Página 1 de 18

OSMANY D. R. ARRUDA

THREAT HUNTING & INCIDENT RESPONSE

AULA 06
PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800
ti.antoniojunior@gmail.com
 Página 2 de 18

SUMÁRIO

O QUE VEM POR AÍ?............................................................................................... 3

HANDS ON................................................................................................................ 4
SAIBA MAIS............................................................................................................... 5
O QUE VOCÊ VIU NESTA AULA?...........................................................................15
REFERÊNCIAS.........................................................................................................16

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 3 de 18

O QUE VEM POR AÍ?

Nesta aula, abordaremos as principias características das metodologias mais

amplamente adotadas para tratamento e resposta a incidentes cibernéticos; entre
elas, as disponibilizadas pelo NIST e pelo SANS. Tais metodologias poderão contribuir
para que o time de resposta a incidentes seja mais eficiente e assertivo.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 4 de 18

HANDS ON

Neste Hands On, teremos uma conversa entre os professores Osmany Arruda
e Rodrigo Monteiro, abordando alguns dos principais aspectos relacionados às
metodologias mais difundidas para tratamento e resposta a incidentes cibernéticos.

Figura 1 – NIST SP800-61

Fonte: Matrix NDI (2023)

De maneira geral, pode-se dizer que as metodologias para resposta a

incidentes cibernéticos consistem em conjuntos de diretrizes, procedimentos e
práticas recomendadas que orientam os times de resposta a incidentes para detecção,
mitigação e resolução de incidentes de segurança cibernética. Embora existam
diferentes metodologias abordando esse tema, algumas são bastante similares, já que
todas partem das mesmas premissas básicas. Porém, elas se complementam, dando
maior profundidade ou enfoque diferenciado aos tópicos abordados.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 5 de 18

SAIBA MAIS

Abordaremos agora alguns dos principais frameworks direcionados à resposta

a incidentes, iniciando pelo NIST Computer Security Incident Handling Guide.

NIST Computer Security Incident Handling Guide e o SANS

O NIST Computer Security Incident Handling Guide é uma referência largamente

utilizada pelos times de resposta a incidentes. Foi desenvolvida e é mantida pelo
National Institute of Standards and Technology (NIST) e oferece um conjunto
abrangente de diretrizes, já mundialmente validadas, para apoiar os times de resposta
a incidentes na detecção, mitigação, recuperação e construção de conhecimento a
partir dos incidentes de segurança cibernética nos quais atuaram. Alguns dos
principais aspectos desta referência, são:

a. Estrutura em fases:

1. Preparação: criação de planos, políticas e procedimentos para resposta a

incidentes e o treinamento dos times de RI.

2. Identificação: fase na qual os times detectam e classificam os incidentes

cibernéticos.

3. Contenção: tem como objetivo impedir a evolução do incidente e limitar o

impacto causado por ele.

4. Erradicação: tem como objetivo a extinção completa das ameaças e

vulnerabilidades que possibilitaram o incidente.

5. Recuperação: tem como objetivo a restauração dos principais sistemas e

serviços impactados pelo incidente, a fim de restaurar operações e
processos de negócio essenciais.

6. Lições aprendidas: nesta fase, o time de resposta a incidentes avalia o

ocorrido a fim de identificar e recomendar melhorias e atualizações às
políticas e procedimentos de segurança.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 6 de 18

b. Classificação de Incidentes

O NIST Computer Security Incident Handling Guide oferece diretrizes para

classificação de incidentes considerando sua gravidade e impacto, ajudando assim a
priorizar a resposta.

c. Grau de detalhamento

Cada uma das fases anteriormente citadas é adequadamente detalhada, contendo

recomendações sobre possíveis ações a serem tomadas, ferramentas que poderão
ser utilizadas e melhores práticas aplicáveis.

d. Documentação

O documento enfatiza a relevância da devida documentação de todos os aspectos

referentes à resposta ao incidente, incluindo coleta de evidências, ações tomadas e
resolução final.

e. Comunicações

O documento oferece importantes orientações acerca de como lidar com a

comunicação interna e externa durante um incidente, incluindo as partes a serem
notificadas.

f. Exercícios e Treinamento

O documento incentiva a realização de simulações e treinamentos regularmente,

a fim de garantir que os times de resposta a incidentes estejam aptos a lidar com
ocorrências reais.

g. Referências e Recursos adicionais

O NIST Computer Security Incident Handling Guide traz uma série de referências
e recursos adicionais, que podem ser consultados para obtenção de informações mais
completas acerca de tópicos específicos.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 7 de 18

h. Alinhamento com Outros Frameworks

O documento é desenvolvido para ser compatível com outras estruturas e

normas, como o NIST Cybersecurity Framework e a ISO/IEC 27035.

As propostas do NIST e do SANS são muito próximas e compartilham das

mesmas fases, apenas são agrupadas de forma levemente diferenciada. O quadro 1
indica o agrupamento de cada fase praticada por cada entidade.

Frameworks

NIST SANS

1. Preparação 1. Preparação

2. Detecção e análise 2. Identificação

3. Contenção, 3. Contenção

Erradicação e 4. Erradicação

Recuperação 5. Recuperação

4. Atividades pós-incidente 6. Lições aprendidas

Quadro 1 – Comparativo NIST vs. SANS

Fonte: elaborado pelo autor (2023)

ISO/IEC 27035

A ISO/IEC 27035 é uma norma internacional que apresenta diretrizes e boas

práticas para a gestão de incidentes de segurança da informação, tendo como objetivo
auxiliar as organizações a estabelecer, implementar, operar, monitorar, revisar,
manter e melhorar seus processos para tratamento de incidentes de segurança da
informação. Ela tem uma abordagem abrangente e é uma referência importante para
organizações que buscam estabelecer processos de resposta a incidentes
cibernéticos eficazes.

A ISO/IEC 27035 é uma pequena família composta por dois documentos:

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 8 de 18

• ISO/IEC 27035-1: aborda a gestão de incidentes de segurança da

informação e fornece diretrizes gerais para o processo de tratamento de
incidentes, incluindo o planejamento e a coordenação.

• A ISO/IEC 27035-2: aborda as diretrizes para a implementação do processo

de tratamento de incidentes.

Essa norma enfatiza a importância da classificação dos incidentes tomando

como referência a severidade e o impacto decorrente deles, a fim de possibilitar a
adequada priorização no processo de resposta. Ela descreve um ciclo de vida de
tratamento de incidentes que inclui as fases Preparação, Identificação, Avaliação,
Resposta, Revisão e Comunicação.

Cada uma delas é adequadamente detalhada e provida de orientações sobre

as atividades recomendadas, os critérios de conclusão e os resultados esperados.
Entre outros aspectos, esta norma aborda a necessidade de comunicação eficaz
durante todo o processo de tratamento de incidentes, incluindo a notificação das
partes interessadas relevantes e abordando também a documentação e os relatórios
necessários durante o tratamento deles.

Ela pode, também, ser utilizada conjuntamente com outras normas e padrões
de segurança da informação, a exemplo da ISO/IEC 27001 (gestão de segurança da
informação) e a ISO/IEC 27002 (código de práticas para controles de segurança).

CERT/CC (Computer Emergency Response Team/Coordination Center)

O CERT/CC é uma das organizações mais antigas e respeitadas no segmento

de segurança cibernética; ele foi fundado no final dos anos 1980 como parte do
Software Engineering Institute (SEI) da Universidade Carnegie Mellon. Sua longa
história e experiência o tornam uma fonte confiável de orientações.

O processo do CERT/CC é amplamente adotado por organizações, tanto no

setor público quanto no privado, em todo o mundo, abrangendo todas as fases do ciclo
de vida de resposta a incidentes, desde a preparação inicial até as lições aprendidas
ao final da resolução de um incidente. Isso garante que as organizações tenham um
roteiro completo para lidar com incidentes de segurança cibernética.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 9 de 18

Forum of Incident Response and Security Teams (First.org)

O FIRST.org (Forum of Incident Response and Security Teams) Best Practices é

um conjunto de diretrizes e melhores práticas destinadas aos times de resposta a
incidentes cibernéticos e equipes de segurança da informação, uma organização
global que reúne times de resposta a incidentes de todo o mundo para colaborar na
resposta a ameaças cibernéticas e incidentes de segurança.

Entre outras publicações, a entidade disponibiliza a FIRST Best Practice Guide Library
(BPGL), que tem como objetivo ajudar os membros das equipes FIRST e o público
em geral a configurar seus sistemas de forma segura, fornecendo modelos de
configuração e orientações de segurança.

Figura 2 – Página inicial do First

Fonte: Forum of Incident Response and Security Teams (2023)

Algumas das principais características do FIRST.org Best Practices são:

1. Colaboração global: o FIRST é uma organização global que reúne times de

resposta a incidentes e especialistas em segurança cibernética de todo o
mundo. As melhores práticas são o resultado da colaboração e
compartilhamento de experiências entre estes times.

2. Diretrizes Abertas e Compartilhadas: as melhores práticas do FIRST são

disponibilizadas para a comunidade de segurança cibernética como um recurso
aberto. Isso permite que organizações de todos os tamanhos e setores
acessem e utilizem as diretrizes.

3. Ampla Cobertura: as melhores práticas abordam uma ampla gama de tópicos

relacionados à resposta a incidentes e segurança da informação, desde a
detecção e mitigação de ameaças até a gestão de incidentes cibernéticos.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 10 de 18

4. Flexibilidade e Adaptação: as diretrizes do FIRST são concebidas para serem

flexíveis e adaptáveis às necessidades específicas de cada organização. Elas
não são prescritivas, mas fornecem orientações que podem ser
personalizadas.

5. Ênfase na Comunicação: a comunicação eficaz é uma característica

importante das melhores práticas do FIRST. Elas incentivam a colaboração e
a troca de informações entre times de resposta a incidentes e partes
interessadas.

As melhores práticas do FIRST.org abrangem uma ampla gama de tópicos

altamente relevantes, como:

• Preparação para incidentes cibernéticos.

• Identificação e classificação de incidentes.

• Coleta de evidências e preservação de dados.

• Comunicação com partes interessadas internas e externas.

• Contenção e erradicação de ameaças.

• Recuperação e restauração de sistemas afetados.

• Análise pós-incidente e lições aprendidas.

Um exemplo de boas práticas disponibilizada pelo FIRST é o CSIRT Case

Classification (Example for Enterprise CSIRT). É fundamental que o CSIRT (Computer
Security Incident Response Team, ou Time de resposta a incidentes e segurança
informática, em português) forneça a seus clientes respostas consistentes e
oportunas, tratando adequadamente de informações confidenciais.

O documento do FIRST, referido anteriormente, fornece as diretrizes

necessárias para que Gerentes de Incidentes (Incident Managers - IM) do CSIRT
classifiquem a categoria do caso, o grau de severidade e o nível de sensibilidade de
cada caso do CSIRT. Tais informações serão inseridas no Sistema de Rastreamento
de Incidentes (Incident tracking system - ITS) quando um caso for criado.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 11 de 18

A classificação consistente dos casos é necessária para que o CSIRT forneça

relatórios precisos à gerência regularmente. Ainda, as classificações fornecerão aos
IMs do CSIRT os procedimentos adequados para o tratamento de casos e formarão a
base dos SLAs (service level agreement) entre o CSIRT e outros departamentos da
empresa.

A figura 3 informa as categorias nas quais os incidentes gerenciados pelo

CSIRT devem ser enquadrados, de acordo com o FIRST.

Figura 3 – Categorias dos incidentes

Fonte: Forum of Incident Response and Security Teams (2023)

Após a categorização do incidente, ele deverá ser classificado de acordo com

sua criticidade. A Matriz de criticidade, parcialmente representada na figura 4, define
o tempo mínimo de resposta ao cliente e os requisitos de comunicação contínua para
um caso. O nível de criticidade deve ser introduzido no STI quando um caso é criado
e não deve ser alterado em nenhum momento durante o ciclo de vida do caso, exceto
se tiver sido classificado incorretamente. Normalmente, cabe ao IM determinar o grau
de criticidade; entretanto, em alguns casos, será adequado que este trabalhe
conjuntamente com o cliente para determinar o nível de criticidade.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 12 de 18

Figura 4 – Matriz de criticidade

Fonte: Forum of Incident Response and Security Teams (2023)

Por fim, o grau de sensibilidade do incidente deverá ser avaliado com base na
figura 5. O FIRST recomenda que o IM sempre aplique o princípio da “Necessidade
de saber”, a fim de garantir que somente o necessário em relação ao incidente seja
divulgado para cada interessado.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 13 de 18

Figura 5 – Classificação de sensibilidade

Fonte: Forum of Incident Response and Security Teams (2023)

Embora não seja uma metodologia para resposta a incidentes, vale a pena
ressaltar aqui a relevância das atividades pós-incidente, uma vez que envolvem uma
revisão detalhada do ocorrido e sua resolução. Uma análise pós-incidente tem como
principais objetivos:

1. Identificação de causas e origens do incidente, ou seja, das

vulnerabilidades e ameaças que possibilitaram que o incidente ocorresse.
Isso pode ajudar a evitar futuros incidentes semelhantes.

2. Avaliar a Resposta, ou seja, como o time de resposta a incidentes lidou

com a ocorrência: a eficácia das ações tomadas, o tempo de resposta e a
coordenação entre as equipes, entre outros indicadores.

3. Lições aprendidas, ou seja, o que foi aprendido com a experiência,

destacando-se o que funcionou bem e o que pode ser aprimorado para o
futuro.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 14 de 18

4. Revisão de políticas e procedimentos como parte de um processo de

melhoria contínua.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 15 de 18

O QUE VOCÊ VIU NESTA AULA?

Nesta aula, apresentamos as principais metodologias para resposta a

incidentes utilizadas pelo mercado. Vale reforçar que estas não são normas técnicas
nem regulatórias, mas, essencialmente, direcionamentos oferecidos por renomadas
instituições, mundialmente reconhecidas pela qualidade de seu trabalho e expertise.

Dada a amplitude do assunto, sugere-se a leitura detida e completa das

referências fornecidas, dentre outras fontes confiáveis de informação.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 16 de 18

REFERÊNCIAS

DICKERSON, R. Incident Management 101 Preparation and Initial Response (aka

Identification). 2005. Disponível em: <https://www.sans.org/white-papers/1516/>.
Acesso em: 28 nov. 2023.

FIRST. FIRST Best Practice Guide Library (BPGL). 2023. Disponível em:
<https://www.first.org/resources/guides/>. Acesso em: 28 nov. 2023.

ISO. ISO/IEC 27035-1:2023 - Information technology — Information security

incident management - Principles and process. 2023. Disponível em:
<https://www.iso.org/standard/78973.html>. Acesso em: 28 nov. 2023.

ISO. ISO/IEC 27035-2:2016 - Information technology — Information security

incident management - Guidelines to plan and prepare for incident response.
2016. Disponível em: <https://www.iso.org/standard/62071.html>. Acesso em: 28 nov.
2023.

MATRIX NDI. The NIST Cybersecurity Framework. 2023. Disponível em:

<https://www.matrix-ndi.com/resources/the-nist-cybersecurity-framework>. Acesso
em: 29 nov. 2023.

NIST. Computer Security Incident Handling Guide – Special Publication 800-

61r2. National Institute of Standards and Technology (NIST). 2012. Disponível em:
<https://doi.org/10.6028/NIST.SP.800-61r2>. Acesso em: 28 nov. 2023.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 17 de 18

PALAVRAS-CHAVE

Palavras-chave: Incidente. Segurança. Resposta. Metodologia. Framework.

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com
 Página 18 de 18

PDF exclusivo para Antonio Carlos Ferreira Araujo Junior - rm349800

ti.antoniojunior@gmail.com