Segundo os autores Kenneth Wyk e Richard Forno [Keneth R....

Gabarito: Alternativa A - Identificação e Coordenação

Vamos analisar a questão em detalhes para entender por que a alternativa correta é a A.

O processo de resposta a incidentes de segurança é crucial para garantir que uma organização possa lidar eficazmente com ameaças e minimizar danos. Segundo Kenneth Wyk e Richard Forno, esse processo deve incluir as etapas de Identificação, Coordenação, Mitigação, Investigação e Educação.

Em relação ao item I, a descrição menciona que "a equipe concentra-se em identificar os sintomas do ataque e suas características, observando a severidade do incidente a partir do uso de notificações externas ou em um conjunto de ferramentas de monitoração."

Esta descrição se alinha claramente com a etapa de Identificação, onde o foco está na detecção inicial do incidente, reconhecimento dos sinais e sintomas do ataque, e medição da sua gravidade.

Para o item II, a equipe "concentra-se em identificar os danos causados pelo incidente para diagnosticar, de forma preliminar, a causa do problema ou, pelo menos, inferir conclusões que serão úteis para determinada ação a ser tomada."

Esta descrição se relaciona à etapa de Coordenação. Durante esta etapa, a equipe avalia os danos e começa a preparar uma resposta coordenada para mitigar o incidente. A coordenação envolve a comunicação entre diferentes equipes para garantir uma resposta eficaz ao problema identificado.

Vamos agora justificar porque as outras alternativas estão incorretas:

B - Coordenação e Investigação: A Coordenação está correta para o item II, mas o item I não se refere a Investigação, que é uma etapa posterior onde se busca entender detalhadamente as causas do incidente.

C - Investigação e Educação: A Investigação não é a etapa correta para o item I, que trata da identificação inicial. Educação também não se aplica ao item II, pois esta etapa geralmente ocorre após a resolução do incidente para treinar a equipe e prevenir futuros problemas.

D - Identificação e Investigação: Embora a Identificação esteja correta para o item I, o item II não trata de Investigação, mas sim de Coordenação.

E - Coordenação e Mitigação: A Coordenação está correta para o item II, mas o item I não se refere a Mitigação, que é a etapa onde ações são tomadas para reduzir o impacto do incidente.

Espero que esta explicação tenha esclarecido a questão. Se precisar de mais alguma ajuda, estou à disposição!

1. Identificação: cabe a esta etapa detectar ou identificar de fato a existˆencia de um incidente de seguranc¸a. Para isso a equipe pode basear-se em notificac¸ ˜oes externas ou num conjunto de ferramentas de monitorac¸ ˜ao de rede, como um IDS (sistema de detecc¸ ˜ao de intrus˜ao). Os esforc¸os da equipe concentram-se em identificar os sintomas do ataque e suas caracter´?sticas, observando a severidade do incidente, ou seja, o quanto a estrutura de neg´ocios da instituic¸˜ao ´e afetada. Recomenda-se tamb´em que o time de resposta a incidentes implemente uma base de conhecimento de incidentes, isto ´e, um conjunto de registros de incidentes passados. Essa base de conhecimento ser´a ´util para levantar informac¸ ˜oes iniciais dos incidentes em andamento, assim como sintomas e caracter´?sticas.
2. Coordenação: ap´os identificar a existˆencia de um incidente e suas conseq¨uˆencias na etapa anterior, cabe `a equipe identificar os danos causados pelo incidente em quest˜ao. A avaliac¸ ˜ao dos sintomas coletados permite diagnosticar de forma preliminar a causa do problema, ou pelo menos inferir algumas conclus˜oes que ser˜ao ´uteis para determinar a ac¸ ˜ao a ser tomada. De forma conclusiva, esta etapa sugere poss´?veis ac¸ ˜oes que possivelmente podem resolver o incidente em andamento.
3. Mitigação: o objetivo desta etapa ´e isolar o problema e determinar a extens˜ao dos danos atrav´es da implementac¸ ˜ao da soluc¸ ˜ao delineada na etapa anterior. Al´em de utilizar procedimentos para isolar o incidente - evitando a propagac¸ ˜ao do ataque -, a equipe tamb´em busca restabelecer o sistema, mesmo que seja com uma soluc¸˜ao tempor´aria, at´e que a soluc¸ ˜ao definitiva seja implementada.
4. Investigação: nesta etapa, o time de resposta concentra-se em coletar e analisar as evidˆencias do incidente de seguranc¸a. O processamento de evidˆencias como registros, arquivos de pacotes capturados e at´e mesmo entrevistas com os respons´aveis s˜ao muito importantes para a resoluc¸ ˜ao de futuros incidentes com caracter´?sticas semelhantes.
5. Educação: esta etapa consiste em avaliar o processo de tratamento de incidentes e verificar a efic´acia das soluc¸ ˜oes implementadas. As lic¸ ˜oes aprendidas durante todo o processo devem ser propagadas para toda a equipe, descrevendo formas de obter melhores resultados e at´e mesmo recomendac¸ ˜oes aos usu´arios.
Fonte: http://tri.ufrgs.br/files/ifis.pdf
Fonte