Página 1 de 19

OSMANY D. R. ARRUDA

THREAT HUNTING & INCIDENT RESPONSE

AULA 04
PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800
ti.antoniojunior@gmail.com
 Página 2 de 19

SUMÁRIO

O QUE VEM POR AÍ?............................................................................................... 3

HANDS ON................................................................................................................ 4
SAIBA MAIS............................................................................................................... 6
O QUE VOCÊ VIU NESTA AULA?.............................................................................7
REFERÊNCIAS.........................................................................................................17

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 3 de 19

O QUE VEM POR AÍ?

Nesta aula, abordaremos os principais aspectos relacionados ao

gerenciamento de incidentes de segurança, prática essencial para empresas que
desejam reduzir downtimes decorrentes de incidentes cibernéticos e melhorar os
serviços prestados a clientes, entre outros benefícios.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 4 de 19

HANDS ON

Neste Hands On, teremos uma conversa entre os professores Osmany Arruda
e Rodrigo Monteiro, abordando alguns dos principais aspectos relacionados ao
gerenciamento de incidentes de segurança.

Figura 1 – Ciclo de gerenciamento a incidentes

Fonte: Inosas (2021)

Em um relatório publicado em 11 de agosto de 2022 intitulado “Estatísticas e

tendências de segurança cibernética”, a Varonis, renomada empresa do segmento de
segurança cibernética, trouxe importantes estatísticas relacionadas ao cenário de
incidentes cibernéticos. Entre elas, podemos destacar:

• 95% das violações de segurança cibernética são causadas por erro

humano (Fórum Econômico Mundial).

• 54% das empresas dizem que seus departamentos de TI não são

sofisticados o suficiente para lidar com ataques cibernéticos avançados
(Sophos).

• A fadiga cibernética, ou apatia para se defender proativamente contra

ataques cibernéticos, afeta até 42% das empresas (Cisco).

• Em 2021, quase 40% das violações apresentavam phishing, cerca de 11%

envolviam malware e cerca de 22% envolviam hackers (Verizon).

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 5 de 19

• Estima-se que 300 bilhões de senhas sejam usadas por humanos e

máquinas em todo o mundo (Cybersecurity Media).

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 6 de 19

SAIBA MAIS

De acordo com a ABNT NBR ISO/IEC 27001, a segurança da informação pode

ser simplificadamente definida como a preservação de três propriedades
fundamentais: confidencialidade, integridade e disponibilidade. Isso significa, em
termos gerais, que a informação deverá estar disponível somente quando necessário,
unicamente a quem for expressamente autorizado(a) a acessá-la, modificá-la e/ou
divulga-la. Assim, a ABNT NBR ISO/IEC 27002 define um incidente de segurança
como ocorrência única, ou uma série de eventos de segurança inesperados ou
indesejados, que tenha significativa probabilidade de comprometimento das
operações de negócios e de ameaçar a segurança da informação.

A segurança cibernética, por sua vez, está contida no universo contemplado

pela segurança da informação. É um segmento específico e focado nas ameaças
cibernéticas que podem comprometer a continuidade, mesmo que temporária, dos
negócios, das operações e/ou impactar negativamente a imagem corporativa da
instituição, entre outros pontos de atenção.

O gerenciamento de incidentes de segurança pode ser definido como o

processo de identificação, gerenciamento, registro e análise de ameaças ou
incidentes de segurança em tempo real. Ele busca oferecer uma visão robusta e
abrangente de todos os problemas de segurança em uma infraestrutura de TI.

O gerenciamento de incidentes de segurança cibernética visa (I) minimizar seu

impacto nos processos de negócio e (II) evitar que voltem a ocorrer. Para isso,
gerentes de incidentes devem primeiro identificar a causa do incidente e tomar
medidas para corrigi-la. Esses indivíduos também precisam garantir que os
procedimentos adequados estejam em vigor para evitar que os incidentes se repitam
(Bisson, 2021).

Dois frameworks bastante difundidos, tanto para resposta quanto para

gerenciamento de incidentes de segurança, são a Special Publication 800-61 ver.2,
disponibilizada pelo NIST (National Institute of Standards and Technology), e o
Incident Management 101 Preparation and Initial Response, do SANS (SysAdmin,
Audit, Network and Security. Essencialmente, os frameworks são muito semelhantes.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 7 de 19

Conforme pode ser observado no quadro 1, o SANS apenas aborda de forma

independente os três processos existentes na terceira fase do framework do NIST.

Fases da Resposta a Incidentes

NIST SANS

1. Preparação 1. Preparação

2. Detecção e análise 2. Identificação

3. Contenção, 3. Contenção

Erradicação e 4. Erradicação

Recuperação 5. Recuperação

4. Atividades pós-incidente 6. Lições aprendidas

Quadro 1 – Comparativo NIST vs. SANS

Fonte: elaborado pelo autor (2023)

Resumidamente, temos em cada fase do NIST:

1. Fase de preparação

Esta fase tem como foco o trabalho a ser desenvolvido pela empresa com o
objetivo de se preparar adequadamente para um incidente de segurança.

2. Detecção e análise

Nesta fase, o monitoramento do ambiente e de seus sistemas busca por sinais

que possam caracterizar um incidente real. Vetores de ataque devem ser
reconhecidos o mais rapidamente possível e, para tal, fontes que provenham logs
adequados e completos são fundamentais, sendo altamente recomendável seu devido
correlacionamento por meio de uma solução SIEM.

3. Contenção, Erradicação e Recuperação

Nesta fase, NIST e SANS propõem abordagens diferenciadas, porém iguais em

essência: de forma simplificada, podemos dizer que o NIST contempla as três frentes
citadas em uma fase única, enquanto o SANS aborda cada frente em uma fase
distinta.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 8 de 19

Em linhas gerais, a contenção tem como principais objetivos elaborar as

estratégias e executar as ações necessárias para impedir o avanço do incidente. Isto
feito, a ameaça deverá ser erradicada – também para minimizar a possibilidade de um
novo incidente semelhante – e, por fim, é feita a recuperação do(s) ativo(s)
impactado(s) e da operação.

É importante ressaltar que a recuperação citada remete à restauração das

condições operacionais mínimas necessárias para a continuidade dos principais
processos de negócio.

Não se deve entender que, nesta fase, os efeitos negativos causados pelo
ofensor serão totalmente revertidos e/ou remediados, pois essas não são atribuições
dos(as) profissionais responsáveis pela resposta ao incidente.

4. Atividades pós-incidente (NIST)/Lições aprendidas (SANS)

Nesta fase, será emitido um relatório documentando minuciosamente a

ocorrência, contendo, entre outros tópicos relacionados, (I) a descrição e cronologia
detalhadas dos fatos e acontecimentos, (II) o relato das ações empreendidas para
resposta ao incidente e (III) a determinação da causa raiz.

O gerenciamento de incidentes

O gerenciamento adequado de incidentes depende da criação e

implementação de políticas, planos e procedimentos que estejam alinhados e
aderentes a necessidades de negócios e realidade da empresa. Portanto, cada um
destes instrumentos deverá considerar, efetivamente, as particularidades de cada
instituição.

I. Elementos comuns das políticas para gerenciamento de incidentes

Reforçando o anteriormente colocado, o NIST aponta, em sua Special

Publication 800-61 ver.2, que as políticas que regerão a reposta a incidentes em uma
organização são altamente individualizadas. Entretanto, organizações distintas
costumam compartilhar alguns dos principais elementos aqui contemplados:

I.I Propósito e objetivos da política.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 9 de 19

I.II Escopo da política (a quem e ao que ela se aplica e sob quais

circunstâncias).

I.III Estrutura organizacional e definição de funções, responsabilidades e

níveis de autoridade. Deve incluir a autoridade da equipe de resposta a
incidentes para reter ou desconectar equipamentos e monitorar
atividades suspeitas, os requisitos para relatar determinados tipos de
incidentes e os requisitos e diretrizes para comunicações externas e
compartilhamento de informações.

I.IV Priorização ou classificação da severidade do incidente.

II. Elementos comuns dos planos para gerenciamento de incidentes

Ainda conforme a SP800-61 ver.2, as organizações devem ter uma abordagem

formal, focada e coordenada para responder a incidentes, incluindo um plano que
estabeleça o roteiro para implementação dos processos, ferramentas e tudo mais que
seja necessário para essa resposta. Entre outros, o plano de resposta a incidentes
deverá contemplar os seguintes elementos:

II.I Missão, estratégias e metas.

II.II Aprovação da alta direção.

II.III Cadeia de comunicação adequada interna e externa.

II.IV Métricas apuradas para determinar a capacidade e a efetividade de

resposta a incidentes.

O compartilhamento de informações com terceiros é um aspecto altamente

relevante para a resposta a incidentes. Neste sentido, o NIST (SP 800-61ver.2) aponta
como os principais terceiros (figura 2):

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 10 de 19

Figura 2 – Comunicação com terceiros

Fonte: National Institute of Standards and Technology (2012)

Algumas das recomendações para comunicação com terceiros contemplam:

1. A mídia: treinar adequadamente os indivíduos responsáveis pela interação

com a mídia quando ocorrerem incidentes cibernéticos, a fim de informar o
público de forma apropriada sem, entretanto, revelar ou transparecer
informações sigilosas, detalhes das contramedidas adotadas e/ou do incidente
que possam, de alguma forma, prejudicar a resposta ao incidente, aumentar a
exposição da instituição ou agravar o impacto à imagem corporativa.

2. Aspectos legais: as autoridades competentes deverão ser devidamente

notificadas, bem como ações adicionais deverão ser implementadas pela
organização, a fim de cumprir o disposto pelos dispositivos legais aplicáveis
vigentes.

3. Organizações de notificação de incidentes: as organizações são

encorajadas a relatar incidentes aos CSIRT’s apropriados. Se uma organização
não tiver seu próprio CSIRT, ela poderá relatar incidentes a outras
organizações. O Comitê de Estudos, Resposta e Tratamento de Incidentes de

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 11 de 19

Segurança no Brasil (CERT.BR) oferece recomendações para notificação de

incidentes de segurança em seu site.

4. Outros terceiros: eventualmente, pode ser conveniente que um recurso

devidamente capacitado e apto do time de resposta a incidentes interaja com
entidades externas. Entre elas, podemos citar provedores de acesso à internet
ou proprietários de blocos de endereços IP a partir dos quais o ataque tenha
se iniciado, a fim de que tomem ciência do ocorrido e colaborarem com sua
mitigação.

III. Elementos comuns dos procedimentos para gerenciamento de incidentes

De acordo com a SP800-61 ver.2, esses procedimentos devem se basear na

política e no plano de resposta a incidentes. Os procedimentos operacionais padrão
(SOP’s, Standard Operating Procedures) são um delineamento dos processos
técnicos específicos, técnicas, listas de verificação e formulários usados pelo time de
resposta a incidentes.

Os SOP’s devem ser adequadamente abrangentes e detalhados, garantindo

que as prioridades da organização sejam respeitas e atendidas. Eles deverão ter sua
usabilidade e exatidão devidamente comprovadas e, então, ser distribuídos para todos
os membros do time. A criação de respostas padronizadas poderá contribuir para
minimizar erros, especialmente em situações estressantes, decorrentes da tratativa
de incidentes em andamento.

Visão geral da estrutura dos times de resposta a incidentes

O time de reposta a incidentes deverá estar sempre disponível para qualquer

um que suspeite ou constate um incidente de segurança na organização, valendo-se
de seus recursos, na medida adequada, para a investigação da ocorrência e adoção
das contramedidas cabíveis, da forma mais ágil e eficaz possível. Ressalta-se, neste
contexto, a relevância da participação e cooperação de todos na organização.

Algumas das estruturas que os times de resposta a incidentes podem adotar

compreendem:

a. Centralizada: na qual um time de resposta a incidentes único é responsável

pela tratativa de todos os incidentes de segurança que ocorram na empresa. Este

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 12 de 19

modelo é adequado a organizações de pequeno porte ou com pouca dispersão de

seus recursos computacionais.

b. Distribuída: neste modelo, a organização dispõe de múltiplos times para

resposta a incidentes, cada um responsável por um segmento específico dela, lógico
ou físico. Este modelo é indicado para organizações de grande porte e/ou com alta
dispersão de recursos computacionais, como por exemplo distribuídos por estados
e/ou países diferentes.

c. Time de coordenação: é um time que oferece suporte e orientação a outros

times de resposta a incidentes sem, entretanto, exercer autoridade sobre eles.

d. Funcionários: os trabalhos relacionados a resposta a incidentes são

desenvolvidos pelos próprios funcionários da empresa, assistidos e administrados por
prestadores de serviços.

e. Parcialmente terceirizados: a organização terceiriza parte dos trabalhos de

resposta a incidentes. Embora esses trabalhos possam ser distribuídos de diferentes
formas entre a organização e uma ou mais empresas terceirizadas, algumas práticas
são comuns, como:

• A terceirização do monitoramento em regime 24x7 de firewalls, servidores

e ativos de redes, entre outros.

• Algumas organizações realizam o trabalho básico de resposta a incidentes

internamente, recorrendo aos prestadores de serviços para assisti-los em
casos de ocorrências mais graves ou generalizadas.

f. Totalmente terceirizados: a organização terceiriza integralmente os

trabalhos de resposta a incidentes, normalmente mantendo um prestador de serviços
on-site. Esse modelo pode ser adequado, por exemplo, quando a instituição precisa
de um time de resposta a incidentes permanentemente, porém não dispõe dos
recursos necessários.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 13 de 19

Processo para resposta a incidentes

A CISA (Cybersecurity and Infrastructure Security Agency) propõe um processo

padronizado para resposta a incidentes, tomando como referência o NIST SP 800-
61ver.2. O processo se inicia com a declaração do incidente, conforme mostrado na
figura 3.

Figura 3 – Processo para resposta a incidentes

Fonte: CISA (2021)

De forma resumida, a fase de Preparação define baselines para sistemas e

redes antes que um incidente venha a ocorrer, traçando os perfis da operação normal
e, desta forma, auxiliando na detecção de padrões e comportamentos suspeitos. A
fase de Detecção e Análise é uma das mais desafiadoras. Nela deverá ser
determinado se um incidente, efetivamente, ocorreu. Em caso afirmativo, deverão ser
apurados o tipo, a extensão, o grau de comprometimento dos ativos impactados e
outros aspectos relacionados. Alguns dos principais questionamentos a serem
respondidos nesta fase incluem:

• Qual o vetor de ataque inicial?

• O ofensor está obtendo acesso mediante exploração de vulnerabilidades?

• O ofensor está escalando privilégios?

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 14 de 19

• O ofensor criou algum mecanismo de persistência no ambiente?

• Há movimentação lateral suspeita?

O Mitre ATT&CK é uma ferramenta muito útil para auxiliar na determinação das
táticas, técnicas e procedimentos (TTP’s) utilizados por ofensores, ajudando a
identificar e mitigar mais rapidamente um ataque cibernético. Observe o quadro 1, que
traz alguns exemplos de TTP’s.

Quadro 1 – Exemplos de TTP’s

Fonte: CISA (2021)

A fase de Contenção é de alta prioridade para resposta ao incidente,

especialmente para os de maior severidade. O objetivo desta fase é evitar mais danos
e reduzir o impacto imediato do incidente por meio da contenção da ameaça. O
cenário específico determinará o tipo de estratégia de contenção a ser empregada.

A fase de Erradicação e Recuperação tem como principais objetivos a efetiva

erradicação da ameaça e a neutralização da ação dos vetores de ataque, seguida da

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 15 de 19

recuperação da capacidade operacional mínima do ambiente/ativo que viabilize a

continuidade de negócio. A fase Pós-incidente tem como objetivos documentar
detalhadamente toda a ocorrência e as lições aprendidas, bem como propor medidas
necessárias para que esse tipo de incidente não venha a ocorrer novamente, entre
outros.

Por fim, no processo proposto pela CISA, a fase de Coordenação é colocada

como fundamental para uma resposta a incidentes eficaz. Conforme originalmente
descrita no processo da CISA, essa fase é aplicável a instituições nos Estados Unidos
da América, uma vez que coloca que “É fundamental que a agência da FCEB (Federal
Civilian Executive Branch) que está sofrendo o incidente e a CISA se coordenem
desde o início e com frequência durante todo o processo de resposta”. Portanto, esta
fase deverá receber as devidas adaptações antes de ser implementada no Brasil.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 16 de 19

O QUE VOCÊ VIU NESTA AULA?

Nesta aula, você viu os fundamentos do gerenciamento de incidentes de

segurança, bem como o processo proposto pela CISA para tal. Recomenda-se a
leitura das referências disponibilizadas para maior aprofundamento no tema, pois ele
é bastante extenso.

Vale a pena reforçar que, como qualquer outro, o gerenciamento de incidentes

é um processo de melhoria contínua; portanto, deve ser permanentemente avaliado e
ajustado para que possa ser eficaz.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 17 de 19

REFERÊNCIAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC

27002:2005 – Tecnologia da informação – Técnicas de segurança – Código de
prática para a gestão da segurança da informação. Rio de Janeiro, 2005.

BERTOLLI, E. Estatísticas e tendências de segurança cibernética. 2022. Disponível

em: <https://www.varonis.com/pt-br/blog/estatisticas-e-tendencias-de-seguranca-
cibernetica>. Acesso em: 29 nov. 2023.

BISSON, D. What every incident response plan needs. 2021. Disponível em:
<https://securityintelligence.com/articles/what-every-incident-response-plan-needs/>.
Acesso em: 28 nov. 2023.

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA).

Cybersecurity Incident & Vulnerability Response Playbooks. 2021. Disponível em:
<https://www.cisa.gov/sites/default/files/publications/Federal_Government_Cybersec
urity_Incident_and_Vulnerability_Response_Playbooks_508C.pdf>. Acesso em: 28
nov. 2023.

INOSAS. What is Incident Management? 2021. Disponível em:

<https://www.inosas.com/what-is-incident-management/>. Acesso em: 29 nov. 2023.

ISO/IEC. ISO/IEC 27001:2005 - Information technology - Security techniques -

<Information security management systems – Requirements. Disponível em:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-1:v1:en>. Acesso em: 28 nov.
2023.

National Institute of Standards and Technology (NIST). Computer Security Incident

Handling Guide – Special Publication 800-61r2. 2012. Disponível em:
<https://doi.org/10.6028/NIST.SP.800-61r2>. Acesso em: 06 nov. 2023.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 18 de 19

PALAVRAS-CHAVE

Palavras-chave: Incidente. Segurança. Resposta. Gerenciamento.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 19 de 19

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com