10.3. Implementando o Plano de Resposta ao Incidente

Após um plano de ação ser criado, ele deve ser consentido e implementado ativamente. Qualquer aspecto do plano que seja questionado durante a implementação ativa pode resultar numa resposta lenta e longo período fora do ar no evento de uma infração. Nestas circunstâncias os exercícios práticos são muito valiosos. A menos que algo venha à tona antes do plano ser ativamente definido na produção, a implementação deve ser consentida por todas as partes diretamente relacionadas e executada com confiança.

Se uma infração for detectada enquanto a CERT estiver presente para rápida reação, as possíveis respostas podem variar. A equipe pode decidir desabilitar as conexões de rede, desligar os sistemas afetados, consertar o exploit e então reconectar rapidamente sem possíveis complicações futuras. A equipe também pode monitorar os infratores e rastrear suas ações. A equipe pode, inclusive, redirecionar o infrator para um pote de mel — um sistema ou segmento de rede contendo dados intencionalmente falsos — para rastrear a invasão de maneira segura e sem interrupção dos recursos de produção.

A resposta a um incidente deve acompanhar também uma coleta de informações sempre que possível. A execução de processos, conexões de rede, arquivos, diretórios e outros devem ser auditados ativamente em tempo real. Ter uma rápida impressão dos recursos de produção para comparação pode ser útil ao rastrear serviços ou processos corrompidos. Os integrantes da CERT e os peritos internos serão ;ótimos recursos para rastrear tais anomalias em um sistema. Administradores de sistemas sabem quais processos devem ou não aparecer ao executar os comandos top ou ps. Administradores de rede estão cientes de como funciona o tráfego normal de rede ao executar o snort ou até mesmo tcpdump. Estes integrantes da equipe devem conhecer seus sistemas e serem capazes de apontar uma anomalia mais rapidamente do que alguém que não esteja familiarizado com a infra-estrutura.