PRO-ISIR-PB-05
Playbook — Aplicação / API / WAF Bypass

← Lista Mestre

Objetivo

Conter exploração de aplicação ou API, identificar impacto em lógica de negócio e dados, e restaurar operação segura com validação técnica e funcional.

ETVX

  • E — Entry: Incidente declarado ou tipologia fortemente suspeita, severidade preliminar definida e caso aberto no system of record.
  • T — Task / Transform: Executar a resposta específica do cenário, sempre adotando o checklist da primeira hora, o padrão de evidências, a matriz de comunicação, o padrão de severidade, o recovery sign-off, a matriz RACI e o painel de métricas conforme aplicável.
  • V — Verify: Verificar se o cenário foi corretamente caracterizado, se o escopo foi estimado, se a resposta foi documentada e se as evidências e comunicações seguiram os padrões obrigatórios.
  • X — Exit: Cenário estabilizado, evidências registradas, comunicação tratada, recovery aprovado e remediações abertas.

Passos mandatórios do procedimento

  1. Adotar o checklist da primeira hora.
  2. Preservar logs de app, API gateway, WAF, CDN, banco e APM.
  3. Identificar endpoint, função, regra de negócio ou controle bypassado.
  4. Aplicar mitigação temporária por kill switch, feature flag, WAF rule, ACL ou rate limit.
  5. Subir correção com testes de regressão e encerrar apenas com monitoração reforçada.

Evidências mínimas

Logs HTTP, headers, payloads seguros para análise, trilhas de autenticação e autorização, logs de banco, WAF, CDN, gateway, traces APM e histórico de deploy.

Erradicação

Corrigir código ou configuração, revisar controles compensatórios, atualizar monitoração e assegurar que o caminho explorado deixou de ser viável.

Recovery e encerramento

Encerrar quando patch ou mitigação estiver implantado, exploração interrompida, escopo de dados medido e observabilidade pós-fix concluída.

Documentos complementares obrigatórios