Tarefa Conjunta de Investigação
informações e a coordenação operacional com a resposta de ativos. Cibernética Nacional (NCIJTF)
Ativo Conduzir atividades de resposta com agências FCEB para proteger Departamento de Segurança
Resposta ativos, mitigar vulnerabilidades e reduzir impactos de incidentes Interna (DHS) através da CISA
cibernéticos. Coordene com a resposta a ameaças e forneça orientação
sobre como utilizar melhor os recursos federais.
Inteligência Facilitar a construção de consciência de ameaça situacional e compartilhamento Escritório do Diretor de Inteligência Nacional
Apoiar de inteligência relacionada; a análise integrada de tendências e eventos de (ODNI) através do Centro de Integração de
ameaças; a identificação de lacunas de conhecimento; e a capacidade de Inteligência de Ameaças Cibernéticas (CTIIC)
degradar ou mitigar as capacidades do adversário.
28Plano Nacional de Resposta a Incidentes Cibernéticos
TLP: BRANCO

TLP: BRANCO
Para incidentes graves ou incidentes que podem se tornar graves, a CISA é a “porta de entrada” para as agências de
resposta de ativos. A CISA trabalhará com as agências FCEB afetadas para determinar suas necessidades, fornecer
recomendações para serviços e coordenar com outras agências (por exemplo, NSA) para fornecer uma resposta de
todo o governo. Ao servir como um único ponto de coordenação, a CISA pode aliviar a carga sobre as agências do
FCEB, facilitando a assistência disponível em todo o governo.
Dependendo da natureza dos eventos e das organizações envolvidas, as agências FCEB também podem trabalhar
diretamente com outras agências líderes de LOE em apoio a essas LOEs. A Figura 3 identifica as organizações que fornecem
os tipos de dados e informações que informam a detecção, análise e resposta a incidentes.
As funções e responsabilidades de todo o governo estão descritas no Apêndice G.
Figura 3: Total de Resposta de Ativos do Governo
TLP: BRANCO

TLP: BRANCO
MANUAL DE RESPOSTA DE VULNERABILIDADE

Um dos meios mais diretos e eficazes para uma organização
Quando usar este manual
priorizar a resposta à vulnerabilidade e se proteger contra
As vulnerabilidades no escopo deste
comprometimento é focar nas vulnerabilidades que já estão sendo manual são aquelas exploradas ativamente "na
exploradas ativamente na natureza. Este manual padroniza o natureza", ou seja, qualquer vulnerabilidade
processo de alto nível que as agências devem seguir ao responder que é usado por adversários para
a essas vulnerabilidades urgentes e de alta prioridade. Não é um obter entrada não autorizada em
substituto para os programas de gerenciamento de vulnerabilidade recursos de computação.
existentes em uma agência, mas

em vez disso, baseia-se nas práticas de gerenciamento de vulnerabilidade existentes. Um processo de resposta
padronizado garante que as agências, incluindo a CISA, possam entender o impacto dessas vulnerabilidades
críticas e perigosas em todo o governo federal.
As vulnerabilidades abordadas neste manual podem ser observadas pela agência afetada, CISA, parceiros do setor ou outros
no espaço de missão relacionado. A maioria das vulnerabilidades terá descritores de vulnerabilidades e exposições comuns
(CVE). Em outros casos, as agências podem encontrar novas vulnerabilidades que ainda não possuem um CVE (por exemplo,
dia zero) ou vulnerabilidades resultantes de configurações incorretas. O Apêndice D fornece uma lista de verificação
complementar para acompanhar as atividades de resposta até a conclusão.
Preparação
A resposta eficaz à vulnerabilidade se baseia em um forte gerenciamento de vulnerabilidade. Certifique-se de que
práticas eficazes de gerenciamento de vulnerabilidades estão sendo seguidas.29Tais práticas incluem construir e
manter um gerenciamento robusto de ativos que inclui inventário:
• Sistemas e redes operados por agências,

• Sistemas e redes que envolvam parcerias com outras organizações, e
• Sistemas e redes operados por terceiros, incluindo sistemas de nuvem, contratados e
provedores de serviços.
Implemente um processo para entender a relevância das vulnerabilidades para o ambiente, rastreando sistemas
operacionais e outros aplicativos para todos os sistemas. Entenda que todos os sistemas podem ter
vulnerabilidades e a implicação de possíveis vulnerabilidades nas operações.
29NIST SP 800-40 Rev. 3: Guia para tecnologias de gerenciamento de patches corporativos
TLP: BRANCO

TLP: BRANCO
Processo de Resposta de Vulnerabilidade
Os programas padrão de gerenciamento de vulnerabilidades incluem fases para identificar, analisar, corrigir e relatar
vulnerabilidades. A Figura 4 descreve o processo de resposta à vulnerabilidade em termos das fases padrão do programa de
gerenciamento de vulnerabilidade.
Figura 4: Fases de resposta à vulnerabilidade
Identificação
Identifique proativamente relatórios de vulnerabilidades que são exploradas ativamente na natureza,
monitorando feeds de ameaças e fontes de informações, incluindo, entre outros:
• recursos CISA; por exemplo: o

Produtos CISA/US-CERT National Cyber Awareness System (NCAS), que
incluem os boletins semanais contendo resumos de vulnerabilidade, e
- Observação:todas as agências devem assinar os produtos NCAS.30

o Diretriz Operacional Vinculante (BOD) 22-01 da CISA, Gerenciando Riscos Inaceitáveis de
Vulnerabilidades Conhecidas, que é continuamente atualizada com vulnerabilidades
sendo exploradas na natureza.
- Observação:assine os produtos NCAS para todas as atualizações de vulnerabilidade
BOD 22-01, que são anunciadas por meio de Current Activities.
• Ameaças externas ou feeds de vulnerabilidade, como o Banco de Dados de Vulnerabilidade
Nacional do NIST,31que também pode mostrar vulnerabilidades sendo exploradas fora das
agências do FCEB.
30Sistema Nacional de Conscientização Cibernética da CISA
31Banco de Dados Nacional de Vulnerabilidade do NIST
TLP: BRANCO

TLP: BRANCO
• Monitoramento SOC interno e resposta a incidentes, que podem detectar vulnerabilidades sendo
exploradas em uma agência.
Capture informações adicionais sobre a vulnerabilidade para ajudar no restante do processo

de resposta, incluindo a gravidade da vulnerabilidade, versões de software suscetíveis e IOCs
ou outras etapas de investigação que podem ser usadas para determinar se ela foi
explorada.
Avaliação
Primeiro, determine se a vulnerabilidade existe no ambiente e quão crítico é o software ou
hardware subjacente, usando metodologias como Stakeholder-Specific Vulnerability
Categorization (SSVC).32As ferramentas existentes de gerenciamento de patches e ativos são
críticas e podem ser usadas para automatizar o processo de detecção da maioria das
vulnerabilidades. Para vulnerabilidades exploradas ativamente, use o “rapid
resposta” nessas ferramentas (por exemplo, CDM). Em casos raros, como configurações incorretas pontuais e dias zero,
verificações manuais adicionais podem precisar ser executadas. Diretivas Operacionais Vinculantes (BODs) ou Diretivas de
Emergência (EDs) emitidas pela CISA também podem listar etapas técnicas específicas para avaliar se existe uma
vulnerabilidade.
Se a vulnerabilidade existir no ambiente, resolva a própria vulnerabilidade — conforme descrito na seção

Remediação abaixo — e determine se ela foi explorada no ambiente da agência. Use as melhores práticas
existentes para encontrar sinais de exploração, incluindo:
• Uma varredura para IOCs conhecidos associados à exploração da vulnerabilidade.

• Investigação de qualquer atividade anormal associada a sistemas ou serviços vulneráveis, incluindo
tentativas e comportamentos anômalos de acesso.
• Realização de eventuais processos de detecção nas directivas CISA.
• Se necessário, colaboração com um respondente de incidente terceirizado.
Se a vulnerabilidade foi explorada no ambiente, inicie imediatamente as atividades de resposta a incidentes,

conforme descrito no manual de resposta a incidentes.
Ao final da fase de Avaliação, o objetivo é entender o status de cada sistema no ambiente

como:
• Não Afetado.O sistema não é vulnerável.

• Suscetível.O sistema é vulnerável, mas nenhum sinal de exploração foi encontrado e a
correção foi iniciada.
• comprometido.O sistema estava vulnerável, foram encontrados sinais de exploração e a resposta a
incidentes e a correção de vulnerabilidades já começaram.
32Priorizando a Resposta à Vulnerabilidade: Uma Categorização de Vulnerabilidade Específica da Parte Interessada
TLP: BRANCO

TLP: BRANCO
Remediação
Corrija todas as vulnerabilidades exploradas ativamente que existem no ambiente ou dentro dele em
tempo hábil. Na maioria dos casos, a correção deve consistir em aplicação de patches. Em outros casos,
as seguintes mitigações podem ser apropriadas:
• Limitação de acesso;
• Isolar sistemas, aplicativos, serviços, perfis ou outros ativos
vulneráveis; ou
• Fazer alterações de configuração permanentes.
As ferramentas e os processos de gerenciamento de patches existentes podem ser usados para corrigir regularmente todas as
vulnerabilidades. Use processos de “resposta rápida” — conforme descrito na seção Avaliação acima — nas ferramentas para
vulnerabilidades que estão sendo exploradas ativamente na natureza.
Nos casos em que os patches não existem, não foram testados ou não podem ser aplicados
imediatamente, tome outras medidas para evitar a exploração, como:
• Desativando serviços,
• Reconfigurar firewalls para bloquear o acesso ou
• Aumentar o monitoramento para detectar a exploração.
Uma vez que os patches estejam disponíveis e possam ser aplicados com segurança, as atenuações podem ser removidas e os patches
aplicados.
À medida que os sistemas são corrigidos, acompanhe seu status para fins de relatório. Cada sistema deve
poder ser descrito como uma destas categorias:
• Corrigido.O patch ou alteração de configuração foi aplicado e o sistema

não está mais vulnerável.
• Mitigado.Outros controles de compensação, como detecção ou restrição de
acesso, estão em vigor e o risco de vulnerabilidade é reduzido.
• Suscetível/comprometido.Nenhuma ação foi tomada e o sistema ainda está
suscetível ou comprometido.
Relatórios e Notificações
Compartilhar informações sobre como as vulnerabilidades estão sendo exploradas pelos
adversários pode ajudar os defensores em todo o governo federal a entender quais
vulnerabilidades são mais críticas para corrigir. A CISA, em parceria com outros órgãos federais,
é responsável pela postura geral de segurança da FCEB. Como tal, a CISA precisa manter a
consciência do status da resposta de vulnerabilidade para ativamente explorados
vulnerabilidades. Essa conscientização permite que a CISA ajude outras agências a entender o impacto das vulnerabilidades
e reduzir o tempo entre a divulgação e a exploração da vulnerabilidade. As agências devem se reportar à CISA de acordo
com as Diretrizes Federais de Notificação de Incidentes, Diretivas Operacionais Vinculantes ou conforme indicado pela CISA
em uma Diretriz de Emergência.
TLP: BRANCO

APÊNDICE A: TERMOS-CHAVE
Prazo Definição Fonte
Uma orientação compulsória ao poder executivo federal, departamentos civis e agências
Vinculativo ("agências") para fins de proteção de informações e sistemas de informação federais. O DHS
Operacional desenvolve e supervisiona a implementação de diretivas operacionais obrigatórias de acordo Seção 3553 de
Diretiva com a Lei Federal de Modernização da Segurança da Informação de 2014 (FISMA). As agências título 44, Código dos EUA
(BOD) federais são obrigadas a cumprir essas diretrizes desenvolvidas pelo DHS.
Em resposta a uma ameaça, vulnerabilidade ou incidente de segurança da informação conhecido

ou razoavelmente suspeito que represente uma ameaça substancial à segurança da informação
de uma agência, o Secretário de Segurança Interna pode emitir um ED ao chefe de uma agência
Emergência
para tomar qualquer ação legal com a respeito da operação do sistema de informação, incluindo Seção 3553 de
Diretiva
os sistemas usados ou operados por outra entidade em nome de uma agência com a finalidade título 44, Código dos EUA
(ED)
de proteger o sistema de informação ou mitigar uma ameaça à segurança da informação. Esta
autoridade foi delegada e pode ser emitida com a assinatura do Diretor da CISA.
FCEB As Agências Federais do Poder Executivo Civil (FCEB) incluem todas as agências, EO 14028, Sec.10
agências exceto o Departamento de Defesa e as agências da Comunidade de Inteligência.
FCEB
Esses sistemas de informação operados por Agências do Poder Executivo Civil Federal, mas
Informação EO 14028, Sec.10
exclui os Sistemas de Segurança Nacional (NSS).
Sistemas
Uma ocorrência que— (A) coloque em risco real ou iminente, sem autoridade legal, a integridade, EO 14028, Sec. 10
confidencialidade ou disponibilidade de informações ou um sistema de informações; ou (B) constitua
Incidente 44 USC
uma violação ou ameaça iminente de violação da lei, políticas de segurança, procedimentos de
3552(b)(2)
segurança ou políticas de uso aceitável.
Serviço TIC Provedores de serviços de tecnologia da informação e comunicação (TIC) - inclui provedores de
EO 14028, Sec.2
Provedores serviços de TI, TO e nuvem (CSPs).
Qualquer incidente que possa resultar em dano demonstrável aos interesses da segurança OMB
nacional, às relações exteriores ou à economia dos Estados Unidos ou ao público Memorando
confiança, liberdades civis ou saúde pública e segurança do povo americano.33 M-20-04: Fiscal
As agências devem determinar o nível de impacto do incidente usando o processo de Ano 2019-2020
gerenciamento de incidentes existente estabelecido na Publicação Especial (SP) 800-61 do Orientação sobre
Principal
Instituto Nacional de Padrões e Tecnologia (NIST), Computer Security Incident Handling Guide,ou Federal
Incidente
Uma violação que envolva informações de identificação pessoal (PII) que, se exfiltradas, Informação
modificadas, excluídas ou comprometidas de outra forma, provavelmente resultará em danos Segurança e
demonstráveis aos interesses de segurança nacional, relações exteriores ou economia dos Privacidade
Estados Unidos ou ao confiança pública, liberdades civis ou saúde pública e Gerenciamento

segurança do americanopessoas.34 Requisitos.
33Usando oSistema de Pontuação de Incidentes Cibernéticos CISA , isso inclui eventos de Nível 3 (laranja), definidos como aqueles que
"provavelmente resultarão em um impacto demonstrável na saúde ou segurança pública, segurança nacional, segurança econômica, relações
exteriores, liberdades civis ou confiança pública"; Eventos de Nível 4 (vermelho), definidos como aqueles que “provavelmente resultarão em um
impacto significativo na saúde ou segurança pública, segurança nacional, segurança econômica, relações exteriores ou liberdades civis”; e eventos de
Nível 5 (preto), definidos como aqueles que "representam uma ameaça iminente ao fornecimento de serviços de infra-estrutura crítica em larga
escala, à estabilidade do governo nacional ou à vida dos norte-americanos".
34A análise para relatar uma violação grave ao Congresso é distinta e separada da avaliação do risco potencial de danos a
indivíduos resultantes de uma violação suspeita ou confirmada. Ao avaliar o risco potencial de danos aos indivíduos, as
agências devem consultar 0MB M-17-12.
TLP: BRANCO
Prazo Definição Fonte

Os Sistemas de Segurança Nacional (NSS) são sistemas de informação definidos no
44 USC3552(b)(6).
( A) O termo “sistema de segurança nacional” significa qualquer sistema de informação (incluindo
qualquer sistema de telecomunicações) usado ou operado por uma agência ou por um contratado de
uma agência ou outra organização em nome de uma agência—
(i) cuja função, operação ou uso—
(I) envolva atividades de inteligência;
Nacional
(II) envolva atividades criptológicas relacionadas à segurança nacional;
Segurança 44
(III)envolve comando e controle de forças militares;
Sistemas USC3552(b)(6)
(IV) envolva equipamento que seja parte integrante de uma arma ou sistema de armas; ou
(NSS)
(V) sujeito ao subparágrafo (B), é crítico para o cumprimento direto de missões
militares ou de inteligência; ou
(ii) esteja sempre protegida por procedimentos estabelecidos para informações que tenham
sido especificamente autorizadas segundo critérios estabelecidos por decreto ou ato do
Congresso para serem mantidas em sigilo no interesse da defesa nacional ou da política
externa. (B) O subparágrafo (A)(i)(V) não inclui um sistema que deve ser usado para aplicativos
administrativos e comerciais de rotina (incluindo aplicativos de folha de pagamento, finanças,
logística e gerenciamento de pessoal).
Cíber segurança
Informação
O termo "vulnerabilidade de segurança" significa qualquer atributo de hardware, software, processo ou
Vulnerabilidade Ato de Compartilhamento de
procedimento que possa habilitar ou facilitar a anulação de um controle de segurança.
2015, Pub. L. No.
114-113, § 102
TLP: BRANCO
26
CISA | Agência de Segurança Cibernética e Infraestrutura
TLP: BRANCO
APÊNDICE B: LISTA DE VERIFICAÇÃO DE RESPOSTA A INCIDENTES
Observação:o manual de resposta a incidentes para incidentes que envolvem atividades cibernéticas maliciosas confirmadas
para as quais um incidente grave foi declarado ou ainda não foi razoavelmente descartado.
Ação Data
Etapa Procedimento de Resposta a Incidentes
Levado Concluído
Detecção e Análise
1. Declarar Incidente
1a.Execute a categorização inicial do incidente.35
1b.Designe o líder de coordenação de incidentes da agência.
1c.Notifique a CISA e, se aplicável, a aplicação da lei.
2. Determinar o escopo da investigação
2a.Identifique o tipo e a extensão do incidente.
2b.Avalie o impacto operacional ou informativo na missão da organização.
3. Colete e preserve dados

Colete e preserve os dados necessários para verificação de incidentes,
3a. categorização, priorização, mitigação, relatórios, atribuição e como evidência
potencial de acordo comNIST 800-61r2 .
Registre todas as evidências e anote como a evidência foi adquirida, quando foi
3b.
adquirida e quem adquiriu a evidência.
4. Realize a análise técnica

4a.Desenvolva uma compreensão técnica e contextual do incidente.
Com base na análise até agora e no CTI disponível, forme uma hipótese do que
4b.
o adversário estava tentando acessar/realizar.
Atualize o escopo à medida que a investigação avança e as informações evoluem. Relate as

4c.
descobertas mais recentes e o status do incidente à CISA.
Condição de término:A análise técnica está concluída quando o incidente foi

verificado, o escopo foi determinado, o(s) método(s) de acesso persistente à
rede foi/foram identificados, o impacto foi avaliado, uma hipótese para a
4d.
narrativa de exploração foi cultivada (TTPs e IOCs), e todas as partes
interessadas estão procedendo com um quadro operacional comum.
35OMB M-20-04
TLP: BRANCO
27
TLP: BRANCO
Ação Data
Levado Concluído
Correlacione eventos e documente a linha do tempo
4e.Analise logs para correlacionar eventos e atividades adversárias
Estabeleça um cronograma de incidente que registre eventos, descrição de eventos, grupo de data e
4f. hora (UTC) de ocorrências, impactos e fontes de dados. Mantenha-se atualizado com todas as
descobertas relevantes.
Identificar atividade anômala
Avalie os sistemas e redes afetados quanto a sutilezas do comportamento do adversário que

4g.
muitas vezes podem parecer legítimos.
Identificar desvios da atividade de linha de base estabelecida - particularmente importante

4h. para identificar tentativas de alavancar credenciais legítimas e recursos e ferramentas nativas
(ou seja, técnicas de vida da terra).
Identificar a causa raiz e as condições facilitadoras
Tentar identificar a causa raiz do incidente e coletar informações sobre ameaças que possam
4i.
ser usadas em pesquisas adicionais e informar os esforços de resposta subsequentes.
Identifique e documente as condições que permitiram ao adversário

4j.
acessar e operar dentro do ambiente.
Avalie redes e sistemas quanto a alterações que possam ter sido feitas para evitar
4k.
defesas ou facilitar o acesso persistente.
Identifique o vetor de ataque. Isso inclui como o adversário acessa o

4l.
ambiente (por exemplo, malware, RDP, VPN).
Avalie o acesso (profundidade e amplitude). Isso inclui todos os sistemas, usuários,

4m.
serviços e redes comprometidos.
Reunir Indicadores de Incidentes
4n.Revise o CTI disponível para o precedente de atividade semelhante.
Analise as ferramentas do adversário. Avalie as ferramentas para extrair IOCs para contenção
4o.
de curto prazo.
Identificar e documentar indicadores que podem ser usados para análise correlativa
4p.
na rede.
Compartilhe informações sobre ameaças extraídas (indicadores atômicos, computados e

4q. comportamentais, contexto e contramedidas) com equipes de resposta internas e CISA.
Analisar TTPs de adversários comuns

Identifique o acesso inicial [TA0001 ] técnicas (por exemplo, spearphishing, comprometimento da cadeia de
4r.
suprimentos).
TLP: BRANCO
28
TLP: BRANCO
Ação Data
Levado Concluído
Se o acesso for facilitado por malware, identifique o comando e controle associado [TA0011
4s.
] (por exemplo, identificar porta, protocolo, perfil, domínio, endereço IP).
Identifique as técnicas usadas pelo adversário para obter a execução do código [

4t.
TA0002 ].
4u.Avalie hosts comprometidos para identificar persistência [TA0003 ] mecanismos.
Identifique o movimento lateral [TA0008 ] técnicas. Determine as técnicas usadas

4v.
pelo adversário para acessar hosts remotos.
Identifique o nível de acesso à credencial do adversário [TA0006 ] e/ouescalonamento de

4w.
privilégios.
Identifique o método de acesso remoto, as credenciais usadas para autenticação e o nível de

4x. privilégio. Se o acesso for por aplicativo legítimo, mas comprometido (por exemplo, RDP,
VPN), identifica o método.
4 anos.Identifique o mecanismo usado para exfiltração de dados [TA0010 ].
Validar e refinar o escopo da investigação
4z.Identifique novos sistemas, dispositivos e contas associadas potencialmente afetados.
4aa.Alimente novos IOCs e TTPs em ferramentas de detecção.
Continue a atualizar o escopo e comunique o escopo atualizado a todas as partes

4bb.
interessadas para garantir um quadro operacional comum.
5. Suporte de análise de terceiros (se necessário)

Identifique se o suporte de análise de terceiros é necessário para investigação ou resposta
5a. a incidentes. A CISA pode recomendar o uso de outra agência ou de terceiros para
detecção de invasões e serviços de suporte de resposta a incidentes.
Invoque a Federal Network Authorization (FNA) para habilitar a resposta a

5b.
incidentes CISA e a assistência de busca.36
Coordene e facilite o acesso se incorporar o suporte de análise de terceiros nos

5c.
esforços de resposta.
Coordenar as atividades de resposta com provedores de serviços da agência para

5d.
sistemas hospedados fora da agência.
6. Ajuste as ferramentas
Ajuste as ferramentas para diminuir o ritmo de avanço e diminuir o tempo de permanência

6a.
incorporando IOCs para proteger/detectar atividades específicas.
TLP: BRANCO
29
TLP: BRANCO
Ação Data
Levado Concluído
Introduza modificações de alta fidelidade nas ferramentas. Ajustar ferramentas para focar nas
6b. táticas que devem ser usadas pelo adversário para obter objetivos operacionais (por exemplo,
execução, acesso a credenciais e movimento lateral).
Contenção
7. Conter Atividade (Mitigações de Curto Prazo)

Determine a estratégia de contenção apropriada, incluindo:
• Requisito de preservação de provas
7a. • Disponibilidade de serviços (por exemplo, conectividade de rede, continuidade de serviços)
• Restrições de recursos
• Duração das etapas de contenção
7b.Backup(s) do sistema para preservar evidências e investigação contínua.
Coordene com a aplicação da lei para coletar e preservar evidências (conforme

7c.
exigido pela (Etapa 3a) antes da erradicação, se aplicável.
Isole os sistemas e redes afetados, incluindo:

• Contenção de perímetro
7d. • Contenção de rede interna
• Contenção baseada em host/endpoint
• Desconecte temporariamente os sistemas voltados para o público da Internet, etc.
7e.Feche portas específicas e servidores de correio. Atualize a filtragem do firewall.
Altere as senhas do administrador do sistema, gire as chaves privadas e os segredos da conta de

7f.
serviço/aplicativo onde houver suspeita de comprometimento e revogue o acesso privilegiado.
Execute o bloqueio (e o registro) de acessos não autorizados, fontes de malware e tráfego

7g.
de saída para endereços de Protocolo de Internet (IP) de invasores conhecidos.
Impedir a resolução do servidor de nomes de domínio (DNS) de nomes de domínio de invasores

7h.
conhecidos.
Evite que sistemas comprometidos se conectem a outros sistemas na

7i.
rede.
Os SOCs avançados podem direcionar o adversário para o sandbox para monitorar atividades,
7j.
reunir evidências adicionais e identificar TTPs.
7k.Monitore os sinais de resposta do agente da ameaça às atividades de contenção.
Relate o cronograma atualizado e as descobertas (incluindo novos indicadores atômicos e

7l.
comportamentais) para a CISA.
Se novos sinais de comprometimento forem encontrados, retorne à análise técnica (Etapa 4) para redefinir o
7m.
escopo do incidente.
TLP: BRANCO
30
TLP: BRANCO
Ação Data
Levado Concluído
Condição de término:Após a contenção bem-sucedida (ou seja, sem novos sinais de
7n. comprometimento), preserve as evidências para referência e investigação policial (se
aplicável), ajuste as ferramentas de detecção e prossiga para a erradicação.
Erradicação e Recuperação
8. Executar o Plano de Erradicação
Desenvolva um plano de erradicação bem coordenado que considere cenários para o uso de
8a. vetores de ataque alternativos e vários mecanismos de persistência por agentes de ameaça.
8b.Forneça o status do incidente à CISA até que todas as atividades de erradicação sejam concluídas.
8c.Remova os artefatos do incidente dos sistemas afetados, redes, etc.
8d.Refazer a imagem dos sistemas afetados a partir de backups limpos (ou seja, fontes 'gold').
8e.Reconstrua o hardware (se houver rootkits envolvidos).
8f.Verifique se há malware para garantir a remoção do código malicioso.
8g.Monitore de perto os sinais de resposta do agente da ameaça às atividades de erradicação.
Reserve um tempo adequado para garantir que todos os sistemas estejam livres de mecanismos de
8h. persistência de agentes de ameaças (como backdoors), pois os adversários costumam usar mais de um
mecanismo.
8i.Atualize a linha do tempo para incorporar todos os eventos pertinentes desta etapa.
8j.Complete todas as ações para erradicação.
Continue com as atividades de detecção e análise após a execução do plano de erradicação para
8k. monitorar quaisquer sinais de reentrada do adversário ou uso de novos métodos de acesso.
Se uma nova atividade adversária for descoberta na conclusão da etapa de erradicação,

8l. contenha a nova atividade e retorne à Análise Técnica (Etapa 4) até que o verdadeiro
escopo do comprometimento e os vetores de infecção sejam identificados.
8m.Se a erradicação for bem-sucedida, vá para a Recuperação.
9. Executar o Plano de Erradicação
Restaurar os sistemas da agência para uso operacional: recuperando dados de missão/

9a.
negócios.
9b.Reverta todas as alterações feitas durante o incidente.
TLP: BRANCO
31
TLP: BRANCO
Ação Data
Levado Concluído
9c.Redefinir senhas em contas comprometidas.
9d.Implemente a autenticação multifator para todos os métodos de acesso.
9e.Instale atualizações e patches.
Aperte a segurança do perímetro (por exemplo, conjuntos de regras de firewall, listas de controle de acesso do
9f.
roteador de limite) e regras de acesso de confiança zero.
Teste os sistemas minuciosamente (incluindo a avaliação dos controles de segurança) para validar se os
9g. sistemas estão operando normalmente antes de colocá-los online novamente nas redes de produção.
9h.Considere emular TTPs adversários para verificar se as contramedidas são eficazes.
Revise todos os CTI relevantes para garantir a consciência situacional da atividade do agente da
9i.
ameaça.
Atualize a linha do tempo do incidente para incorporar todos os eventos pertinentes da etapa de recuperação.
9j.
9k.Conclua todas as ações para recuperação.
Atividades Pós-Incidente
10. Atividades Pós-Incidente

Documente o incidente, informe a liderança da agência, fortaleça o ambiente para evitar
10a. incidentes semelhantes e aplique as lições aprendidas para melhorar o tratamento de
incidentes futuros.
Ajustar sensores, alertas e coleta de registros
Adicione detecções em toda a empresa para mitigar contra TTPs adversários que foram
10b.
executados com sucesso.
Identifique e aborde os “pontos cegos” operacionais para uma cobertura adequada no

10c.
futuro.
Continue a monitorar o ambiente da agência em busca de evidências de presença

10d.
persistente.
TLP: BRANCO
32
TLP: BRANCO
Ação Data
Levado Concluído
Finalizar relatórios
10e.Forneça atualizações pós-incidente conforme exigido por lei e política.
Publicar relatório pós-incidente. Forneça uma revisão passo a passo de todo o

10f.
incidente e responda às perguntas Quem, O quê, Onde, Por que e Como.
Fornecer à CISA uma atualização pós-incidente com sete (7) dias de resolução ou conforme
10g.
indicado pela CISA noDiretrizes Federais de Notificação de Incidentes.
Trabalhe com a CISA para fornecer os artefatos necessários, fechar o ticket e/ou executar uma
10h.
ação de resposta adicional.
Executar Hotwash
Realizar análises de lições aprendidas com todas as partes envolvidas para avaliar as medidas de
10i.
segurança existentes e o processo de tratamento de incidentes experimentado recentemente.
10j.Identifique se os processos de RI da agência foram seguidos e se foram suficientes.
Identifique quaisquer políticas e procedimentos que precisem ser modificados para evitar a
10k.
ocorrência de incidentes semelhantes.
Identifique como o compartilhamento de informações com a CISA e outras partes interessadas pode ser
10l.
aprimorado durante o RI.
10m.Identifique quaisquer lacunas no treinamento de resposta a incidentes.
Identifique funções, responsabilidades, interfaces e autoridades pouco claras ou

10n.
indefinidas.
Identificar precursores ou indicadores que devem ser monitorados para detectar incidentes
10o.
semelhantes.
Identificar se a infraestrutura da agência para defesa foi suficiente. Se não, identifique as lacunas.
22h
Identifique se ferramentas ou recursos adicionais são necessários para melhorar a

10q.
detecção e a análise e ajudar a mitigar futuros incidentes.
Identifique quaisquer deficiências no processo de planejamento de resposta a incidentes da agência. Caso

10r. não sejam identificadas deficiências, identifique como a agência pretende implementar mais rigor em seu
planejamento de RI.
TLP: BRANCO
33
TLP: BRANCO
Ação Data
Levado Concluído
Coordenação com o CISA
11. Coordenação com CISA

Notifique a CISA com o relatório inicial do incidente dentro de 1 hora após a determinação
11a.
do incidente.37
Receba o número de rastreamento de incidentes e o nível de prioridade do Sistema Nacional de

11b.
Pontuação de Incidentes Cibernéticos (NCISS) da CISA.
Cumpra os requisitos adicionais de relatórios para incidentes graves,

11c.
conforme exigido pelo OMB e outras políticas federais.38,39
11d.Forneça atualizações de incidentes até que todas as atividades de erradicação sejam concluídas.
Relatar atualizações de incidentes para incluir:

• Escopo atualizado
• Cronograma atualizado (descobertas, esforços de resposta, etc.)
11e. • Novos indicadores de atividade adversária

• Compreensão atualizada do impacto
• Status atualizado dos esforços pendentes
• Estimativa do tempo até a conclusão da contenção, erradicação e
recuperação
Compartilhe indicadores atômicos e comportamentais relevantes e contramedidas com a

11f.
CISA durante todo o processo de RI.
11g.Forneça atualizações pós-incidente conforme indicado pela CISA.
Os provedores de serviços de TIC e contratados que operam sistemas em nome das

11h. agências da FCEB devem relatar incidentes imediatamente a essas agências e reportar
diretamente à CISA sempre que o fizerem.
37Diretrizes de Notificação de Incidentes Federais da CISA
38PorOMB M-20-04 , a análise apropriada para saber se o incidente é um incidente grave incluirá o CIO da agência, o CISO, os proprietários
da missão ou do sistema e, se for uma violação, o Oficial Sênior de Privacidade da Agência (SAOP). Independentemente da cadeia de
comunicação interna da organização, a CISA deve receber o relatório de incidente grave em até 1 hora após a declaração do incidente grave.
39OMB M-20-04
TLP: BRANCO
34
TLP: BRANCO
APÊNDICE C: LISTA DE VERIFICAÇÃO PARA PREPARAÇÃO DE RESPOSTA A INCIDENTES
Etapa Preparação de Resposta a Incidentes Ação Data

Levado Concluído
1. Políticas e Procedimentos
Documente o plano de resposta a incidentes da agência com procedimentos
1a. para escalar e relatar incidentes graves e aqueles com impacto na missão da
agência.
Documentar o procedimento para designar o líder de coordenação de incidentes da agência.

1b.
Identifique o pessoal chave de resposta a incidentes e as responsabilidades.

1c.
Forneça nomes de POC, números de telefone e endereços de e-mail.
Identifique os proprietários do sistema e os oficiais de segurança do sistema de

1d.
informações (ISSOs).
Identifique IPs do sistema, plano de segurança do sistema, limites do

1e.
sistema/enclave, status essencial da missão, etc.
Documente o plano de contingência para recursos adicionais ou “suporte de

1f.
emergência” com funções e responsabilidades atribuídas.
2. Instrumentação
Implemente recursos de detecção e monitoramento para incluir AV, EDR, DLP,
IDPS, logs, fluxos líquidos, PCAP e SIEM para fornecer uma imagem precisa da
2a.
infraestrutura da agência (sistemas, redes, plataformas de nuvem e redes
hospedadas pelo contratante).
Estabeleça uma linha de base para sistemas e redes para entender o que é atividade
2b.
“normal” para permitir que os defensores identifiquem quaisquer desvios.
2c.Implemente os recursos EINSTEIN.
2d.Implementar recursos de CDM.
Certifique-se de que o log, a retenção de log e o gerenciamento de log estejam em conformidade com
2e.
EO 14028, Sec 8.
3. Treine o pessoal de resposta

Treine e exercite o pessoal da agência e do pessoal para se preparar para
3a.
incidentes graves.
Realize exercícios de recuperação para testar o COOP organizacional completo

3b.
(sistemas de failover/backup/recuperação).
TLP: BRANCO
35
TLP: BRANCO

Levado Concluído
4. Inteligência de ameaças cibernéticas
Monitore feeds de inteligência para alertas de ameaças ou vulnerabilidades

4a. de várias fontes: governo, parceiros confiáveis, código aberto e entidades
comerciais.
Integre feeds de ameaças ao SIEM e outros recursos defensivos para identificar e

4b.
bloquear comportamentos maliciosos conhecidos.
Analisar relatórios de atividades suspeitas de usuários, contratados/prestadores de

4c. serviços de TIC; ou relatórios de incidentes de outros componentes organizacionais
internos ou externos.
4d. Colete dados de incidentes (indicadores, TTPs, contramedidas) e compartilhe

com a CISA e outros parceiros (aplicação da lei, etc.).
Configure o CISA Automated Indicator Sharing (AIS) ou compartilhe viacibernético

4e.
Sistema de Apresentação de Indicadores de Ameaças e Medidas Defensivas .
5. Defesa Ativa
Para aqueles com recursos avançados e equipe, estabeleça
mecanismos de defesa ativos (ou seja, honeypots, honeynets,
5a. honeytokens, contas falsas etc.)
6. Comunicações e Logística
Estabeleça uma estratégia de comunicação. Isso inclui:
• Definindo um protocolo de comunicação de e-mail fora de banda

6a. • Designando uma sala de guerra
• Estabelecendo um canal de comunicação (ponte telefônica ou sala de bate-papo)
Estabelecer mecanismos de procedimentos para coordenar incidentes graves

6b.
com a CISA.
Designar o POC de relatórios CISA. Forneça o nome do POC, número de telefone e endereço de
6c. e-mail. Implementar formato e plataforma de compartilhamento de informações para CISA.
Defina métodos para lidar com informações e dados classificados, se

6d.
necessário.
7. OPSEC
Segmente/gerencie sistemas SOC separadamente de sistemas de TI corporativos
7a. mais amplos. Gerenciar sensores e dispositivos de segurança por meios fora de
banda (rede, etc.).
Desenvolva um método para notificar os usuários sobre sistemas comprometidos por telefone,
7b.
em vez de e-mail.
TLP: BRANCO
36
TLP: BRANCO

Levado Concluído
Use estações de trabalho protegidas para conduzir atividades de monitoramento e
7c.
resposta.
Garanta que os sistemas defensivos tenham processos robustos de backup e

7d.
recuperação.
Implemente processos para evitar “dar dicas” a um invasor para reduzir a probabilidade de
detecção de informações confidenciais de infravermelho (por exemplo, não envie amostras de
7e.
malware a um serviço público de análise ou notifique os usuários sobre sistemas
comprometidos por e-mail).
8. Infraestrutura técnica
Estabeleça armazenamento seguro (ou seja, acessível apenas por respondentes
8a.
de incidentes) para dados e relatórios de incidentes.
8b. Implemente recursos para conter, replicar, analisar e

reconstituir hosts comprometidos.
Implante ferramentas para coletar evidências forenses, como imagem de

8c.
disco e memória ativa.
Implemente a capacidade de manipular/detonar malware, software de

8d.
sandbox e outras ferramentas de análise.
8e.Implemente um sistema de tíquetes ou gerenciamento de casos.
9. Detectar Atividade
9a. Implemente regras e assinaturas de sensores e SIEM para procurar

IOCs.
9b.Analise logs e alertas em busca de sinais de atividades suspeitas ou maliciosas.
TLP: BRANCO
37
TLP: BRANCO
APÊNDICE E: VULNERABILIDADE E CATEGORIAS DE INCIDENTES

A CISA adotou o seguinte conjunto comum de termos para melhorar a clareza das agências do Poder Executivo
Federal Civil (FCEB) para relatórios e atualização da CISA.40
Incidente–De acordo com a Lei Federal de Modernização da Segurança da Informação de 2014 (FISMA), conforme
codificado em 44 USC § 3552(b)(2): Uma ocorrência que (A) ponha em risco real ou iminente, sem autoridade legal, a
integridade, confidencialidade ou disponibilidade de informação ou um sistema de informação; ou (B) constitua uma
violação ou ameaça iminente de violação da lei, políticas de segurança, procedimentos de segurança ou políticas de uso
aceitável.
Incidente Grave–De acordo com o memorando M-20-04 do Office of Management and Budget (OMB) ou
memorando subsequente, um incidente grave é:
1.Qualquer incidente que possa resultar em dano demonstrável aos interesses de segurança nacional,
relações exteriores ou economia dos Estados Unidos ou à confiança pública, liberdades civis ou
saúde e segurança do povo americano.41As agências devem determinar o nível de impacto do incidente usando o
processo de gerenciamento de incidente existente estabelecido na Publicação Especial (SP) 900-61 Revisão 2 do
Instituto Nacional de Padrões e Tecnologia (NIST), Guia de Manipulação de Incidentes de Segurança de
Computadores.
ou,
2.Uma violação que envolva informações de identificação pessoal (PII) que, se exfiltradas, modificadas, excluídas ou
comprometidas de outra forma, provavelmente resultará em danos demonstráveis aos interesses de segurança
nacional, relações exteriores ou economia dos Estados Unidos ou ao confiança pública, liberdades civis ou saúde
pública e segurança do povo americano. A determinação de incidente grave é
exigido para violações envolvendo PII de 100.000 ou mais pessoas.42
Violação–De acordo com o Memorando M-17-12 da OMB ou memorando subsequente: A perda de controle,
comprometimento, divulgação não autorizada, aquisição não autorizada ou qualquer ocorrência semelhante em que
(1) uma pessoa que não seja um usuário autorizado acessa ou potencialmente acessa informações de identificação
pessoal ou (2 ) um usuário autorizado acessa ou potencialmente acessa informações de identificação pessoal para fins
não autorizados.
Evento–De acordo com NIST SP 900-61 Revisão 2: Um evento é qualquer ocorrência observável em um sistema ou rede.
Vulnerabilidades:
• Descoberta interna de comprometimento potencial aproveitando uma vulnerabilidade
• Exploração conhecida de vulnerabilidade (entradas marcadas com NVD; relatórios públicos generalizados;
exploração de prova de conceito viável lançada, etc.)
40Requisitos de relatórios de incidentes federais da CISA (rascunho)

41Usando o Sistema de Pontuação de Incidentes Cibernéticos da CISA, isso inclui eventos de Nível 3 (laranja), definidos como aqueles que
"provavelmente resultarão em um impacto demonstrável na saúde ou segurança pública, segurança nacional, segurança econômica, relações
exteriores, liberdades civis ou confiança"; Eventos de Nível 4 (vermelho), definidos como aqueles que “provavelmente resultarão em um impacto
significativo na saúde ou segurança pública, segurança nacional, segurança econômica, relações exteriores ou liberdades civis”; e eventos de Nível 5
(preto), definidos como aqueles que "representam uma ameaça iminente ao fornecimento de serviços de infra-estrutura crítica em larga escala, à
estabilidade do governo nacional ou à vida dos norte-americanos".
42A análise para relatar uma violação grave ao Congresso é distinta e separada da avaliação do risco potencial de danos a
indivíduos resultantes de uma violação suspeita ou confirmada. Ao avaliar o risco potencial de danos aos indivíduos, as
agências devem consultar 0MB M-17-12.
TLP: BRANCO
38
TLP: BRANCO
APÊNDICE F: TEXTO FONTE

Esta é uma lista de fontes usadas na resposta a incidentes e vulnerabilidades do FCEB.
Responsável Título da Fonte Categoria

Organização
Estratégia de segurança cibernética do Departamento de Segurança Interna

DHS autoridades
dos EUA
DHS/CISA Sistema Nacional de Pontuação de Incidentes Cibernéticos (NCISS) Padrões
Diretrizes Federais de Notificação de Incidentes (FING) do

DHS/CISA Padrões
US-CERT
Melhores práticas para resposta a vítimas e relatórios de

DOJ Melhores Práticas
incidentes cibernéticos
Compartilhamento de informações sobre ameaças cibernéticas sob 19 USC §

DOJ Lei/Estatuto
2702(a)(3)
poder executivo Estratégia Cibernética Nacional dos EUA Autoridades e Normas
EO 13691: Promovendo o Compartilhamento de Informações de Segurança

poder executivo Ordem executiva
Cibernética do Setor Privado
poder executivo PPD-41: Coordenação de Incidentes Cibernéticos nos Estados Unidos autoridades
poder executivo Plano Nacional de Resposta a Incidentes Cibernéticos (NCIRP)
EO 13636: Melhorando a segurança cibernética da

poder executivo autoridades
infraestrutura crítica
EO 13900: Fortalecimento da segurança cibernética de

redes federais e infraestrutura crítica
M-20-04, Orientação do ano fiscal 2019-2020 sobre requisitos

Poder Executivo/OMB federais de segurança da informação e gerenciamento de autoridades
privacidade
Declaração de política antitruste sobre compartilhamento de informações de

DOJ; FTC Autoridades e Normas
segurança cibernética
poder executivo NSPD-54/HSPD-23: Política de Cibersegurança autoridades
EO 13719: Comissão para Melhorar a Segurança

Cibernética Nacional
EO 12333: Atividades de Inteligência dos Estados Unidos,

poder executivo Autoridades e Normas
conforme alterada
poder executivo EO 14029: Melhorando a Cibersegurança da Nação Autoridades e Normas
TLP: BRANCO

TLP: BRANCO

Organização
Práticas recomendadas de compartilhamento de informações de segurança cibernética do

SCC Saúde Autoridades e Normas
setor de saúde
poder executivo Lei de compartilhamento de informações de segurança cibernética de 2015 Lei/Estatuto
poder executivo Lei da Liberdade dos EUA Lei/Estatuto
PL 114-113 [6 USC § 651-674]: Lei da Agência de Lei/Estatuto

poder executivo
Segurança Cibersegurança e Infraestrutura de 2019
poder executivo 32 CFR § 236.4 Lei/Estatuto
poder executivo Lei Patriota dos Estados Unidos Lei/Estatuto
PL 113-292 Lei/Estatuto
poder executivo [codificado em 6 USC]: A Lei Nacional de Proteção à
Segurança Cibernética de 2014
PL 107-296 Lei/Estatuto
poder executivo
[codificado em 6 USC]: Lei de Segurança Interna de 2002
44 USC § 3551: Lei Federal de Modernização da Lei/Estatuto

poder executivo
Segurança da Informação de 2014
poder executivo Estratégia Nacional para Identidades Confiáveis no Ciberespaço Autoridades e Normas
SP 900-53 rev4/5: Controles de segurança e privacidade

NIST Autoridades e Normas
para sistemas de informação e organizações
SP 900-30 rev.1: Guia para Conduzir

Avaliações de Risco
SP 900-37 rev.2: Estrutura de gerenciamento de riscos para

NIST sistemas e organizações de informação: uma abordagem de ciclo Autoridades e Normas
de vida do sistema para segurança e privacidade
SP 900-39: Gerenciando Riscos de Segurança da Informação:

Organização, Missão e Visão do Sistema de Informação
NISTIR 9296: Integrando segurança cibernética e gerenciamento de

riscos corporativos (ERM) (Rascunho)
SP 900-61 Rev. 2, Guia de tratamento de incidentes de segurança de

NIST Padrões
computadores | CSRC (nist.gov)
TLP: BRANCO

TLP: BRANCO
APÊNDICE G: PAPÉIS E RESPONSABILIDADES DE TODO O GOVERNO

Esta é uma lista de funções e responsabilidades governamentais de resposta a incidentes e vulnerabilidades.

Organização
• Coordena o desenvolvimento e a implementação das políticas, estratégias e
procedimentos do governo federal para responder a incidentes cibernéticos
significativos.
• Recebe atualizações regulares dos centros e agências federais de segurança
cibernética sobre incidentes cibernéticos significativos e medidas tomadas para
Resposta cibernética
resolver ou responder a esses incidentes. • PPD-41
Grupo (CRG) • Colabora com o Grupo de Segurança de Contraterrorismo e o Grupo de Resiliência • NCIRP
Doméstica quando é necessária uma resposta interdisciplinar a um incidente cibernético
significativo.
• Identifica e considera opções para responder a incidentes cibernéticos
significativos e faz recomendações ao Comitê de Substitutos, onde é
necessária orientação de nível superior.
• Coordena uma estratégia de comunicação.
• Mecanismo primário de coordenação entre agências federais em

resposta a um incidente cibernético significativo, bem como para
a integração de parceiros do setor privado nos esforços de RI.
• O CRG poderá solicitar a formação de uma Cyber UCG.

Cyber Unified • Um Cyber UCG também pode ser formado quando duas ou mais
• PPD-41
agências federais* que geralmente participam do Grupo de
Grupo de Coordenação • NCIRP
Resposta Cibernética (CRG) do Conselho de Segurança Nacional
(C-UCG)
(NSC) solicitarem sua formação. *Incluem Agências Setoriais de
Gestão de Risco (SRMAs) relevantes.
• Identifica e recomenda ao CRG, se for necessária elevação,
quaisquer recursos adicionais do governo federal ou ações
necessárias para responder adequadamente e se recuperar
do incidente.
• Agência líder para atividades de resposta a ativos.

• Colabora com parceiros do setor e do governo para ajudar as organizações a
entender e combater os riscos críticos de infraestrutura e segurança cibernética
associados às atividades maliciosas de agentes estatais e não estatais.
• Coordena os esforços de todo o governo em políticas e práticas de segurança da

informação; compila e analisa dados de segurança da informação da agência;
desenvolve e realiza avaliações operacionais direcionadas, incluindo avaliações de • PPD-41
ameaças e vulnerabilidades; e procura e identifica ameaças e vulnerabilidades nos • Lei CISA de
sistemas de informação federais. 2018
• Coleta e gerencia centralmente as informações de incidentes do provedor de serviços FCEB e • FISMA (44
DHS/CISA ICT de acordo com a EO 14028. USC 3553(b))
• Fornece CTI para agências diretamente ou em escala. Ao compartilhar o CTI com • EO 14028
uma agência ou várias agências, o CISA se comunicará com o SOC da agência e, (Seg. 2,6)
dependendo da gravidade, poderá incluir o CISO da agência junto com POCs • NCIRP
adicionais que a agência designou explicitamente para a troca de informações.
• Comunica-se com as agências FCEB afetadas para entender a natureza do incidente

cibernético ou vulnerabilidade.
• Divulga inteligência e informações aprendidas durante a resposta de RI a outras
agências federais para conscientização e defesa informada sobre ameaças.
• Ao compartilhar em escala, a CISA publica em cisa.gov (comohttps://us- cert.cisa.gov/ncas/
alerts). Informações muito sensíveis para publicar são distribuídas
TLP: BRANCO

TLP: BRANCO

Organização
através de caminhos alternativos no espaço FCEB, como a chamada SOC semanal
da agência, HSDN ou redes classificadas.
• Hospeda a chamada de coordenação de incidentes da agência FCEB. Fornece recomendações sobre
ações, dados a serem coletados/verificados.
• Aconselha o FCEB sobre os recursos disponíveis para auxiliar na resposta, incluindo
CISA, FBI, NSA e entidades terceirizadas.
• Mediante solicitação, fornecer análise, perícia e outra assistência técnica à agência
FCEB afetada. Os serviços de cibersegurança disponíveis podem ser
encontrados na página 18 do catálogo de serviços CISA.43
• Fornece webinars informativos para educar as agências FCEB sobre ameaças
cibernéticas e mitigações direcionadas.
• Revisa e valida a resposta a incidentes da agência FCEB e os resultados de
correção após a conclusão da resposta a incidentes.
• Agência líder para atividades de resposta a ameaças.

• Investigação de aplicação da lei, forense e atividades de mitigação para
apoiar a interdição do agente da ameaça. • PPD-41
• Forneça atribuições que possam levar ao compartilhamento de informações.
• NCIRP
DOJ/FBI/NCIJTF • Outro LE
• Divulga inteligência e informações apreendidas durante o atendimento aos
autoridades
Órgãos da FCEB.
• Investigação de ocorrências do órgão FCEB que possam ter nexo criminal.
• Compartilhe inteligência, incluindo atribuições.
• Coordena com a CISA para resposta cibernética, conforme orientado pelas Diretrizes de
Notificação de Incidentes Federais da CISA e pelo manual de RI.
• Fornece notificação adicional ao OMB, OFCIO, Congresso, OIG, se • PPD-41
aplicável.
• Lei CISA de
• Relata o incidente à aplicação da lei, conforme apropriado.
• Notifica as partes interessadas sobre as ações que precisam tomar.
2018
• Fornece indicadores de ameaças cibernéticas com contexto associado disponível, • Federal
para incluir TTPs associados, se disponíveis, e medidas defensivas recomendadas Incidente
para CISA e parceiros de compartilhamento. Notificação
Agência FCEB • Permite o acesso e auxilia respondentes de incidentes de terceiros quando solicitado pela Diretrizes
CISA. (FING)
• Fornece informações de rede e log do sistema (incluindo logs do provedor de TIC) para a CISA
• FISMA (44
mediante solicitação de acordo com EO 14028, Seção 8.
USC 3553(b))
• Manter a continuidade dos negócios e das operações.
• Cumprir os requisitos legais e regulamentares. • EO 14028
• Envolva-se em comunicações com funcionários ou outros indivíduos afetados. (Seg. 2,6)
• Conduza a resposta a incidentes dentro do FCEB e seus subcomponentes, garantindo que o SOC
em nível de agência tenha controle operacional das atividades de resposta a incidentes.
• Relate incidentes cibernéticos às agências da FCEB e reporte diretamente à CISA ao

fazê-lo.
• Colete e preserve dados, informações e relatórios relevantes para prevenção, detecção,
Serviço TIC
resposta e investigação de eventos de segurança cibernética em todos os sistemas de • EO 14028
informação sobre os quais eles têm controle, incluindo sistemas operados em nome de
Provedores (Seção 2)
agências da FCEB.
• Compartilhe dados, informações e relatórios conforme estabelecido na EO 14028,
seção 2.
• Colaborar com segurança cibernética federal ou agências de investigação em
suas investigações e respostas a incidentes ou possíveis incidentes em
TLP: BRANCO

TLP: BRANCO

Organização
Federal Information Systems (FIS), incluindo a implementação de recursos técnicos,
como redes de monitoramento de ameaças em colaboração com as agências que
apoiam, conforme necessário.
Segurança nacional
• Coordena o Grupo de Coordenação Unificada Cibernética (UCG): o mecanismo de
coordenação de parceiros interagências e do setor privado para tomar ações de resposta
• PPD-41
Conselho (NSC)
imediata a um incidente cibernético de gravidade e escala específicas.
• Agência líder para suporte de inteligência e atividades relacionadas.

• Forneça relatórios classificados de ameaças sobre adversários cibernéticos e outros tópicos de
segurança nacional.
• Coordena a coleta de informações. • PPD-41
ODNI/CTIIC • Fornece atribuição. • NCIRP
• Fornece consciência situacional, compartilhamento de informações de inteligência
relevantes, análise integrada de tendências de ameaças, eventos e suporte a esforços
interagências para desenvolver opções para degradar ou mitigar as capacidades de
ameaças adversárias.
• Pátria
• O suporte de resposta a incidentes pode vir da CISA, de outras entidades Lei de Segurança (6
governamentais (como FBI, NSA) ou fornecedores comerciais mediante solicitação USC 659)
Terceiro • Federal
da agência ou da CISA
Suporte de análise Rede
• Os serviços de segurança cibernética CISA disponíveis podem ser encontrados na página 18 no
Autorização
Catálogo de serviços CISA.44
(FNA)
• Fornecer suporte de inteligência em resposta a incidentes

cibernéticos e vulnerabilidades. • EO 12333
Segurança nacional • Fornece informações de atribuição. • NSD-42
Agência (NSA) • Fornece suporte técnico mediante solicitação. • PPD-41
• Fornece resposta a ameaças, resposta a ativos e suporte de inteligência para
NSS/outros sistemas.
TLP: BRANCO

Cybersecurity Incident &amp; Vulnerability Response Playbook

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Cybersecurity Incident &amp; Vulnerability Response Playbook

Enviado por

Direitos autorais:

Formatos disponíveis

Traduzido do Inglês para o Português - www.onlinedoctranslator.

Procedimentos Operacionais para Planejamento e Condução de

Agência de Segurança Cibernética e Infraestrutura

Preparação................................................. ................................................ ......................................... 21

Identificação ................................................. ................................................ ................................ 22

Apêndice C: Lista de Verificação de Preparação de Resposta a Incidentes ....................................... ............................. 35

Apêndice E: Vulnerabilidade e Categorias de Incidentes ....................................... ......................................... 38

Apêndice F: Texto original.............................................. ................................................ ...................... 39

CISA | Agência de Segurança Cibernética e Infraestrutura2

Os processos e procedimentos padronizados descritos nestes playbooks:

• Facilitar uma melhor coordenação e uma resposta eficaz entre as

1Ordem Executiva (EO) 14028: Melhorando a Cibersegurança da Nação

CISA | Agência de Segurança Cibernética e Infraestrutura3

3Comitê de Sistemas de Segurança Nacional

4EO 14028, Sec. 2.Removendo barreiras ao compartilhamento de informações sobre ameaças

CISA | Agência de Segurança Cibernética e Infraestrutura4

MANUAL DE RESPOSTA A INCIDENTES

(NIST).5incluindo preparação, detecção e análise, Por exemplo:

credenciais, exfiltração de dados

• Relatório de usuário da agência • Usuários que clicam em e-mails de phishing sem

Processo de Resposta a Incidentes

CISA | Agência de Segurança Cibernética e Infraestrutura5

Figura 1: Processo de Resposta a Incidentes

• Documentar e compreender políticas e procedimentos para resposta a incidentes

• Ter infraestrutura para lidar com incidentes complexos, incluindo comunicações

CISA | Agência de Segurança Cibernética e Infraestrutura6

8NIST SP 800-92: Guia para gerenciamento de logs de segurança de computadores

9E0 14028, Sec. 8.Melhorando as capacidades de investigação e remediação do governo federal

CISA | Agência de Segurança Cibernética e Infraestrutura7

podem aproveitar diferentes infraestruturas contra Defesa Ativa

• Segmentar e gerenciar sistemas SOC

12Compartilhamento automatizado de indicadores CISA

CISA | Agência de Segurança Cibernética e Infraestrutura8

Infraestrutura técnica Aproveite a inteligência de ameaças para criar regras e

coletar evidências forenses, como imagem de disco e exfiltração de dados, etc.

memória ativa, e meios para lidar com malware com

CISA | Agência de Segurança Cibernética e Infraestrutura 9

Atividades de Detecção e Análise

• Um sistema de detecção automatizado ou sensor; Realizar Análise Técnica

15NIST SP 800-61 Rev. 2: Guia de tratamento de incidentes de

CISA | Agência de Segurança Cibernética e Infraestrutura10

particularmente importante na identificação de resposta em andamento, identifique quaisquer sistemas, dispositivos

CISA | Agência de Segurança Cibernética e Infraestrutura11

Perguntas-chave a serem respondidas

• Como o adversário está acessando o ambiente?

• O adversário está explorando vulnerabilidades para obter acesso ou privilégio?

• Como o adversário mantém o comando e o controle?

• O ator tem persistência na rede ou dispositivo?

Tabela 1: Exemplos de táticas, técnicas e dados relevantes de registro e evento do adversário

tática Técnicas Comuns Fontes de registro e eventos Indicadores

Servidores de phishing, redirecionamento e

Logs de eventos do host, logs de

Manipulação de conta [T1098 ], Tarefa/

Incompatibilidade de usuários e aplicativos/

Força Bruta [T1110 ], Modifique o Registros de autenticação,

Firewall, Proxy Web, DNS,

Exfiltração sobre o canal C2 [ Firewall, Proxy Web, DNS,

CISA | Agência de Segurança Cibernética e Infraestrutura12

incidentes e a assistência na busca. Ao buscar assistência

CISA | Agência de Segurança Cibernética e Infraestrutura13

As principais atividades de contenção incluem:

• Qualquer impacto na coleta, preservação, • Bloqueio (e registro) de acessos não

CISA | Agência de Segurança Cibernética e Infraestrutura14

• Desenvolvimento de cenários de resposta para o uso de

Cybersecurity Incident & Vulnerability Response Playbook

Cybersecurity Incident & Vulnerability Response Playbook