Como este tema funciona na sua empresa
Forense não é usual. Se há incidente, IR (Incident Response) interno basta. Forense é acionada apenas se: envolvimento legal/regulador, roubo de segredo comercial, execução de ataque sofisticado. Custo: R$ 100-300k por investigação.
Forense para incidentes críticos ou suspeita de insider threat. Empresa tem contrato pré-negociado com forense externa. SLA: inicio em <48h. Custo: R$ 200-600k por investigação.
Forense interna parcial (análise logs, memória); forense externa para casos complexos ou credibilidade legal. Custo: R$ 500k-2M+ por investigação crítica. Contrato framework com múltiplos fornecedores.
Forense digital é investigação sistemática de incidente de segurança para descobrir: o que exatamente aconteceu, quem fez, como fez, quando. Diferencia-se de IR (apagar fogo) por ser investigação profunda com cadeia de custódia. Usada para conformidade regulatória, ação legal, aprendizado organizacional.
Forense vs. Incident Response: diferenças críticas
IR (Incident Response) é "apagar fogo": conter rápido (desligar sistema comprometido), erradicar (remover malware), restaurar (voltar ao normal). Foco: parar ataque AGORA. Velocidade é essencial. Qualidade de investigação é secundária. Forense digital é investigação profunda APÓS contenção. Pergunta: "O que exatamente aconteceu?" Coleta evidência com rigor legal (cadeia de custódia). Tempo: dias a semanas. Objetivo: entender raiz causa, suportar ação legal, aprender com incidente.
Sequência correta: (1) IR contém incidente (apaga fogo). (2) Forense investiga incidente (entende raiz). Pular forense é risco: incidente recorrente porque raiz não foi descoberta.
Cadeia de custódia: princípio fundamental
Cadeia de custódia é documentação rigorosa de como evidência foi coletada, armazenada, analisada. Por quê? Porque em ação legal, evidência pode ser questionada: "Você tem certeza que não alterou? Quem tocou? Como foi guardado?" Sem cadeia clara, evidência pode ser inadmissível em tribunal.
Componentes de cadeia: (1) Coletores identificados (nome, ID). (2) Data/hora de coleta. (3) Método de coleta (como foi capturado). (4) Armazenamento seguro (quem tem acesso, como é guardado). (5) Transferência (quando passa para outra pessoa, documentado). (6) Hashing (hash criptográfico que prove que não foi alterado).
Exemplo: "Memória de servidor foi capturada via Volatility às 14:35 historicamente-04-15 por Técnico João, hash MD5 = abc123..., armazenada em drive encrypted, transferida para perito externo historicamente-04-16 14:00".
Quando acionar forense: decisão de timing
Forense não é "sempre". É acionada quando: (1) Risco legal: Possível ação legal contra você ou seu fornecedor. (2) Regulação: Regulador exige investigação profunda (ANPD, ANJ, BCE). (3) Sofisticação: Ataque é muito sofisticado e você quer entender TTPs (tactics, techniques, procedures). (4) Insider threat: Suspeita de funcionário comprometendo dados propositalmente. (5) Roubo de IP: Dados sensíveis (segredo comercial, propriedade intelectual) foram roubados.
NÃO acionar forense quando: é malware simples e já foi removido. Incidente foi conter rapidamente (sem potencial legal). Não há dados sensíveis envolvidos. Orçamento não permite (verdade triste mas realidade).
Preservação de evidência durante IR
Erro comum: durante IR apressado, técnico desliga sistema incorretamente (perde memória), deleta logs (estraga evidência), não documenta ações. Resultado: forense depois fica impossível. Protocolo correto:
- Antes de shutdown: Capturar RAM (volatility, dd, WinDump). RAM tem informação ephemeral que desaparece com shutdown.
- Armazenar mídia original: Disco original é preservado; análise é feita em cópia (forensic image). Disco original fica selado.
- Documentar cada ação: "Às 15:35 capturei RAM. Às 16:00 fiz forensic image de disco. Às 17:00 removi malware da cópia." Sem isso, forense não consegue replicar.
- Manter logs: Não deletar logs durante IR "para limpar". Logs são evidência. Manter por 90 dias mínimo.
Fases de investigação forense
Capturar evidência (RAM, disco, logs de rede, logs de aplicação) com cadeia de custódia. Usar ferramentas forenses (EnCase, FTK, Volatility). Tempo: 1-3 dias típico.
Examinar evidência: processos em execução quando incidente, arquivos criados/modificados, conexões de rede, usuário logado. Timeline reconstruction: "Às 14h, arquivo foi criado; às 15h, conectou para C2; às 16h, dados foram exfiltrados." Tempo: 1-4 semanas.
Documentar achados, conclusões e recomendações. Relatório é dirigido a público técnico e legal. Deve ser admissível em tribunal (linguagem clara, evidência bem documentada). Tempo: 1-2 semanas.
Escolhendo empresa de forense
Procure por: (1) Certificação: GCFE (GIAC Certified Forensic Examiner), EnCE (Encase Certified Examiner). (2) Experiência em seu setor: Forense de saúde é diferente de forense de financeiro. (3) Referências: Fale com empresa anterior (confidencialidade permitindo). (4) Credibilidade legal: Perito que já testificou em tribunal tem credibilidade maior. (5) Tempo de resposta: SLA de <48h para começar investigação.
Sinais de que forense é necessária
- Possibilidade de envolvimento legal (ação contra atacante ou seu fornecedor)
- Regulador (ANPD, BCE) solicitou investigação
- Ataque é sofisticado e motivo não é claro
- Insider threat: suspeita de funcionário roubando dados
- Dados sensíveis (IP, segredo comercial) foram exfiltrados
Caminhos para estruturar forense
Ter plano em lugar antes de incidente.
- Documentação: Runbook de IR que inclui preservação de evidência
- Ferramentas: Volatility, FTK, EnCase (caras, mas necessárias)
- Contato pré-negociado: Lista de fornecedores forenses com SLA
Investigação profunda com perito externo.
- Quando: Incidente crítico, risco legal, insider threat
- Tempo: 2-8 semanas dependência de escopo
- Custo: R$ 100-500k+ conforme complexidade
Precisa de apoio em forense digital?
Se seu empresa enfrentou incidente crítico e precisa de investigação profunda, o oHub conecta você a perito forense. Em menos de 3 minutos, descreva incidente.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso.
Perguntas frequentes
O que é forense digital e quando é necessária?
Forense é investigação sistemática de incidente com cadeia de custódia. Necessária quando: risco legal, regulador solicita, ataque sofisticado, insider threat, roubo de IP. Não é necessária para malware simples.
Qual é diferença entre IR e forense digital?
IR é conter rápido (apagar fogo). Forense é investigação profunda (entender raiz). IR: horas. Forense: dias/semanas. Sequência: IR primeiro, forense depois.
Como preservar evidência digital em incidente?
Antes de shutdown: capturar RAM. Manter disco original. Documentar cada ação. Não deletar logs. Usar forensic image (cópia) para análise. Cadeia de custódia em toda coleta.
O que é cadeia de custódia em forense?
Documentação de como evidência foi coletada, armazenada, analisada. Necessária para admissibilidade em tribunal. Inclui: quem coletou, quando, método, armazenamento, transferências, hashing.
Quando acionar perito forense externo?
Quando: risco legal existe, regulador solicita, ataque sofisticado, insider threat, roubo de dados sensíveis. Contrate pré-negociado com SLA para resposta rápida.
Como escolher empresa de forense digital?
Procure: certificação (GCFE, EnCE), experiência em seu setor, referências, credibilidade legal, SLA <48h resposta. Teste com PoC antes de contratar para investigação crítica.