Post-mortem
O que é Post-mortem?
Post-mortemRevisao sem culpados feita apos um incidente para reconstituir a cronologia, identificar fatores contributivos e definir acoes concretas que previnam ou detetem o problema da proxima vez.
Um post-mortem de seguranca e uma retrospetiva estruturada que transforma um incidente em aprendizagem organizacional. A equipa reconstroi a cronologia a partir de logs, tickets e chats, identifica o que correu bem e o que falhou e rastreia fatores contributivos com tecnicas como os cinco porques ou mapeamento causal. O resultado e um documento com acoes concretas e atribuidas: detecoes em falta, playbooks partidos, lacunas de ferramentas, necessidades de formacao e mudancas de processo. Para ser produtivo, e sem culpados, focado em sistemas, com prazo definido e seguido ate ao fecho.
● Exemplos
- 01
Rever um quase-incidente de ransomware e descobrir que faltava MFA numa conta VPN antiga.
- 02
Documentar como um alerta ruidoso foi silenciado tres semanas antes de um ataque real usar a mesma tecnica.
● Perguntas frequentes
O que é Post-mortem?
Revisao sem culpados feita apos um incidente para reconstituir a cronologia, identificar fatores contributivos e definir acoes concretas que previnam ou detetem o problema da proxima vez. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Post-mortem?
Revisao sem culpados feita apos um incidente para reconstituir a cronologia, identificar fatores contributivos e definir acoes concretas que previnam ou detetem o problema da proxima vez.
Como funciona Post-mortem?
Um post-mortem de seguranca e uma retrospetiva estruturada que transforma um incidente em aprendizagem organizacional. A equipa reconstroi a cronologia a partir de logs, tickets e chats, identifica o que correu bem e o que falhou e rastreia fatores contributivos com tecnicas como os cinco porques ou mapeamento causal. O resultado e um documento com acoes concretas e atribuidas: detecoes em falta, playbooks partidos, lacunas de ferramentas, necessidades de formacao e mudancas de processo. Para ser produtivo, e sem culpados, focado em sistemas, com prazo definido e seguido ate ao fecho.
Como se defender contra Post-mortem?
As defesas contra Post-mortem costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Post-mortem?
Nomes alternativos comuns: Revisao sem culpados, Licoes aprendidas.
● Termos relacionados
- forensics-ir№ 524
Resposta a incidentes
Processo organizado para preparar, detetar, analisar, conter, erradicar e recuperar de incidentes de cibersegurança, capturando lições aprendidas.
- forensics-ir№ 525
Plano de resposta a incidentes
Documento aprovado que descreve como a organização se prepara, deteta, contém, erradica e recupera de incidentes cibernéticos e captura lições.
- defense-ops№ 999
Playbook de seguranca
Procedimento documentado e repetivel que indica aos respondedores exatamente o que fazer e em que ordem para um tipo especifico de alerta ou incidente.
- forensics-ir№ 1127
Exercício de mesa
Simulação baseada em discussão em que os intervenientes percorrem um incidente cibernético hipotético para testar planos, papéis, decisões e comunicações.
- defense-ops№ 660
MTTC (tempo médio de contenção)
Tempo médio entre a detecção de um incidente e o ponto em que a ameaça já não consegue se propagar, exfiltrar dados ou causar mais danos.