A Desligar imediatamente o servidor comprometido para prevenir danos adicionais, mesmo que cause indisponibilidade do serviço, pois a prioridade absoluta é impedir que o atacante continue acessando o sistema.
B Manter o servidor em operação normal sem alterações, enquanto realiza monitoramento detalhado das atividades do atacante por 48 horas, coletando evidências extensivas antes de qualquer ação de contenção.
C Implementar contenção segmentada isolando o servidor da rede por meio de regras de firewall que bloqueiem comunicação lateral mas mantenham o acesso de clientes externos, enquanto inicia investigação forense em memória e preserva evidências, consultando stakeholders sobre janela de manutenção para contenção completa.
D Executar imediatamente procedimento de reimagem do servidor com backup limpo anterior à data do comprometimento, restaurando o serviço rapidamente, e considerar o incidente resolvido sem necessidade de análise forense detalhada.
E Notificar imediatamente a ANPD (Autoridade Nacional de Proteção de Dados) e publicar comunicado público sobre o incidente, antes de realizar qualquer ação técnica de contenção, para cumprir requisitos de transparência da LGPD.