Operações
As operações são a base da resposta a incidentes. É aqui que ocorrem as ações de resposta e atenuação de incidentes de segurança. As operações incluem as seguintes cinco fases: detecção, análise, contenção, erradicação e recuperação. As descrições dessas fases e das metas podem ser encontradas na Tabela 3.
Tabela 3: fases operacionais
Fase | Objetivo |
---|---|
Detecção | Identifique um possível evento de segurança. |
Análise | Determinar se um evento de segurança constitui um incidente e avaliar o escopo do incidente. |
Contenção | Minimize e limite o escopo do evento de segurança. |
Erradicação | Remova recursos ou artefatos não autorizados relacionados ao evento de segurança. Implemente atenuações para as causas do incidente de segurança. |
Recuperação | Restaurar os sistemas para um estado seguro conhecido e monitorar esses sistemas para verificar se não há retorno da ameaça. |
As fases devem servir como orientação quando você responde e atua em incidentes de segurança, a fim de responder de forma eficaz e robusta. As ações reais realizadas variam de acordo com o incidente. Um incidente envolvendo ransomware, por exemplo, terá um conjunto de etapas de resposta a serem seguidas diferente do que o de um incidente que envolva um bucket público do Amazon S3. Além disso, essas fases não acontecem necessariamente de modo sequencial. Após a contenção e a erradicação, talvez seja necessário retornar à análise para entender se suas ações foram eficazes.