enespt-br
Glossary

Resposta a Incidentes

O processo coordenado de detectar, conter, investigar e recuperar de incidentes de segurança e ataques cibernéticos.

Definição

Resposta a Incidentes (IR) é o processo sistemático de lidar e recuperar de incidentes de segurança. Em vez de combater incêndios, organizações maduras têm planos de IR documentados e equipes treinadas.

Fases de Resposta a Incidentes

Preparação

  • Desenvolver planos e playbooks de IR
  • Treinar equipes de resposta
  • Implementar sistemas de detecção
  • Estabelecer canais de comunicação

Detecção e Análise

  • Identificar que um incidente ocorreu
  • Determinar escopo e natureza
  • Alertar stakeholders
  • Começar investigação

Contenção

  • Prevenir dano adicional
  • Parar atacante de se mover lateralmente
  • Preservar evidências
  • Contenção de curto prazo (isolar sistemas afetados)
  • Contenção de longo prazo (patchar vulnerabilidades)

Erradicação

  • Remover atacante de sistemas
  • Fechar a vulnerabilidade que explorou
  • Verificar se estão completamente longe
  • Prevenir reinfecção

Recuperação

  • Restaurar sistemas à operação normal
  • Verificar se sistemas estão limpos
  • Monitorar sinais de recomprometimento
  • Retornar ao funcionamento normal

Atividades Pós-Incidente

  • Análise forense
  • Análise de causa raiz
  • Lições aprendidas
  • Atualizar planos de resposta a incidentes
  • Melhorar detecção e prevenção

Playbooks de Resposta a Incidentes

Equipes efetivas de IR têm playbooks documentados para tipos comuns de incidente:

  • Playbook de Incidente de Ransomware – Passos específicos para responder a ransomware
  • Playbook de Violação de Dados – Passos para investigar e conter roubo de dados
  • Playbook de Ameaça Interna – Passos para responder a insiders maliciosos
  • Playbook de Comprometimento da Cadeia de Suprimentos – Coordenar com fornecedores e clientes

Cada playbook inclui papéis, templates de comunicação e árvores de decisão.

O Papel da Inteligência de Ameaças

Inteligência de ameaças acelera resposta a incidentes:

  • Atribuição de Ator de Ameaça – “É APT28 ou um copycat?”
  • TTPs Esperados – “Que técnicas este ator provavelmente usará a seguir?”
  • Lacunas de Detecção – “O que devemos caçar que pode ter evitado detecção automatizada?”
  • Contexto de Ameaça – “Quão urgente é este incidente dado o cenário de ameaças atual?”

Organizações com inteligência de ameaças madura respondem mais rápida e melhor do que aquelas sem.

Veja também

Related Terms

Inteligência de AmeaçasCaça às AmeaçasMITRE ATT&CK