Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security..
Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security.
retornar
POR:
Diego Staino
(Pesquisador e instrutor de segurança cibernética)
COMPARTILHAR
Referências
- Modelo para quantificar os efeitos dos
exercícios de simulação de mesa
para resposta a incidentes de segurança cibernética (2023)
https://www.researchgate.net/publication/
- Metodologia para exercícios de simulação
de resposta a incidentes
de segurança cibernética (2023)
https://www.researchgate.net/publication/
Métricas para exercícios de simulação
Os exercícios de simulação de mesa têm sido usados em diversos ambientes como forma de treinamento para situações de incidentes ou crises. No campo da resposta a incidentes, buscam-se objetivos específicos, mas os resultados às vezes podem ser subjetivos ou difusos e as organizações enfrentam a dificuldade de não conseguir quantificar claramente os benefícios e as melhorias.
Nesta postagem, compartilharemos uma maneira de abordar esse problema, compartilhando um modelo proprietário que nos permite quantificar os efeitos dos exercícios de simulação de resposta a incidentes no domínio da segurança cibernética.
Exercícios de simulação
Os exercícios de mesa (TTX), como os realizamos, são atividades que simulam situações realistas em um ambiente controlado e de baixo risco, expondo assim as pessoas a cenários fictícios alinhados a um incidente. Geralmente, envolvem equipes de diferentes áreas e o objetivo principal é avaliar a capacidade das equipes de tomar decisões e se coordenar em resposta a um cenário ou situação de crise.
Isso permite que as organizações avaliem sua capacidade de responder e se preparar para possíveis crises, identificar áreas de melhoria e tomar medidas preventivas para minimizar os riscos. Eles também podem ajudar a atender aos requisitos normativos ou regulamentares e a encontrar as melhores maneiras de manter a reputação e a credibilidade no caso de uma crise que afete esses aspectos.
Esse tipo de exercício é uma ferramenta fundamental para aprimorar as capacidades de resposta, embora os cenários devam estar alinhados com as operações da organização, ter um objetivo claro e um escopo bem definido. Dessa forma, os participantes podem ser confrontados com eventos e situações que podem incluir desafios e elementos inesperados, semelhantes aos que podem ocorrer na realidade, agindo de acordo com sua própria função na organização. Durante a implementação, os participantes discutem como abordariam a situação apresentada, tomam decisões e desenvolvem estratégias com base nas informações fornecidas, coordenando-se de acordo com suas funções para comunicar e compartilhar informações, colaborar em soluções e enfrentar os desafios apresentados.
Daqui em diante, nos concentraremos apenas nos exercícios orientados para a prática de resposta a incidentes, representados, em muitos casos, por uma equipe de resposta especializada (CSIRT).
ENISA e NIST para CSIRTs
Para poder avaliar os recursos de resposta a incidentes de uma organização, é necessária uma metodologia específica. A ENISA (Agência da União Europeia para a Segurança Cibernética) desenvolveu uma metodologia para avaliar a maturidade dos recursos das equipes de resposta a incidentes de segurança cibernética (CSIRTs), que também pode funcionar como um substituto adequado para a determinação desses recursos, mesmo em organizações que não tenham uma equipe especializada em resposta a incidentes de segurança cibernética. Ele faz uma divisão na forma de "parâmetros" que incluem diferentes aspectos avaliáveis, Organização (O), Processos (P), Ferramentas (T) e Humanos (H), em um total de 44 parâmetros.
Os parâmetros O abordam os aspectos estruturais da equipe, definindo a administração, a autoridade, as responsabilidades e os serviços de resposta, bem como sua integração a estruturas mais amplas de resposta a incidentes, avaliando assim sua base organizacional e operacional.
Os parâmetros P referem-se aos procedimentos e fluxos de trabalho que uma equipe de resposta mantém em sua operação diária. Eles avaliam como a equipe gerencia os incidentes, desde a detecção e a prevenção até a resolução, bem como a interação e a comunicação com outras entidades. Eles também fornecem uma medida da eficiência e da eficácia dos próprios processos de resposta.
Os parâmetros T referem-se às ferramentas e aos recursos tecnológicos que uma equipe de resposta utiliza em suas operações. Eles avaliam a disponibilidade, a resiliência e a eficácia das ferramentas para detectar, prevenir e responder a incidentes de segurança e fornecem uma medida dos recursos tecnológicos para lidar com incidentes de segurança cibernética.
Os parâmetros H referem-se a aspectos relacionados às pessoas e suas habilidades dentro da equipe. Eles abordam questões como código de conduta, resiliência da equipe, descrição de habilidades, treinamento interno e externo e a capacidade de criar redes externas, além de avaliar como a equipe gerencia e aprimora as competências e os comportamentos de seus membros para responder a incidentes de segurança cibernética.
A avaliação de maturidade da ENISA nos fornece um conjunto de parâmetros nos quais é necessário melhorar para atingir a maturidade esperada.
Por outro lado, o Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA, em seu Guia de Gerenciamento de Incidentes de Segurança Cibernética (SP800-61r2), fornece orientações sobre o gerenciamento de incidentes de segurança cibernética. Esse guia é especialmente relevante para organizações que precisam se preparar para responder com eficácia a incidentes de segurança cibernética. Esse guia contém recomendações sobre:
- Preparação para incidentes
- Detecção e análise
- Contenção, erradicação e recuperação
- Pós-incidente
- Coordenação e compartilhamento de informações
Esse guia nos permitirá pegar os parâmetros de aprimoramento acima e priorizá-los, para que possamos selecionar os mais relevantes a serem desenvolvidos em relação a essas estruturas.
Planejamento de um TTX
Os parâmetros a serem aprimorados serão, então, adotados como alvos utilizáveis para o projeto de um cenário de apoio ao seu aprimoramento. Com isso, todo o processo de um exercício de mesa desenvolvido metodologicamente nos permite colocar um foco especial nas melhorias necessárias para a equipe de resposta a incidentes. Após essa execução, os resultados serão trabalhados e planos serão desenvolvidos para implementar as melhorias encontradas.
É claro que há casos em que a complexidade das equipes ou as melhorias exigidas pelas organizações exigirão um processo mais abrangente. Nesse caso, por exemplo, poderia ser desenvolvida uma série de exercícios com diferentes escopos, em vez de apenas um. Além disso, as variantes de cada exercício podem incluir instâncias específicas de determinadas equipes, instâncias entre diferentes hierarquias, instâncias envolvendo terceiros e outras combinações possíveis.
Algumas conclusões
Está claro que os exercícios de mesa são uma ferramenta útil para aprimorar as capacidades de resposta e recuperação das organizações, mas seu efeito líquido não é óbvio e, muitas vezes, há incertezas sobre sua real utilidade.
O poder revelador de tais exercícios às vezes é subestimado pelas equipes técnicas, especialmente quando elas têm muito conhecimento técnico e experiência com ferramentas tecnológicas, mas também às vezes é o caso no nível executivo, o que minimiza os possíveis benefícios derivados deles.
O uso de padrões e metodologias de referência do setor confere maior legitimidade às propostas e permite uma validade com um número maior de elementos racionais. Além do fato de que a aplicação de cada guia ou estrutura pode ser feita de maneira diferente, esta proposta propõe uma abordagem na qual elementos de ambas as referências (ENISA e NIST) podem ser usados, pois ambas são importantes no setor.