Um ataque cibernético foi detectado na sua infraestrutura. Os primeiros minutos definem se a organização consegue conter a ameaça antes que dados críticos vazem ou sistemas essenciais parem de funcionar. As decisões tomadas nas primeiras 24 horas determinam o alcance do dano, a conformidade legal e a capacidade de recuperação da empresa.

O cenário brasileiro de ataques

O Brasil registrou 14.044 notificações de incidentes e vulnerabilidades cibernéticas só em 2025, segundo o CTIR Gov — volume que já supera os totais de 2021, 2022 e 2023 juntos. O país subiu duas posições no ranking global de violação de contas, com aumento de 24 vezes em relação ao ano anterior. Apenas no segmento de ransomware, pelo menos 87 organizações brasileiras foram vítimas confirmadas no primeiro semestre, atacadas por mais de 30 grupos distintos, entre eles Akira, Ransomhub e Funksec.

Casos recentes ilustram a gravidade. O ataque à C&M Software, empresa que custodia transações via Pix entre instituições financeiras e o Banco Central, resultou no desvio de mais de R$ 500 milhões por meio de credenciais internas obtidas via insider. As Farmácias Globo, no Piauí, sofreram sequestro de sistemas pelo grupo Gunra, com prejuízo estimado em R$ 400 milhões. O Superior Tribunal de Justiça (STJ) foi alvo de tentativas de invasão em março e abril de 2025, levando a Polícia Federal a deflagrar a Operação Timeout.

Nesse contexto, dispor de um plano de resposta a incidentes estruturado não é mais diferencial competitivo — é exigência regulatória e condição de continuidade do negócio.

Frameworks: NIST e SANS

Duas metodologias dominam a prática mundial de resposta a incidentes. A publicação NIST SP 800-61 Revision 3, atualizada em 2024, substituiu o ciclo clássico de quatro fases por uma integração com o Cybersecurity Framework (CSF) 2.0, organizando a resposta em seis funções: Govern, Identify, Protect, Detect, Respond e Recover. O documento estabelece que toda organização deve manter equipes treinadas, procedimentos documentados e canais de comunicação testados antes que um incidente ocorra.

Já o modelo do SANS Institute é conhecido pelo acrônimo PICERL: Preparation, Identification, Containment, Eradication, Recovery e Lessons Learned. São seis etapas sequenciais que guiam a equipe desde a preparação até o relatório pós-incidente. Ambas as metodologias convergem em um ponto: a velocidade e a disciplina nas primeiras horas são determinantes.

Primeiras horas: identificar e conter

A fase de identificação começa quando um alerta é disparado — pode ser um SIEM gerando correlação anômala, um EDR bloqueando execução suspeita, ou um usuário reportando comportamento estranho. A primeira ação não é remediar: é confirmar. O time de resposta precisa validar se o alerta corresponde a um incidente real, classificar sua severidade e escalar para o CSIRT (Computer Security Incident Response Team).

Confirmado o incidente, a contenção imediata deve incluir:

  • Isolamento de hosts comprometidos: desconectar da rede sem desligar, preservando memória RAM e processos ativos para análise forense.
  • Bloqueio de credenciais: revogar tokens de sessão, forçar reset de senhas e desativar contas comprometidas no Active Directory ou IdP.
  • Segmentação de rede: aplicar regras de firewall para isolar o segmento afetado e impedir movimentação lateral.
  • Desativação de acessos remotos: suspender VPNs, RDP e portais administrativos até que o vetor de entrada seja identificado.
  • Ativação do playbooks específico: ransomware, vazamento de dados, comprometimento de e-mail (BEC) ou ataque à cadeia de suprimentos exigem respostas diferentes.

No ataque de ransomware, uma contenção precipitada — como desligar todos os servidores imediatamente — pode destruir evidências voláteis na memória que indicariam o vetor inicial. A decisão entre contenção de curto prazo (isolar o host) e contenção de longo prazo (reconstruir o ambiente) deve seguir o plano previamente aprovado pela alta gestão.

Ataques frequentemente começam com credenciais roubadas disponibilizadas em mercados clandestinos. Verificar se credenciais da organização aparecem em vazamentos conhecidos deve ser parte do processo de identificação.

Preservação de evidências digitais

Antes de qualquer ação de limpeza, a equipe deve preservar evidências que sustentem investigação forense, processo judicial e cumprimento de obrigações regulatórias. O princípio fundamental é a cadeia de custódia: cada artefato coletado deve ter registro de quem manipulou, quando e por quê.

  • Captura de memória volátil: usar ferramentas como Volatility ou Magnet RAM Capture antes de desligar a máquina.
  • Imagem forense de discos: criar cópia bit a bit com dd, FTK Imager ou ddrescue, armazenada em mídia Write-Once.
  • Coleta de logs: preservar logs de EDR, SIEM, proxy, firewall, DNS, Active Directory e autenticação. Idealmente exportar para repositório WORM (Write Once, Read Many) para impedir adulteração.
  • Documentação temporal: registrar todas as ações tomadas, horários, decisões e responsáveis. Um incident timeline preciso é indispensável.
  • Snapshot de máquinas virtuais: em ambientes de nuvem (AWS, Azure, GCP), gerar snapshots dos volumes afetados antes de qualquer intervenção.

Notificação à ANPD e comunicação

A LGPD, em seu artigo 48, determina que o controlador comunique incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados. O Regulamento de Comunicação de Incidente de Segurança (RCIS), aprovado pela ANPD, fixa o prazo de 3 dias úteis a partir do momento em que a organização toma ciência do incidente. A notificação deve ser feita pelo encarregado de dados (DPO) por meio do sistema disponível no portal oficial da ANPD.

A comunicação à ANPD deve conter, no mínimo: descrição do incidente, tipo de dados pessoais afetados, medidas de contenção adotadas, risco aos titulares e mecanismo de atendimento. Uma notificação incompleta ou fora do prazo pode gerar sanções administrativas — incluindo multas que chegam a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.

Em paralelo, a comunicação com stakeholders internos e externos segue uma hierarquia definida no plano:

  • Comitê de crise: acionar CISO, CIO, Diretoria Jurídica, Comunicação e, quando aplicável, o Conselho de Administração.
  • Comunicação interna: informar equipes operacionais sobre procedimentos a seguir, sem revelar detalhes sensíveis em canais potencialmente comprometidos.
  • Titulares de dados: se houver risco ou dano relevante, a ANPD pode exigir comunicação direta aos afetados.
  • Órgãos de aplicação da lei: registrar boletim de ocorrência cibernética e acionar a Polícia Federal quando o incidente envolver crime.
  • Reguladores setoriais: bancos devem reportar ao Banco Central; operadoras de saúde, à ANS; concessionárias de telecom, à Anatel.

Erradicação, recuperação e lições

Após a contenção, a erradicação remove completamente a ameaça do ambiente. Isso significa eliminar malware persistente, contas clandestinas criadas pelo atacante, backdoors, tarefas agendadas maliciosas e certificados fraudulentos. Em casos de ransomware como o distribuído por extensões maliciosas, a erradicação inclui reformatar máquinas afetadas e reimplantar a partir de imagens confiáveis.

A recuperação deve seguir uma sequência validada:

  • Restaurar sistemas a partir de backups verificados como não comprometidos — idealmente backups offline (air-gapped) ou imutáveis.
  • Aplicar patches que corrigem a vulnerabilidade explorada como vetor inicial.
  • Reforçar autenticação multifator (MFA) em todos os pontos de acesso.
  • Monitorar o ambiente com atenção redobrada por pelo menos 30 dias, buscando indicadores de comprometimento (IoCs) conhecidos.
  • Realizar testes de integridade antes de retornar sistemas à produção.

Encerrado o incidente, a fase de lições aprendidas — ou post-incident activity na terminologia NIST — é onde a organização transforma o prejuízo em maturidade. Um relatório formal deve documentar a linha do tempo completa, vetor de entrada, tempo de detecção (MTTD), tempo de contenção (MTTR), falhas identificadas e ações corretivas. Recomenda-se realizar um post-mortem com todas as equipes envolvidas em até duas semanas após o encerramento.

O ataque ao STJ em 2020, que destruiu aproximadamente 200 terabytes de dados, evidenciou justamente a ausência de backups adequados e de um plano testado. Lições como essa — transformadas em melhorias concretas — são o que separa organizações que sobrevivem a um incidente daquelas que repetem os mesmos erros.