Faculdade Satc

Curso de Engenharia da Computao

Segurana Computacional
Professor: Gustavo De Lucca
Acadmicos: Andr Juliano Bongiolo, Douglas Waltricke e
Filipi da Silva de Souza

Plano de Resposta a Incidentes - IRP

1. Os membros de uma equipe de resposta de incidente.

A equipe de resposta a incidentes, trata-se de uma equipe com peritos internos para
agir de forma rpida e eficaz, em diversas situaes, como ataques a rede, invaso, roubo
de informaes entre outras situaes emergenciais. Determinar os profissionais certos
para esta equipe, no tarefa fcil, pois alm de conhecimento tcnico, tambm
necessrio disponibilidade e muita vontade de colocar a empresa, e sua integridade frente
de situaes pessoais, em casos de emergncia na empresa. Eventos inesperados de nvel
emergencial podem ocorrer, e neste caso o profissional deve ter maturidade tcnica e
profissional para aceitar a responsabilidade e resolver o problema o mais rpido possvel.

Uma equipe de resposta a incidentes, deve possuir tcnicos de rede, administradores

de sistemas e rede, assim como peritos em segurana da informao. Os administradores
de sistema devem fornecer o conhecimento e habilidades dos recursos do sistema,
inclusive backups de dados e backup de hardware. necessrios administradores que
possam explanar seu conhecimento de protocolos de rede e a habilidade de redirecionar o
trfego de rede dinamicamente, ativar planos de contingncia, mitigao ou subir servidores
redundante em tempo hbil para que seus servios no fiquem indisponveis. J os
profissionais da segurana da informao devem ser capazes de rastrear e investigar
minuciosamente as questes de segurana que possivelmente ocorreram aquela ao
hostil.

Vale ressaltar que o cenrio ideal para uma equipe de contingncia onde mais de
um profissional hbil por competncia seja disponvel, mesmo que no exclusivamente,
para eventuais contratempos que possam impedir um dos profissionais de atender a
emergncia.

2. Um resumo de como os incidentes devem ser gerenciados (Incidence

response lifecycle) e responsabilidades para gerenci-los.

Atravs de um planejamento de como responder um incidente de segurana com

propriedade sobre o problema. Nesta parte onde o time de resposta atua, de forma indireta
ou at mesmo direta, dependendo de como foi montado e planejada a equipe. Alguns
problemas nesta fase podem aparecer quando a equipe no est to preparada. Os mais
comuns so a faltas de registros, falta de equipamentos, padronizao do uso de software e
licenas, falta de documentao preparao para uso de criptografia.
 Os incidentes podem ocorrer de diversas maneiras, e um dos problemas mais comum
como responder a cada tipo de problema. Propor um plano de ao para os ataques mais
comuns como web, e-mail, mdias removveis.
Abaixo descrito o ciclo de vida bsico do ciclo de resposta a incidentes de
segurana.

2.1 Identificao

Esta etapa visa detectar ou identificar de fato a existncia do incidente de

segurana, a equipe deve basear-se em chamados externos, ou em suas softwares como o
Intrusion detection system (IDS) que monitoram a rede a procura de atividades suspeitas e
violaes de permisses ou softwares como o Intrusion prevention system (IPS) que
buscam prevenir ou detectar intruses na rede.

2.2 Coordenao.

Depois de identificar, a existncia de um incidente e suas implicaes, a equipe deve

classificar os danos causados, a avaliao dos sintomas coletados permite diagnosticar de
forma preliminar a causa do problema, ou pelo menos em um primeiro momento extrair
algumas informaes conclusivas sobre o problema, para decidir quais aes devem ser
tomadas.

2.3 Mitigao

Nesta etapa, toma-se o norte decidido na etapa de coordenao, ao imediata para

de tentar resolver o problema. A prioridade no processo de mitigao isolar o incidente,
evitando a propagao da ao maliciosa. E em casos de ataques como o ataque de
negao de servios (DDoS) que buscam a indisponibilidade do sistema, o processo de
mitigao concentra-se em enfraquecer o ataque de modo que o servio possa ficar
disponvel novamente, at um completo bloqueio dos ataques, ou alevanta um servidor
redundante para aplicao continuar em funcionamento sem afetar seus clientes.

2.4 Investigao

Esta etapa tem como objetivo abstrair e analisar as evidncias do incidente.

Processar estas evidncias como logs, pacotes capturados ou at mesmo questionamentos
aos responsveis. Est etapa de suma importncia para inibir aes maliciosas
semelhantes no futuro.

2.5 Educao

A etapa de educao consiste a julgar o processo de tratamento de incidentes e

determinar sua eficcia, perante as solues colocadas em prtica. Toda informao gerada
nesta etapa deve ser documentada e repassada para toda a equipe e os envolvidos, de
modo a otimizar os resultados em futuros situaes problemas semelhantes.

3. Como isso encaixa na Estratgia Global de Segurana da Informao

 A partir do momento que conhecido a equipe de resposta ao incidente e as etapas
de como um incidente deve ser gerenciado tambm conhecida, possvel tratar de forma
assertiva o incidente. Isso apenas uma parte do Plano de segurana da Informao,
contudo extremamente importante ter isso documentado para minimizar o tempo de
resposta ao incidente.
 Referncias:

CERT.br. Cartilha de segurana para a internet. https://www.cert.br/cartilha. Acesso em

18 de abril de 2017.

Universidade catlica de Braslia. Sistema de Preveno baseado em software Livre.

https://pt.scribd.com/document/13224983/Sistema-de-Prevencao-de-Intrusao-com-Snort-
Igor-Neiva-e-Sandro-Herman-UCB. Acesso em 18 de abril de 2017.

Arcon. Ciclo de vida na resposta a incidentes de segurana.

https://www.arcon.com.br/blog/o-ciclo-de-vida-na-resposta-de-um-incidente-de-seguran
%C3%A7a. Acesso em 18 de abril de 2017.