oHub Base TI / Desafios / Crise / Identificamos uma invasão no nosso sistema

Identificamos uma invasão no nosso sistema

Atacante dentro da rede ou sistema — contenção, isolamento de máquinas, preservação de evidências, comunicação interna controlada e remediação.

Resposta rápida

Atacante dentro do ambiente exige resposta diferente de incidente lógico comum. A primeira regra é não alertar o invasor antes de estar pronto para erradicar — fechar tudo de forma desorganizada pode fazer o atacante destruir evidência ou acelerar o ataque. A sequência é: identificar o escopo da invasão (quais máquinas, quais contas, há quanto tempo, o que foi acessado), conter sem alertar (segmentação, monitoramento intensivo, preparação dos isolamentos), preservar evidências (logs, imagens, capturas de rede), planejar erradicação coordenada (corte simultâneo de todos os pontos identificados), comunicar internamente em canal restrito (assumir que o atacante lê e-mail corporativo), e remediar a porta de entrada para fechar para sempre. Acione especialista em resposta a incidente (DFIR) desde o primeiro momento — tentar conduzir caçada sozinho costuma queimar a investigação.

Pequena até 50 colaboradores

Na empresa pequena, a detecção costuma vir por sintoma colateral (alerta do antivírus, login estranho, conta vazada em lista pública). MSP e TI interno raramente têm capacidade de DFIR — vale acionar empresa especializada em resposta a incidente desde o primeiro momento, mesmo com custo. Em paralelo: troca de senhas das contas críticas, revisão de acessos administrativos, bloqueio do que foi identificado como comprometido, monitoramento intensivo do que ainda parece intacto. Comunicação interna restrita: dono e duas ou três pessoas-chave; não anunciar para todo o time enquanto não houver plano. Esse incidente costuma ser o ponto de virada para contratar EDR, MFA generalizado e revisão de acessos como prática contínua.

Média 51–500 colaboradores

Na empresa média, há time de TI e, idealmente, MSSP ou SOC contratado. A detecção pode vir do SOC, de alerta interno, de aviso de terceiro (cliente, fornecedor, autoridade). A primeira ação é montar war room restrito (TI, CISO ou responsável de segurança, MSSP) e contratar DFIR especializado se o caso é grave — internamente raramente há ferramenta e método para investigar com isenção. Escopo da invasão precisa ser mapeado antes da contenção definitiva, para erradicar tudo de uma vez (corte parcial pode acelerar o atacante). Comunicação interna em canal externo (não no e-mail corporativo); jurídico acionado para avaliar exposição de dados pessoais. Após contenção, RCA formal e plano de remediação com indicadores cobrados em comitê.

Grande +500 colaboradores

Na empresa grande, há SOC interno ou externo, CSIRT formalizado, retainer com empresa de DFIR. A resposta é via plano de incident response existente. O risco característico é o tempo perdido em governança quando a velocidade importa — comitês que demoram horas para autorizar isolamento, escaladas que passam por demais pessoas. A solução é pré-aprovação no plano: CSIRT autoriza contenção emergencial; decisões de comunicação externa, paralisação de serviço e contato com mídia ficam para o comitê executivo de crise, que precisa estar disponível por sobreaviso. Para incidente confirmado, ativação simultânea: DFIR, jurídico, comunicação institucional, RI, eventual relação com autoridades. Evidência forense preservada com chain of custody. Comunicação pública só sai com revisão jurídica e estratégica.

Você está vivendo isso se…
  • EDR ou antivírus alertou comportamento suspeito persistente
  • Há logins de contas administrativas em horários ou origens estranhas
  • Apareceram contas novas com privilégio elevado sem registro
  • Tráfego de saída anômalo foi detectado
  • Credencial corporativa apareceu em vazamento público
  • Terceiro avisou que você foi comprometido

A primeira regra: não alertar antes de estar pronto

O reflexo de fechar tudo na hora em que se detecta o atacante é compreensível — e costuma ser o pior erro. Atacante alertado pode destruir evidência, acelerar o roubo de dados, espalhar para sistemas que ainda não tinha alcançado, ou disparar ataques de destruição (apagar logs, criptografar). A sequência correta é diferente: mapear o escopo enquanto o atacante ainda não percebeu, planejar a erradicação coordenada de tudo de uma vez, executar em janela curta.

Isso não significa "fazer nada". Significa fazer com discrição: monitoramento intensivo, segmentação silenciosa, preparação dos isolamentos para corte simultâneo. Quem decide quando alertar é a equipe de DFIR com base no mapa do escopo.

Mapear o escopo da invasão

Antes de erradicar, é preciso saber o tamanho do problema. O escopo cobre quais máquinas estão comprometidas, quais contas têm credenciais possivelmente conhecidas pelo atacante, há quanto tempo o atacante está no ambiente (dwell time), o que ele acessou e o que ele exfiltrou (se houve), por onde ele entrou. Sem esse mapa, a contenção é parcial e o atacante volta por porta paralela. Empresas de DFIR trazem ferramentas e método para essa varredura — internamente raramente há.

Protocolo das primeiras 24-72 horas
  1. Monte war room restrito. Núcleo pequeno (TI, segurança, jurídico, direção) em canal externo ao e-mail corporativo. Assuma que o atacante monitora comunicação interna.
  2. Acione DFIR especializado. Investigação forense exige ferramenta e isenção que time interno raramente tem em meio à crise. Quanto antes, mais evidência preservada.
  3. Mapeie o escopo sem alertar. Identifique máquinas comprometidas, contas vazadas, dwell time, escopo de acesso. Monitoramento intensivo, segmentação silenciosa quando possível.
  4. Preserve evidências. Imagens forenses, logs de firewall e EDR, capturas de tráfego, histórico de contas. Cadeia de custódia documentada para eventual ação legal.
  5. Planeje erradicação coordenada. Lista completa do que será cortado simultaneamente: contas desabilitadas, máquinas isoladas, segmentos de rede bloqueados, regras de firewall ajustadas, credenciais resetadas.
  6. Execute em janela curta. Erradicação simultânea para impedir que o atacante reaja. Idealmente fora do horário de uso normal para minimizar impacto operacional.
  7. Reconstrua e remedie a porta de entrada. Sistemas críticos em ambiente limpo. Vulnerabilidade ou processo que permitiu a entrada fechado de verdade — sem isso, próxima onda é só questão de tempo.
Erro frequente: mudar senha do atacante achando que isso resolveu. Atacante competente já estabeleceu múltiplos caminhos de persistência (contas paralelas, backdoor, agendamento de tarefa, chave SSH adicional). Trocar senha do que se viu sem investigar o resto deixa porta aberta em lugar invisível, e o atacante volta com calma quando você relaxar a atenção.

Houve exfiltração de dados?

Investigar exfiltração precisa entrar na resposta desde o primeiro momento, não no pós. Indicadores: tráfego de saída anômalo no período da invasão, ferramentas conhecidas de exfiltração nos logs, dados conhecidamente sensíveis no escopo de acesso do atacante, aparição posterior de dados em fórum criminoso. Se houve exfiltração de dados pessoais, dispara o protocolo de LGPD (notificação à ANPD em prazo razoável, eventual notificação a titulares) em paralelo à resposta técnica. Jurídico e DPO precisam estar engajados desde cedo, não só na hora do anúncio.

Comunicação durante e depois

Comunicação interna é restrita durante a fase ativa — anunciar para todo o time pode chegar ao atacante. Conforme a erradicação é executada e a fase aguda termina, comunicação se expande: time interno (para entender mudanças temporárias e remediação em curso), gestores das áreas afetadas, eventualmente clientes e mercado. Comunicação externa só sai com revisão jurídica e estratégica — declaração mal calibrada vira manchete por meses. Para incidente com dado pessoal, comunicação aos titulares segue as obrigações de LGPD.

Armadilhas comuns em resposta a invasão ativa

Fechar tudo na hora sem mapear escopo. Atacante alertado destrói evidência, acelera ataque ou se aprofunda. Contenção coordenada após mapeamento rende muito mais.

Conduzir caçada sozinho sem DFIR. Investigação forense exige ferramenta e método que time interno raramente tem em crise. Acionar especialista atrasa custo e adianta resultado.

Mudar senha do que se viu e dar por encerrado. Atacante competente tem múltiplos caminhos de persistência. Sem mapeamento completo, sobra porta aberta.

Comunicar internamente sem cuidado. E-mail corporativo, Slack, grupo de WhatsApp podem ser lidos pelo atacante. Use canal externo restrito até a erradicação estar concluída.

Pular investigação de exfiltração. Vazamento de dados pessoais junto a invasão dispara LGPD. Investigar exfiltração só depois pode estourar prazos legais.

Antes de declarar o incidente erradicado, confira:
  • Mapeamento completo do escopo está feito (máquinas, contas, dwell time)
  • Evidências forenses estão preservadas com cadeia de custódia
  • Erradicação foi coordenada e executada simultaneamente
  • Múltiplos caminhos de persistência foram investigados, não só o óbvio
  • Exfiltração de dados foi avaliada e LGPD foi acionada se aplicável
  • Porta de entrada original está fechada e validada
  • Sistemas críticos foram reconstruídos em ambiente limpo
  • Monitoramento intensivo pós-incidente está ativo por semanas

O que fazer ao identificar um atacante dentro do sistema?

Não alerte o atacante antes de estar pronto para erradicar. Mapeie o escopo da invasão (quais máquinas, quais contas, há quanto tempo, o que foi acessado), preserve evidências, planeje erradicação coordenada e execute em janela curta. Em paralelo, acione DFIR especializado, monte war room restrito em canal externo ao e-mail corporativo, e investigue exfiltração de dados. Fechar tudo na hora sem mapeamento faz o atacante destruir evidência ou acelerar o ataque.

Por que não fechar o atacante imediatamente?

Porque atacante alertado reage. Pode destruir evidência forense (apagar logs, criptografar), acelerar roubo de dados, espalhar para sistemas que ainda não tinha alcançado ou disparar ataques de destruição. A contenção precisa ser coordenada após o mapeamento completo, executada de uma vez para impedir reação. Isso não significa fazer nada — significa fazer com discrição: monitoramento intensivo, segmentação silenciosa, preparação dos isolamentos para corte simultâneo.

Preciso contratar empresa de DFIR?

Quase sempre vale, mesmo com custo alto. Investigação forense exige ferramenta especializada (EDR avançado, plataforma de threat hunting), método validado e isenção que o time interno raramente tem em meio à crise. Empresas de DFIR também ajudam a documentar evidência com cadeia de custódia para eventual ação legal ou comunicação a autoridades. Para incidente menor, time interno experiente pode dar conta — mas mesmo aí vale o second opinion externo na decisão de erradicação.

Como saber se houve exfiltração de dados?

Indicadores: tráfego de saída anômalo no período da invasão (volume alto, destino incomum), ferramentas conhecidas de exfiltração nos logs, dados sensíveis no escopo de acesso confirmado do atacante, aparição posterior de dados em fórum criminoso ou em vazamento público. A investigação precisa começar junto com a resposta técnica, não depois — se houve exfiltração de dados pessoais, dispara o protocolo de LGPD em prazo curto. DFIR ajuda a fazer essa avaliação com base nas evidências forenses.

Como evitar que o atacante volte?

Investigar todos os caminhos de persistência (não só o óbvio), reconstruir sistemas críticos em ambiente limpo (não no ambiente atacado), fechar de fato a porta de entrada original (vulnerabilidade não corrigida, credencial vazada, configuração insegura), e manter monitoramento intensivo nas semanas seguintes. Atacante competente costuma estabelecer múltiplas contas paralelas, backdoors, chaves adicionais — sem varredura completa, sobra porta aberta. Remediação estrutural (MFA universal, princípio de mínimo privilégio, segmentação, EDR maduro) reduz probabilidade de próxima onda.
Aprofundar
Ver todos os artigos sobre Ameaças Cibernéticas (Cibersegurança e Proteção de Dados)