Resumo Security+ Capítulo 9 - Resposta a Incidentes e Continuidade

🎯 CONCEITOS MAIS IMPORTANTES PARA PROVA:

7 fases do Incident Response: Preparation → Detection → Analysis → Containment → Eradication → Recovery → Lessons Learned
SOAR: Orquestração, automação e resposta a incidentes
Chain of Custody: documentar quem acessou a evidência
Write Blocker: previne modificação da evidência
Active/Active vs Active/Passive: load balancing e clustering

1️⃣ Processo de Resposta a Incidentes (7 Etapas)

1. PreparationHardening, políticas

2. DetectionIndicadores, threat hunting

3. AnalysisTriage, severidade

4. ContainmentIsolar, limitar escopo

5. EradicationRemover causa

6. RecoveryRestaurar, monitorar

7. Lessons LearnedDocumentar, melhorar

Tipos de Incidentes de Segurança

Tipo	Descrição
Employee Errors	Ações não intencionais que causam danos ou deixam sistemas vulneráveis
Unauthorized Act by Employee	Ações intencionais de funcionário para causar dano (insider threat)
External Intrusion Attempts	Ações intencionais de threat actor externo
Virus and Harmful Code Attacks	Ferramentas para disruptar negócio, comprometer dados ou prejudicar reputação
Unethical Gathering of Competitive Information	Espionagem corporativa para obter informações proprietárias

2️⃣ Isolamento, Contenção e Segmentação

🔒 Isolation

Limita capacidade de processo/aplicação comprometida causar dano
Process Isolation: apenas recursos usados pelo processo estão em risco

🛑 Containment

Primeiro passo após detecção
Desconectar máquina da rede (desplugando cabo ou desabilitando NIC)
Se rede conectada a outras, terminar essas conexões

✂️ Segmentation

Design estratégico de rede para prevenir pivot
Métodos: VLANs, SDN, switches, subnetting, segmentação física
Estar em subnet diferente não é suficiente - precisa de regras de controle

🌐 Screened Subnet (DMZ)

Área virtual que separa assets internos
Pode ter 1 ou 2 firewalls
Acesso controlado por access control

3️⃣ SOAR (Security Orchestration, Automation, and Response)

Definição

Plataforma para compilar dados de segurança gerados por diferentes endpoints de segurança. Informações coletadas são enviadas para analista para ação adicional.

Funcionalidades

Coleta dados de alerta e coloca em local especificado
Facilita integração de dados de aplicações
Facilita análise focada
Cria caso de segurança único
Permite múltiplos playbooks e automação de passos

💡 Benefício: Analistas podem usar parâmetros para automatizar soluções para incidentes que atendem critérios específicos.

4️⃣ Incident Plans (Runbooks vs Playbooks)

Runbooks	Playbooks
Série de protocolos baseados em condições	Documento estilo checklist
Estabelecem processos automatizados	Especifica como responder a ameaça/incidente
Aceleram assessment, investigation, mitigation	Passos listados em ordem
Podem ter análise humana ainda	Garante abordagem consistente

⚠️ Importante: Juntos, runbooks e playbooks alcançam resposta mais efetiva. Podem ser automatizados e ajudam a cumprir frameworks regulatórios (GDPR, NIST).

5️⃣ SIEM (Security Information and Event Management)

Componentes do SIEM

1. Vulnerability Scan Output

Scanner identifica vulnerabilidades e recomenda remediação
Escaneia: servidores, firewalls, switches, programas, câmeras, WAPs
Output entregue via dashboard SIEM

2. Dashboards

Telas customizáveis mostrando informações em tempo real
Permite monitoramento e resposta efetiva

3. Sensors

Configurados em endpoints críticos, serviços, locais vulneráveis
Envia alertas customizados se parâmetros fora do aceitável

4. Sensitivity

Nível de sensibilidade definido na implantação
Customiza dados enviados ao SIEM

5. Trends

Padrões de atividade descobertos e reportados
Como baselines são estabelecidas
Identificação rápida de eventos de segurança

6. Alerts

Forma do SIEM informar equipe que parâmetro não está aceitável
Best practice: monitoramento 24 horas

7. Correlation

Componente crítico
Coleta dados de log files, aplicações, appliances
Compara comportamento malicioso conhecido contra dados agregados

6️⃣ Monitoramento de Dados e Metadata

Log Data

Event Message Data: notificação específica (ex: "Login failure")
Event Metadata: fonte e tempo do evento (host, processo, categorização)

Formatos de Log

Windows Event Viewer	Syslog
Header: source, level, user, timestamp, category, keywords, hostname	Formato aberto, usado por switches, roteadores, firewalls, UNIX/Linux
	PRI code (facility + severity), Header (timestamp, hostname, app), Message part

Tipos de Metadata

📧 Email Metadata

Header contém informações de remetente/destinatário
X-headers fornecem conta de origem real e IP (não spoofed)

📱 Mobile Metadata

Dispositivos móveis produzem metadata
Fotos podem ter timestamp e geolocation
Revela origem dos dados e remetente

🌐 Web Metadata

Endereços IP, requisições, downloads, tempo no site
Cookies, histórico, cache

7️⃣ Data Analyzers

NetFlow	sFlow
Feature em roteadores Cisco	Tecnologia de amostragem de pacotes
Camadas 2-4	Camadas 2-7
Examina fluxo de dados	Amostragem stateless
Configurável para amostrar sessões	Rápido e eficiente
	Integra dados de Syslog/SNMP

8️⃣ Investigação Forense Digital

Due Process e Legal Hold

Due Process: pessoas condenadas apenas com aplicação justa das leis. Salvaguardas para garantir fairness.
Legal Hold: informações relevantes a caso judicial devem ser preservadas. Suspender deleção/destruição rotineira.

Chain of Custody (Cadeia de Custódia)

⚠️ CRÍTICO: Toda pessoa na cadeia que manuseia evidência deve registrar métodos e ferramentas usadas.

Dispositivos: labeled, bagged, sealed (sacos tamper-evident, antiestáticos)
Documentação: onde, quando, quem coletou, quem manuseou, onde armazenada
Armazenamento seguro: controle de acesso e ambiental

E-Discovery

Meio de filtrar evidência relevante de todos dados coletados
Funções: Identify and De-duplicate, Search (keyword + semantic), Tags, Security, Disclosure

9️⃣ Fontes de Dados Forenses

📊 Dashboards

Incident handler: eventos não categorizados
Manager: status geral, número de eventos

📋 Log Data

Recurso crítico
Formato, fontes, tipo de log

🐧 Linux Logs

Syslog (arquivo texto) ou Journald (binário)
journalctl para ler Journald

🪟 Windows Logs

Application: eventos de aplicação
Security: auditoria (login, acesso)
System: kernel e serviços

📱 Endpoint Logs

Firewalls host-based, IDS, scanners
EPP, EDR, XDR

🌐 Network Logs

Roteadores, firewalls, switches, APs
System logs + traffic/access logs

IPS/IDS Logs

Evento quando padrão de tráfego corresponde a regra
Volume alto - logar apenas regras de alta sensibilidade
Pacote único pode disparar múltiplas regras

Email Headers

MUA: cria header inicial
MDA: verifica autorização, adiciona header
MTA: roteia mensagem, cada MTA adiciona informação
Headers podem ser visualizados via message properties/options/source

🔟 Aquisição de Memória e Dados

System Memory Acquisition

Dados voláteis em RAM (perdidos sem energia)
Memory dump: identifica processos, arquivos temporários, registry, conexões, chaves criptográficas
Ferramenta especializada deve estar pré-instalada
Requer driver kernel mode

Data Image Acquisition

Dados não voláteis: HDDs, SSDs, firmware, flash, mídia ótica
Write Blocker: previne qualquer alteração no disco/volume
Filtra comandos de escrita no nível de driver e SO

💡 Imperativo: Documentar passos, fornecer timeline, gravar em vídeo ações tomadas. Acesso à evidência deve ser rigidamente controlado.

1️⃣1️⃣ Redundância e Alta Disponibilidade

Load Balancing

Distribui processamento entre múltiplos nodes

Active/Active

Dois load balancers trabalhando em tandem
Distribuem tráfego concorrentemente

Active/Passive

Um ativo, outro em listening
Assume se primeiro falhar

Virtual IP (VIP)

Endereço IP não atribuído a endpoint
Usado para load balancing
Protocolo de redundância (ex: CARP) com heartbeat
Node ativo "possui" IP virtual

Opções de Poder Redundante

🔋 UPS

Banco de baterias, shutdown gracioso

⚡ Generator

Escala grande, 24-48h de poder

🔌 Dual Supply

Fontes duplas, hot-swapping

📦 PDU

Distribui poder em data center

Multipath

Técnica de tolerância a falhas com múltiplos caminhos físicos entre CPU e armazenamento.

1️⃣2️⃣ Clustering

Conceito

Clustering permite múltiplos nodes redundantes que compartilham dados. Para clientes, aparece como servidor único.

Diferença de Load Balancing

Load balancer distribui requisições através de nodes em farm/pool (geralmente web)
Clusters fornecem redundância e alta disponibilidade para bancos de dados, servidores de arquivo

Tipos de Clustering

Active/Passive	Active/Active
Um ativo, outro passivo	Ambos processando concorrentemente
Performance não afetada no failover	Usa capacidade máxima de hardware
Hardware subutilizado	Performance degrada no failover

Application Clustering

Servidores no cluster comunicam informações de sessão
Exemplo: usuário loga em uma instância, próxima sessão pode começar em outra
Novo servidor acessa cookies/informações de login

1️⃣3️⃣ Backups Enterprise

Desafios de Backups Simples

Escalabilidade: crescimento em tamanho e complexidade
Performance: atraso em aplicações, recuperação lenta
Granularidade: falta customização para aplicações específicas
Compliance e Segurança: falta criptografia e controle de acesso

💡 Soluções Enterprise: Backup em nível de imagem, backup contínuo, replicação, armazenamento em fita, backup em nuvem, políticas de retenção, criptografia.

🎯 DICAS FINAIS PARA PROVA:

7 fases IR: Preparation, Detection, Analysis, Containment, Eradication, Recovery, Lessons Learned
SOAR: automação e orquestração
Runbooks: processos automatizados | Playbooks: checklists
SIEM: correlação, dashboards, alerts
Chain of Custody: documentar tudo
Write Blocker: não modificar evidência
Active/Active: ambos ativos | Active/Passive: um espera
Virtual IP: IP flutuante com heartbeat (CARP)
Metadata: email, mobile, web - revela origem
Windows Logs: Application, Security, System

📘 Capítulo 9: Resposta a Incidentes e Continuidade