Uma equipe identificou que um servidor web crítico foi comprometido por um atacante que explorou uma vulnerabilidade de aplicação. A análise inicial revelou que o atacante instalou uma webshell e está usando o servidor para movimentação lateral na rede. O servidor processa transações financeiras e está em produção atendendo clientes.
O analista de segurança precisa decidir a ação imediata mais adequada na fase de contenção do incidente, conforme boas práticas de resposta a incidentes (NIST SP 800-61 e ISO/IEC 27035).
Assinale a opção que apresenta a estratégia de contenção apropriada para esse cenário.
- A Desligar imediatamente o servidor comprometido para prevenir danos adicionais, mesmo que cause indisponibilidade do serviço, pois a prioridade absoluta é impedir que o atacante continue acessando o sistema.
- B Manter o servidor em operação normal sem alterações, enquanto realiza monitoramento detalhado das atividades do atacante por 48 horas, coletando evidências extensivas antes de qualquer ação de contenção.
- C Implementar contenção segmentada isolando o servidor da rede por meio de regras de firewall que bloqueiem comunicação lateral mas mantenham o acesso de clientes externos, enquanto inicia investigação forense em memória e preserva evidências, consultando stakeholders sobre janela de manutenção para contenção completa.
- D Executar imediatamente procedimento de reimagem do servidor com backup limpo anterior à data do comprometimento, restaurando o serviço rapidamente, e considerar o incidente resolvido sem necessidade de análise forense detalhada.
- E Notificar imediatamente a ANPD (Autoridade Nacional de Proteção de Dados) e publicar comunicado público sobre o incidente, antes de realizar qualquer ação técnica de contenção, para cumprir requisitos de transparência da LGPD.