⚡ Incident Response
responda a incidentes de segurança de forma rápida e eficiente
Segundo o IBM Cost of a Data Breach Report 2024, organizações levam em média 168 dias para detectar um incidente e mais 51 dias para contê-lo – mais de 6 meses de risco. Um plano de resposta estruturado é essencial para reduzir danos.
MTTD médio: 204 dias [7]
MTTR médio: 51 dias [1]
Custo médio: US$ 4,45 mi [7]
Redução de 40% com processos maduros [7]
NIST (SP 800-61)
- 1. Preparation
- 2. Detection & Analysis
- 3. Containment, Eradication & Recovery
- 4. Post-Incident Activity
⚡ Diferencial: visão cíclica e integrada; contenção, erradicação e recuperação podem ocorrer simultaneamente [4].
SANS
- 1. Preparation
- 2. Identification
- 3. Containment
- 4. Eradication
- 5. Recovery
- 6. Lessons Learned
📋 Diferencial: etapas mais granulares, facilita a criação de playbooks específicos [2][8].
As 4 fases do NIST Incident Response
🔧 1. Preparation
Objetivo: estar pronto antes do incidente [1][5].
Políticas e times definidos (CSIRT)
Ferramentas: EDR, SIEM, logs centralizados
Treinamentos e simulações (tabletop exercises)
Playbooks por tipo de ataque
Threat intelligence integrada [7]
🔍 2. Detection & Analysis
Objetivo: identificar e validar incidentes [2][5].
Monitoramento 24/7 (EDR, IDS, logs)
Correlação de eventos (SIEM)
Coleta de IOCs (indicadores de comprometimento)
Análise de tráfego e comportamento
Report de usuários (phishing, etc.)
⛔ 3. Contain, Eradicate, Recover
Objetivo: parar o dano, remover a ameaça e voltar à normalidade [1][3].
Isolar sistemas infectados (rede, conta)
Bloquear C2 e processos maliciosos
Remover malware, restaurar de backups limpos
Validar integridade antes de religar
Aplicar patches e lições
📚 4. Post-Incident Activity
Objetivo: aprender e melhorar [4][6].
Reunião de lessons learned
Análise de causa raiz
Atualizar playbooks e ferramentas
Gerar relatórios para compliance
Treinar equipe com base no ocorrido
Ações práticas imediatas (Windows/Linux)
Disable-NetAdapter -Name "Ethernet"
Isolar máquina da rede (PowerShell) [3]
Set-MsolUser -BlockCredential $true
Bloquear usuário comprometido (M365) [3]
Stop-Process -Name "malicioso" -Force
Matar processo suspeito [3]
reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Run"
Verificar persistência em registro [3]
Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4625}
Buscar falhas de login [3]
Start-MpScan -ScanType FullScan
Scan completo com Defender [3]
MTTD Mean Time to Detect
MTTR Mean Time to Respond
Recurrence incidentes repetidos
MTTC Time to Contain
7 dicas para uma resposta eficiente
- Prepare-se antes: tenha logs centralizados, EDR e contas com privilégio mínimo [2][5].
- Automação não substitui análise humana: use alertas inteligentes para evitar fadiga [1].
- Comunique-se: tenha um plano de comunicação com jurídico, RH e diretoria [4].
- Isolamento vs. negócio: decisões devem balancear segurança e continuidade [6].
- Documente tudo: cada ação conta para análise forense e compliance [2].
- Treine com simulações: exercícios de mesa e red team expõem gaps [8].
- Não pule o pós-incidente: lições aprendidas evitam reincidência [4].
Modelos de CSIRT (NIST) [7][8]
🏛️ Centralizado – equipe única para toda empresa, ideal para organizações pequenas/médias.
🌐 Distribuído – múltiplas equipes por região/negócio, coordenação global.
🤝 Coordenado – equipe central com pontos focais nas unidades, híbrido.
Checklist rápido de resposta
1. Detectar e analisar
2. Conter imediatamente
3. Erradicar ameaça
4. Recuperar sistemas
5. Documentar tudo
6. Lições aprendidas
⚙️ Preparação + Detecção + Ação + Melhoria = Resposta eficiente
