📋 Resumo — Capítulo 9
Resposta a Incidentes
🎯 Pontos-Chave
- 7 fases do IR: Preparation → Detection → Analysis → Containment → Eradication → Recovery → Lessons Learned
- Lessons Learned alimenta Preparation (ciclo contínuo)
- Containment = limitar escopo | Eradication = remover causa
- Runbook = automação por condições | Playbook = checklist ordenado
- Write Blocker = obrigatório para imagem forensicamente sólida
- Ordem de Volatilidade: CPU/RAM → Swap → Rede → Disco → Logs remotos
- Chain of Custody = onde/quando/quem coletou e manuseou
- RTO = tempo máximo de downtime | RPO = máximo de dados perdidos
- RAID 0 = sem redundância | RAID 6 = tolera 2 falhas
- Hot Site (minutos) > Warm Site (horas) > Cold Site (dias/semanas)
- Active/Passive = sem degradação no failover | Active/Active = usa capacidade total
- Regra 3-2-1: 3 cópias, 2 mídias, 1 offsite
1️⃣ Processo de Resposta a Incidentes (7 Fases)
| # | Fase | Objetivo Principal |
|---|---|---|
| 1 | Preparation | Hardening, políticas, comunicação confidencial, recursos de IR |
| 2 | Detection | Descobrir indicadores via sistemas automáticos, threat hunting ou pessoas |
| 3 | Analysis | Confirmar incidente, triage de severidade, analisar indicadores |
| 4 | Containment | Limitar escopo, proteger dados, notificar stakeholders |
| 5 | Eradication | Remover causa, restaurar estado seguro, aplicar patches |
| 6 | Recovery | Reintegrar ao negócio, restaurar backups, monitorar de perto |
| 7 | Lessons Learned | Documentar, analisar, melhorar → alimenta Preparation (ciclo) |
⚠️ Distinções Críticas
- Containment ≠ Eradication: Containment limita escopo; Eradication remove a causa
- Incidente cyber vs Major Incident: Incidente cyber → IR normal. Ameaça existencial → Disaster Recovery
- Lessons Learned → Preparation: O ciclo é contínuo — cada incidente melhora a preparação futura
2️⃣ Isolamento, Contenção e Segmentação
🔒 Isolation vs Containment
- Process Isolation: Processo comprometido só afeta seus recursos
- Containment: Desconectar máquina da rede (desplugando cabo ou desabilitando NIC)
- Estar em subnet diferente NÃO é suficiente — precisa de regras de ACL
🌐 Segmentação de Rede
- VLANs, SDN, switches, subnetting, física
- Previne lateral movement (pivot)
- Screened Subnet (DMZ): 1 ou 2 firewalls
- Atua como controle em Preparation e Containment
3️⃣ SOAR, Playbooks e SIEM
| Conceito | Definição | Característica |
|---|---|---|
| SOAR | Security Orchestration, Automation and Response | Compila alertas, cria casos, automatiza via playbooks |
| Runbook | Protocolos automatizados por condições | Foco em automação de processos de IR |
| Playbook | Checklist ordenado para ameaça específica | Foco em padronização e consistência |
| SIEM | SIM + SEM — compila e examina pontos de dados | 7 componentes: scan, dashboard, sensores, sensibilidade, trends, alertas, correlação |
4️⃣ Log Data e Metadata
Logs do Windows
- Application: Eventos de processos de aplicação (crash, instalação)
- Security: Eventos de auditoria (login falhado, acesso negado) ← mais importante para IR
- System: Eventos de processos kernel e serviços do SO
Tipos de Metadata
| Tipo | O que contém | Uso em IR |
|---|---|---|
| File Metadata | Created/accessed/modified, ACL, atributos | Timeline de acesso a arquivos |
| Email Metadata | Header com remetente real, servidores, X-headers | Rastrear phishing, identificar IP real |
| Mobile Metadata | Timestamp, geolocation, dados de apps | Identificar pessoas, lugares, tempos |
| Web Metadata | IPs, requisições, downloads, cookies, cache | Reconstruir atividade de navegação |
⏰ Sincronização de Tempo
Logging preciso requer sincronização NTP de todos os hosts. Usar UTC como timezone neutro em ambientes multi-localização para garantir timeline coerente em investigações.
5️⃣ Analisadores de Dados de Rede
| Ferramenta | Camadas OSI | Modo | Característica |
|---|---|---|---|
| NetFlow | 2-4 | Completo ou amostragem | Feature nativa em roteadores Cisco |
| sFlow | 2-7 | Apenas amostragem (stateless) | Mais rápido, visibilidade até camada 7 |
| IPfix | 2-4 | Completo | Protocolo padronizado, substitui Syslog/SNMP separados |
6️⃣ Investigação Forense Digital
Princípios Fundamentais
- Due Process: Salvaguardas procedurais para garantir fairness (common law US/UK)
- Legal Hold: Suspender deleção rotineira quando há litígio
- Chain of Custody: Documentar onde/quando/quem coletou e manuseou
- Análise sem viés: Conclusões apenas de evidência direta
- Métodos repetíveis: Terceiros podem reproduzir a análise
Ordem de Volatilidade (do mais ao menos volátil)
1. Registradores e cache da CPU → 2. RAM → 3. Swap/arquivos temporários → 4. Dados de rede → 5. Disco → 6. Logs remotos → 7. Mídia de arquivo
E-Discovery (5 funções)
- Identify & De-duplicate: Filtrar arquivos padrão e cópias
- Search: Keyword e semantic search
- Tags: Labels e keywords para organizar evidências
- Security: Garantir integridade em todo o processo
- Disclosure: Mesma evidência disponível para ambas as partes
7️⃣ Aquisição de Dados Forenses
⚡ Memória (Volátil)
- RAM — perdida ao desligar
- Captura: processos, registry, conexões, chaves criptográficas
- Requer ferramenta pré-instalada com driver kernel
- Live Acquisition (sistema em execução)
💾 Disco (Não Volátil)
- HDD, SSD, USB, mídia ótica
- Write Blocker: OBRIGATÓRIO — previne alteração
- Hash verification: prova integridade da cópia
- Gravação em vídeo: estabelece provenance
8️⃣ Redundância e Alta Disponibilidade
| Tecnologia | Descrição | Trade-off |
|---|---|---|
| Active/Active LB | Dois balanceadores em tandem | Usa capacidade total; degradação em failover |
| Active/Passive LB | Um ativo, um em standby | Sem degradação; capacidade ociosa |
| Virtual IP (VIP) | IP compartilhado entre cluster via CARP | Failover transparente para clientes |
| Geographic Dispersal | Múltiplos datacenters físicos | Mitiga desastres regionais |
| Multipath | Múltiplos caminhos CPU ↔ storage | Tolera falha de caminho físico |
Opções de Energia Redundante
- UPS: Baterias para shutdown gracioso (curto prazo)
- Generator: 24-48 horas de energia (médio/longo prazo)
- Dual Supply: Duas fontes em servidores com hot-swap
- Managed PDU: Distribuição e monitoramento de energia em rack
9️⃣ RAID e Backups
| RAID | Técnica | Discos Mín. | Tolera Falhas | Performance |
|---|---|---|---|---|
| RAID 0 | Striping | 2 | ❌ Nenhuma | ✅ Alta |
| RAID 1 | Mirroring | 2 | ✅ 1 disco | ➖ Normal |
| RAID 5 | Striping + paridade | 3 | ✅ 1 disco | ✅ Boa |
| RAID 6 | Striping + paridade dupla | 4 | ✅ 2 discos | ➖ Normal |
| RAID 10 | Mirror + Striping | 4 | ✅ 1 por par | ✅ Alta |
| Tipo de Backup | O que copia | Tempo Backup | Restauração |
|---|---|---|---|
| Full | Tudo | Longo | Rápida (apenas 1 conjunto) |
| Incremental | Desde último backup (qualquer tipo) | Rápido | Lenta (full + todos incrementais) |
| Differential | Desde último full | Médio | Média (full + último differential) |
🔟 Sites de Recuperação e Métricas
| Site | Ativação | Custo | RTO |
|---|---|---|---|
| Hot Site | Minutos a horas | Alto | Mínimo |
| Warm Site | Horas a dias | Médio | Moderado |
| Cold Site | Dias a semanas | Baixo | Alto |
📊 Métricas de Recuperação
- RTO (Recovery Time Objective): Tempo máximo aceitável de downtime
- RPO (Recovery Point Objective): Máximo de dados perdidos (em tempo)
- MTTR (Mean Time to Repair): Tempo médio para reparar após falha
- MTBF (Mean Time Between Failures): Tempo médio entre falhas — mede confiabilidade
🎯 Dicas Finais
- Runbook ≠ Playbook: Runbook = automação por condições; Playbook = checklist para ameaça específica
- sFlow é o único que opera até camada 7 (aplicação)
- CARP é o protocolo de redundância usado em Virtual IP
- Due Process ≠ Chain of Custody: Due Process = fairness jurídica; CoC = documentação da evidência
- ESI = Electronically Stored Information (requisito moderno em litígios)
- Semantic Search vai além de keywords — busca por contexto
- Regra 3-2-1: 3 cópias, 2 mídias diferentes, 1 offsite