Ideas, información y conocimientos compartidos por el equipo
de Investigación, Desarrollo e Innovación de BASE4 Security.
Ideas, información y conocimientos compartidos por el equipo
de Investigación, Desarrollo e Innovación de BASE4 Security.
volver
POR:
Diego Staino
(Cybersecurity Researcher & Trainer)
COMPARTIR
Metodología para ejercicios de simulación de respuesta (TTX)
Los ejercicios de simulación de respuesta ante incidentes, también conocidos como "Tabletop Exercises" (TTX), nos permiten simular situaciones críticas en un entorno controlado y seguro. Esto le da la oportunidad a los distintos equipos de evaluar capacidades de respuesta,el nivel de preparación ante una posible crisis, identificar áreas de mejora y tomar medidas preventivas para minimizar los riesgos. Se hace especial foco en mejorar la comunicación y la coordinación entre equipos, así como fortalecer la capacidad de tomar decisiones efectivas en situaciones de alta presión. También ayudan a las organizaciones a cumplir con los requisitos normativos en materia de gestión de incidentes.
Hemos revisado algunos detalles sobre este tipo de ejercicios en publicaciones anteriores y en esta oportunidad exploraremos un marco metodológico propio, desarrollado y puesto a prueba en varias ocasiones para llevar adelante este tipo de ejercicios.
Metodología
Para el desarrollo de un ejercicio de simulación de respuesta ante incidentes, como la mayoría de los procesos que implican una mejora continua, se define un proceso iterativo basado en cuatro fases, este tipo de ejercicios puede ser aplicado a cualquier proceso, área o tecnología dentro de la organización (Ej. Crisis para C-Level o escenario completo con múltiples equipos).
Estas fases proporcionarán un marco estructurado y sistemático para el diseño, implementación y evaluación de estos ejercicios, a través del cual las organizaciones pueden asegurarse que sean adecuados, relevantes y desafiantes, permitiendo mejorar su capacidad de respuesta ante posibles amenazas de ciberseguridad.
Fase de contexto
La primera fase de un ejercicio de simulación de respuesta ante incidentes (TTX) implica la recolección de todos los elementos que conformarán la base de cada decisión de diseño posteriormente. Esta fase es fundamental para asegurar el éxito de toda la ejecución del ejercicio. Podemos dividir esta fase en cinco etapas:
1. Definición de objetivos y alcance del ejercicio: Se determina qué se quiere lograr con el ejercicio y cuáles son sus limitaciones y alcances. Si bien este tipo de ejercicios cuenta con una serie de objetivos específicos, cada diseño debe ponderarlos o modificarlos según la necesidad.
2. Identificación de roles y responsabilidades: Aquí se identifican los roles y responsabilidades de cada uno de los miembros del equipo involucrado en el ejercicio. Cada participante tendrá un rol específico y definido desde el inicio de la planificación. Entre los posibles roles podemos encontrar a los participantes activos, serán los que participen y tendrán un rol activo durante la ejecución del ejercicio, un equipo encargado del diseño del escenario, encargados de las etapas previas de definición y diseño, un equipo de coordinación, quienes guiarán las definiciones previas y la ejecución del ejercicio y por último el rol de observadores, estos últimos encargados de observar la ejecución del ejercicio para posteriormente aportar propuestas de mejoras y otro tipo de comentarios que puedan aportar valor a los resultados del ejercicio.
3. Selección de la dificultad del ejercicio: Esta etapa permite definir el nivel de complejidad y desafío que enfrentará el equipo. Siempre se pretenderá un ejercicio realista, aunque debe considerarse la madurez de los equipos participantes en este tipo de ejercicios, sus experiencias reales, estado de procesos, herramientas disponibles.
4. Selección de la modalidad del ejercicio: La modalidad del ejercicio variará según el tipo de interacción y las herramientas utilizadas. Típicamente, podemos encontrarnos con dos opciones, un escenario de un único flujo de eventos, guiado por una presentación, y un escenario conformado por múltiples flujos de eventos asistido por algún tipo de plataforma de automatización. En particular para nuestros diseños y ejecución utilizamos el framework T3SF (desarrollo Open-source interno para facilitar el diseño y ejecución de este tipo de ejercicios “Si no puedes contra ellos, codealos”).
5. Selección de los activos involucrados en el ejercicio: Los activos seleccionados pueden ser desde líneas de negocio críticas, proveedores, operaciones clave hasta elementos específicos como sistemas informáticos, bases de datos, dispositivos de red. Cualquier activo que se encuentre dentro de los objetivos del ejercicio puede ser seleccionado.
Fase de definiciones
En esta fase nos encontramos con la elección del tipo de amenaza o situación de crisis principal que desea considerarse para el diseño. Esta definición podrá incluir uno o varios tipos de amenazas en relación con los objetivos del ejercicio. Esto puede estar definido por la gestión de riesgos, o los reportes de ciber inteligencia de amenazas (internos, externos, o alineados con el sector al que pertenece la organización).
Entre los ejemplos de amenazas más comunes podemos encontrar Ransomware, Denegación de Servicio, Atacantes internos, Fuga de información, Ingeniería social, Ataque a cadena de suministros, y Disrupción física.
Para dar contexto a estas amenazas se seleccionarán tácticas, técnicas y procedimientos (TTPs) a simular como referencia. En nuestro caso realizamos la selección basándonos en el framework MITRE ATT&CK, principal referencia de la industria.
Si el ejercicio fuera diseñado para equipos relacionados directamente con la toma de decisiones (C-Level, Directorio, Comité de crisis) en esta fase se definirán la situación de crisis que serían incluidas al escenario (siempre en relación con los objetivos y el alcance).
Se definirán también los escenarios de impacto simulado, por ejemplo, en forma de algún tipo de repercusión a clientes, proveedores, empleados, partes interesadas, redes sociales, medios de prensa. Estas definiciones permitirán guiar los eventos específicos que serán mostrados durante la ejecución del ejercicio. También puede desarrollarse escenarios con impacto específico como la caída de las acciones, disminución de operaciones, pérdida de licencias de operación, pérdida de contratos con terceros, multas o acciones judiciales.
Fase de diseño y ejecución
En esta fase se comienza a trabajar sobre el armado del escenario en sí mismo, a través del proceso de diseño, y finalizando con la ejecución, el DÍA DEL EJERCICIO. Esta fase podemos dividirla en tres etapas:
1. Recolección de recursos: Se recopilan los elementos vinculados a los activos definidos en el alcance y relacionados con las definiciones técnicas y/o de crisis. Entre estos podemos encontrar: normativas, reportes de incidentes relacionados, referencias a situaciones de crisis transitadas por terceros, documentación de proveedores, u otros activos involucrados.
2. Diseño del escenario: En esta etapa se realiza el diseño del escenario propiamente dicho. Se elaborará una historia (storyline) que dará estructura y consistencia al escenario, y posteriormente se trabajará sobre la "vista del participante" la cual estará conformada por los eventos observados durante el ejercicio.
• Diseño de historia: Se define una línea de tiempo que incluirá el escenario completo del ataque simulado, desde el vector de acceso inicial, técnicas utilizadas. Esta línea de tiempo no se reduce a la cadena del ataque desde el punto de vista tecnológico, sino que incluye la ruta hasta el impacto y los distintos tipos de repercusiones. Este diseño de la historia permite posteriormente la fluidez en la ejecución del ejercicio, un ejercicio que contengan componentes no alineados puede ser interpretado como ficticio y entorpecer la dinámica de participación.
• Diseño de la vista de participantes: Este diseño estará formado por los eventos que serán mostrados a los participantes durante la ejecución del escenario, estará basado en la historia y en las capacidades de detección de la organización. Los distintos eventos son agrupados en una estructura de eventos conocida como MSEL (Master Scenario Event List). Cada evento podrá contener información sobre una situación (recibida por un tercero o de cualquier otra fuente), opciones de decisión explícita o información adicional sobre el avance del incidente, por ejemplo, el resultado de una evaluación forense o una definición de un participante no presente en el ejercicio.
3. Ejecución del ejercicio: Esta etapa comprende la puesta en práctica del escenario diseñado, permitiendo a los participantes interactuar con el escenario y responder a los eventos según ocurran. Este será “El día del ejercicio”, un momento programado con los distintos equipos, en donde se realizará el encuentro en la modalidades establecida en el diseño(presencial, virtual o en plataforma). Durante un lapso de 2 a 3 horas se enviarán los distintos eventos y se registrarán las acciones reportadas por los participantes.
Aquí el seguimiento de los coordinadores será crucial para asegurar el cumplimiento de los objetivos planificados. Sí, esta es la parte más divertida de todo el ejercicio. Un escenario bien planificado puede derivar en montones de conversaciones de valor, y debates con un nivel de intensidad que solo pueden encontrarse durante un incidente real, pero en este caso con la tranquilidad de encontrarnos en una simulación.
Fase evaluación y mejoras
La última fase del ejercicio de simulación de respuesta ante incidentes podemos dividirla en tres etapas:
1. Análisis de lecciones aprendidas: Se realiza un análisis de las lecciones aprendidas durante el ejercicio. Esto puede incluir la identificación de las fortalezas y debilidades del equipo, la eficacia de los planes y protocolos establecidos, y cualquier otro aspecto relevante que pueda ayudar a mejorar la capacidad de respuesta de este.
2. Evaluación del ejercicio: Esta etapa implica la evaluación del ejercicio, se analiza el rendimiento del equipo, se identifican las áreas de mejora y se evalúan el alcance de los objetivos del ejercicio.
3. Implementación de mejoras: La última etapa implica la implementación o la proyección de las mejoras identificadas durante todo el recorrido del ejercicio. Esto puede incluir la actualización de los planes, la capacitación de equipos, la adquisición de nuevas herramientas, la habilitación de configuraciones en soluciones de software, entre otros.
Conclusión
Los TTX son una herramienta clave para mejorar las capacidades para enfrentar amenazas y situaciones de crisis. Un ejercicio bien diseñado y ejecutado, ayuda a identificar brechas en procesos relacionados con la respuesta ante incidentes, mejorar la capacidad para gestionar situaciones críticas y ajustar los planes de acción frente a estas. Ante ciberataques cada vez más sofisticados, la necesidad de una respuesta eficiente aumenta, estos ejercicios deben planificarse de manera adecuada para garantizar que los equipos obtengan el máximo beneficio.
Las personas encuentran en los ejercicios de simulación de respuesta ante incidentes (TTX) un espacio para poner a prueba sus habilidades ante una situación crítica, pero un escenario con poca calidad en su diseño puede derivar en una mera “situación simulada” que no aporta valor por no resultar desafiante, es crucial que los TTX sean realistas y estén alineados con escenarios que tengan sentido para el contexto y objetivos de cada organización. Todo esto hace que sea importante contar con una metodología sólida para garantizar que se esté obteniendo información valiosa y útil.