Resposta A Incidentes

RESPOSTA A INCIDENTES
Esse documento tem como função principal mostrar as etapas de uma resposta a incidentes seguindo o
método SANS - (System Administration, Networking and Security) e alguns exemplos de ações feitas
em cada passo do tratamento. A resposta a incidentes é toda medida adotada por uma empresa para
solucionar e gerenciar problemas de segurança, como vazamentos de dados e cyber ataques. O
objetivo é que essa abordagem seja rápida para conter a situação, minimizando os custos e
reduzindo o tempo de recuperação dos danos.
Fluxo de Resposta a incidentes
IDENTIFICAÇÃO CONTENÇÃO ERRADICAÇÃO RECUPERAÇÃO
PREPARAÇÃO REVISÃO
A Resposta a incidentes baseado no modelo SANS consiste em 6 passos são eles:
1- Preparação, 2- Identificação, 3- Contenção, 4- Erradicação, 5- Recuperação, 6- Revisão.
1 - Preparação
Treinar a equipe para garantir que a resposta a incidentes funcione, e que cada pessoa
saiba as funções e ações que devem ser tomadas durante um incidente de segurança.
Treinamentos mensais com laboratórios e situações de ataques reais simulados em

ambiente controlado, ajuda a equipe entender o cenário e saber como será tratado um
incidente real caso aconteça.
Reuniões semanais para alinhamento da equipe apresentando suas funções, planos de

melhorias e analise de relatórios de ações preventivas e corretivas feitas nos clientes, afim
de assegurar que todos os analistas estejam inteirados.
Criar modelo de documentação de registro de incidentes contendo o histórico das ações

tomadas para a contenção do incidente. Afim de tê-lo disponível para consulta.
2 - Identificação
Coletar o máximo de informações com o auxilio de ferramentas, sistemas e fontes

confiáveis, afim de confirmar se o evento é um incidente e identificar que tipo de ataque
foi ou esta sendo realizado. Assim sendo necessário a criação de um plano de ação para o
tratamento da ameaça.
O colaborador que identificar o incidente deverá, comunicar ao gestor imediato e acionar

o Analista que está de Plantão, ou o time de resposta a incidentes.
Coletar e analisar os logs utilizando ferramentas confiáveis como SIEM, ANALYZER ou o

Firewall, logs de servidores.
Validar a ameaça e identificar o tipo, o tempo e a origem do ataque.
Criar ou seguir um plano de ação contendo, ações a serem tomadas, sala de comunicação,
planejamento e responsáveis por cada detalhe, comunicação com o cliente para informar
a gravidade do incidente e estabelecer prazos para follow ups sobre o ocorrido e o status.
3 - Contenção
Ações reativas de curto prazo afim de isolar a ameaça ou o agente malicioso evitando
que mesmo afete outros sistemas, ou um desligamento coordenado dos dispositivos ou
sistemas afetados.
Desligamento coordenado de dispositivos ou sistemas afetados, afim de isolar a ameaça

ou o agente malicioso, para evitar que o mesmo se propague na rede.
Bloqueio de acessos a rede ou aos sistemas, IPs maliciosos, neutralizar de backdoors,

encerrar conexões externas, desviar requisições utilizando uma estratégia de blackhole
routing ou modificar as configurações de protocolos de rede.
Limpeza de arquivos maliciosos utilizando o antivírus, ou ferramentas para inspeção de

arquivos ou sandbox.
4 - Erradicação
Após descobrir a ameaça, é necessário garantir a remoção por completo da ameaça dos
sistemas afetados.
Garantir que a causa raiz foi tratada, assim removendo os vestígios da ameaça.
Verificar se o ataque não afetou mais de um sistema ou dispositivo no caso de WORMS.
Verificar se as cópias de segurança, credenciais ou banco de dados foram comprometidos.
5 - Recuperação
Após testes e validações confirmando que a ameaça foi contida, os sistemas podem ser
restaurados ao estado operacional.
Restaurar cópias de segurança armazenadas após verificação das mesmas.

Restaurar e garantir que os sistemas e dispositivos voltem ao seu estado normal assim
garantindo a disponibilidade.
6 - Revisão
Depois que o incidente de segurança é resolvido, a equipe de resposta a incidentes deve

garantir que todas as informações que possam ajudar no futuro sejam documentadas.
Isso inclui a manutenção de um relatório completo de incidentes e a execução de uma
fase de monitoramento pós incidente.
Preencher o documento de histórico de ocorrência, afim de uma posterior consulta na

fase de preparação.
Monitoramento pós incidente, assim garantindo que a ameaça foi mitigada e que não há
nenhum vestígio da mesma.
Preencher o relatório de ações tomadas para ser enviado para o cliente junto com
recomendações técnicas preventivas, afim de prevenir um futuro ataque.
Considerações finais
É de suma importância adotarmos um plano bem elaborado e adequado para resposta a

incidentes, isso nos ajudará a manter a lucidez em meio a uma situação de crise e mudará a forma
como nós estamos olhando os nossos clientes hoje, assim trazendo confiabilidade ao trabalho de
monitoração voltado para segurança.

Resposta A Incidentes

Enviado por

Direitos autorais:

Formatos disponíveis

Resposta A Incidentes

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Resposta A Incidentes

Enviado por

Direitos autorais:

Formatos disponíveis

RESPOSTA A INCIDENTES

Fluxo de Resposta a incidentes

IDENTIFICAÇÃO CONTENÇÃO ERRADICAÇÃO RECUPERAÇÃO

A Resposta a incidentes baseado no modelo SANS consiste em 6 passos são eles:

1- Preparação, 2- Identificação, 3- Contenção, 4- Erradicação, 5- Recuperação, 6- Revisão.

Treinamentos mensais com laboratórios e situações de ataques reais simulados em

Reuniões semanais para alinhamento da equipe apresentando suas funções, planos de

Criar modelo de documentação de registro de incidentes contendo o histórico das ações

Coletar o máximo de informações com o auxilio de ferramentas, sistemas e fontes

O colaborador que identificar o incidente deverá, comunicar ao gestor imediato e acionar

Coletar e analisar os logs utilizando ferramentas confiáveis como SIEM, ANALYZER ou o

Validar a ameaça e identificar o tipo, o tempo e a origem do ataque.

Desligamento coordenado de dispositivos ou sistemas afetados, afim de isolar a ameaça

Bloqueio de acessos a rede ou aos sistemas, IPs maliciosos, neutralizar de backdoors,

Limpeza de arquivos maliciosos utilizando o antivírus, ou ferramentas para inspeção de

Verificar se o ataque não afetou mais de um sistema ou dispositivo no caso de WORMS.

Verificar se as cópias de segurança, credenciais ou banco de dados foram comprometidos.

Restaurar cópias de segurança armazenadas após verificação das mesmas.

Depois que o incidente de segurança é resolvido, a equipe de resposta a incidentes deve

Preencher o documento de histórico de ocorrência, afim de uma posterior consulta na

É de suma importância adotarmos um plano bem elaborado e adequado para resposta a

Você também pode gostar