Organizar uma forma eficaz de resposta a incidentes de segu...

A alternativa correta para esta questão é: E - detecção e análise.

Vamos agora entender o porquê dessa resposta e analisar as alternativas incorretas.

Tema da Questão

Esta questão aborda o ciclo de vida da resposta a incidentes de segurança de computadores, conforme descrito no Guia para Tratamento de Incidentes de Segurança de Computadores, publicado pelo NIST SP 800-61. Saber identificar corretamente cada fase desse ciclo de vida é essencial para gerenciar eficazmente incidentes de segurança da informação.

Análise da Alternativa Correta

A fase de detecção e análise é responsável por determinar se um incidente aconteceu. Isso é feito por meio da análise de precursores e indicadores, e pela procura de informações correlacionadas. Nessa fase, os profissionais de segurança analisam logs, alertas e outros dados para identificar sinais de possíveis incidentes de segurança.

Análise das Alternativas Incorretas

A - Contenção: A fase de contenção visa limitar o impacto de um incidente de segurança. Isso pode incluir ações como isolar sistemas afetados ou bloquear tráfego malicioso. Não é a fase responsável por determinar se um incidente aconteceu.

B - Erradicação: A fase de erradicação envolve a remoção dos componentes que causaram o incidente, como malware ou contas comprometidas. Assim como a contenção, essa fase ocorre após a detecção e análise do incidente.

C - Preparação: A fase de preparação envolve a implementação de políticas, treinamentos e ferramentas para lidar com incidentes de segurança. Essa fase antecede a detecção e análise, preparando a organização para responder eficazmente aos incidentes.

D - Recuperação: A fase de recuperação foca em restaurar e validar os sistemas afetados para o seu estado operacional normal. É uma fase posterior à contenção e erradicação, e não está envolvida na detecção de incidentes.

Espero que esta explicação tenha esclarecido suas dúvidas sobre o ciclo de vida de resposta a incidentes de segurança de computadores conforme o NIST SP 800-61. Se precisar de mais ajuda, estou à disposição!

Detecção e análise

Nesta etapa, eventos são monitorados em busca de incidentes reais. É neste momento que eventos podem virar incidentes. Ao contrario do que se pensa, nem sempre um incidente virá de um centro de operações. Pode ser através de um canal de comunicação interno, ou até mesmo através de uma divulgação na mídia. Nesta etapa:

• Logs são coletados e transformados em eventos.
• Eventos são correlacionados baseados em casos de uso.
• Equipes de monitoração e resposta identificam eventos em busca de possíveis incidentes.
• Declaração e notificação do momento que um incidente acontece.

Já errei muitas questões de informática que não tinha a mínima ideia do que se tratava, mas "fugia" das respostas mais óbvias.

"encarregada por determinar se um incidente aconteceu" = Detecção

"a partir da análise de precursores e indicadores e da procura de informações correlacionadas." = Análise

Gabarito letra E

"Podem questionar meus métodos, mas não podem questionar meus resultados;"

Boa sorte a todos nessa batalha!

No ciclo de vida de resposta a incidentes de segurança de computadores, conforme definido no Guia para Tratamento de Incidentes de Segurança de Computadores, publicado no NIST SP 800-61, a fase encarregada de determinar se um incidente aconteceu a partir da análise de precursores e indicadores e da procura de informações correlacionadas é a fase de **detecção e análise**.

### Fases do Ciclo de Vida de Resposta a Incidentes no NIST SP 800-61:

1. **Preparação (Preparation)**: Envolve a criação de políticas, a formação de equipes de resposta a incidentes e o estabelecimento de ferramentas e recursos necessários para tratar incidentes de segurança.

2. **Detecção e Análise (Detection and Analysis)**: Nesta fase, são analisados precursores e indicadores para identificar se um incidente de segurança ocorreu. Esta fase inclui a coleta de informações, a correlação de dados e a análise detalhada para confirmar a ocorrência e a natureza do incidente.

3. **Contenção, Erradicação e Recuperação (Containment, Eradication, and Recovery)**:

- **Contenção**: Envolve ações para limitar o impacto do incidente, evitando que ele se espalhe ou cause mais danos.

- **Erradicação**: Foca em eliminar a causa do incidente, removendo artefatos maliciosos ou corrigindo vulnerabilidades.

- **Recuperação**: Envolve a restauração de sistemas e serviços à operação normal, garantindo que o ambiente está seguro antes de retomar operações regulares.

4. **Atividades Pós-Incidente (Post-Incident Activity)**: Após o incidente, é realizada uma análise para documentar lições aprendidas e melhorar os processos e ferramentas para futuras respostas a incidentes.

### Conclusão:

Portanto, a fase encarregada de determinar se um incidente aconteceu, a partir da análise de precursores e indicadores e da procura de informações correlacionadas, é a fase de **detecção e análise**.

A resposta correta é:

**E. detecção e análise.**