Procedimentos técnicos do PoP-BA

PR-109 - Tratamento de Incidente de Segurança
Data Criação:
Data Revisão:

1. Objetivo

Este documento descreve o processo de tratamento de incidentes, iniciado após o processo P-GI-001 - Processo de Validação de Notificação de Segurança.

2. Aplicação

Este processo se aplica ao CSIRT/PoP-BA.

3. Definições

Cancelamento de uma notificação: quando uma notificação é cancelada, não serão executadas as tarefas seguintes ao ponto do cancelamento e uma mensagem será enviada ao requisitor, informando o motivo do cancelamento.

4. Descrição das etapas

1. Planejamento

O primeiro passo consiste no planejamento de ações a serem tomadas para a resolução do incidente.

2. Análise

Esta tarefa consiste na análise do incidente, iniciando com a verificação se a notificação é realmente um incidente de segurança ou um falso positivo. Caso seja, a notificação será cancelada.

Constatado o incidente, inicia-se a análise propriamente dita do mesmo realizando tarefas como:

  • identificação do(s) host(s) envolvido(s);
  • verificação das informações fornecidas;
  • identificação de todos os rastros deixados pelo invasor;
  • análise dos artefatos instalados (arquivos de log, malwares, etc);
  • reconstrução do incidente;
  • verificação dos hosts e redes cuja relação de confiança com o host invadido possa ter permitido a invasão destes.

A fase de análise tem como produto um relatório do incidente, contendo todas as informações sobre o mesmo e que servirão para a construção da solução em resposta ao incidente em um fase seguinte. Quando for descoberta uma nova vulnerabilidade, deverá ser criado um Relatório de Vulnerabilidade, que será encaminhado ao serviço de "Análise de Vulnerabilidade".

3. Obtenção de Informações

Quando necessário, é iniciado um processo de espera de informações adicionais do solicitante, setor envolvido, direção, etc. Após a obtenção das informações, é dada continuidade a atividade de análise.

4. Fornecer suporte técnico

Quando solicitado, é realizado o suporte técnico para o emissor da notificação a fim de ajudar na agilidade e resolução do incidente.

5. Identificação da solução

Após a análise, realizar-se-á nesta etapa a identificação da solução para o incidente em questão, através do desenvolvimento de medidas preventivas, corretivas e/ou reativas a uma reincidência do problema.

6. Resolução do Incidente

Resolução ativa do problema. Este passo será planejado na atividade de análise, com a implementação das ações corretivas ao incidente. As ações preventivas, reativas ou corretivas que necessitem de mudança no ambiente de TI serão passadas inicialmente para a avaliação na GestaoDeMudancas, juntamente com a sua urgência de modificação.

5. Responsabilidades e Autoridades

6. Fluxograma

processoTratamentoIncidente.png

7. Documentos Relacionados

8. Referências