Exercícios de simulação de TTX (I)

Introdução

Um exercício de simulação de mesa é uma actividade de colaboração que permite aos participantes experimentar como reagir a um incidente de segurança cibernética, tanto de uma perspectiva técnica como executiva. Para este efeito, é apresentada uma situação de incidente fictícia, em que os participantes respondem dentro dos limites propostos. Assim, vários grupos de trabalho com diferentes papéis e responsabilidades reúnem-se para propor respostas e acções, permitindo que os planos e processos pré-estabelecidos sejam validados. Para tal, um facilitador apresenta normalmente um cenário composto por uma série de eventos, e coordena as discussões que deles decorrem [1]. A ideia original vem de uma adaptação dos chamados "jogos de guerra" que durante séculos funcionaram como um recurso para os líderes militares praticarem planeamento e pensamento estratégico, melhorarem a sua preparação para hipotéticos cenários de conflito, e melhorarem a sua consciência situacional. Os registos documentados destas práticas datam da Índia antiga e do Império Romano.

Cenários baseados em situações reais ligadas a tecnologias implantadas podem fornecer uma estimativa realista do impacto de eventos técnicos nas operações de uma organização. Os cenários integram elementos teóricos e práticos que estabelecem uma associação entre a segurança cibernética e os efeitos comerciais para fornecer uma visão realista do resultado de um evento. A obtenção de resultados com base na variabilidade dos controlos, tomada de decisões de gestão, infra-estruturas presentes, dependências de terceiros e perturbações de múltiplas partes num sector ou indústria permite identificar uma vasta gama de lacunas na resiliência operacional. O estabelecimento de um modelo sistemático, repetível e mensurável para exercícios de simulação de resposta a incidentes fornece conhecimentos sobre os benefícios potenciais da aquisição de novas tecnologias e da gestão do seu ciclo de vida [2].

Simular para preparar

As simulações têm sido utilizadas numa variedade de cenários, mesmo antes das tecnologias modernas, para uma variedade de fins que vão do entretenimento à aprendizagem e preparação para situações reais, sem comprometer a integridade das pessoas e dos recursos. Os exercícios de simulação de mesa para a prática de resposta a incidentes de cibersegurança estão cada vez mais a ganhar terreno na preparação e formação de equipas especializadas.

Exercício de desenvolvimento

Para realizar tal exercício, é geralmente aceite que o planeamento é representado por um processo de 10 etapas, adaptado à prática da ciber-segurança, extraído do conhecimento da resposta a emergências civis, que excede em muito os incidentes tecnológicos na maturidade e na história [3]:

1. rever a documentação: estudar o plano de resposta ao incidente e as suas lacunas.
2. Definir um objectivo: definir o que se espera alcançar após a implementação.
3. Determinar a equipa: seleccionar quem irá trabalhar no desenho.
4. Desenvolver objectivos: detalhar os objectivos específicos a validar e a cumprir.
5. Definir cenário: seleccionar o cenário geral mais adequado ao objectivo.
6. Identificar os participantes: seleccionar quem fará parte de cada grupo e papel.
7. Decidir sobre logística: definir como será realizada (cara a cara/virtual/híbrido).
8. Desenvolver eventos: criar as peças de informação de acordo com o cenário.
9. Definir a coordenação: escolher um facilitador, um observador e um anotador.
10. Apresentação de relatórios sobre as acções: apresentar relatório e encerrar formalmente.

De todas as tarefas a serem executadas, as que requerem os conhecimentos mais específicos de cibersegurança são a análise da documentação existente, e a criação do cenário de acordo com as condições acordadas. Embora os objectivos destes exercícios possam ser diversos, os principais estão normalmente centrados no seguinte:

• Experienciar como avaliar, decidir, participar e comunicar durante uma crise de segurança cibernética.
• Identificar lacunas entre os procedimentos formais e o comportamento real.
• Compreender as dificuldades de lidar com as questões operacionais de um incidente.
• Reconhecer as prioridades e acções necessárias para melhorar as capacidades de resposta a incidentes.
• Melhorar a tomada de decisões e a execução de acções apropriadas para restaurar situações.
• Exercitar os processos de comunicação e coordenação durante os incidentes.
• Determinar a eficácia dos manuais para abordar a detecção, resposta e recuperação.

Deve ser decidido na fase de concepção se o exercício terá como objectivo salientar as funções operacionais da resposta a incidentes (geralmente áreas tecnológicas e de ciber-segurança) ou os circuitos de tomada de decisão (correspondentes aos gestores e directores). Além disso, existem diferentes tipos de participantes, dependendo do seu papel. Os protagonistas são os actores, as pessoas com o papel mais activo que debatem desempenhando os seus papéis, e discutem ou iniciam acções em resposta ao cenário. Por outro lado, há os observadores, que, embora não participem activamente, podem visualizar o que está a acontecer, e eventualmente apoiar os actores. Depois há os conectores, que são uma ligação entre jogadores e organizadores, estão familiarizados com o cenário, e testemunham as discussões, documentando os resultados para o relatório. Finalmente, há os coordenadores, que lideram e facilitam a prática, supervisionam o fluxo de eventos, monitorizam a interacção e mantêm a comunicação com os conectores

Em termos de dinâmica, os participantes representam as suas diferentes áreas (negócios, tecnologia, cibersegurança, jurídica, comunicações, etc.) e são apresentados com um cenário de incidentes que afecta a organização, resultando em múltiplos eventos que se desenrolam ao longo do tempo. Os participantes agem de acordo com a informação recebida (avaliar, priorizar, agir) e podem ter instâncias de interacção geral ou interacção entre grupos, a fim de partilharem e tomarem decisões em conjunto.

Além disso, devem ser definidas certas variáveis que condicionam a concepção do processo, tais como o tipo de incidente básico, que é o pilar sobre o qual todo o cenário é construído, e podem ser seleccionadas a priori ou propostas com base na análise da organização. Estes podem variar desde casos de resgate ou comprometimento de servidores em nuvem, a falhas de sistema, vulnerabilidades de dia zero, infecção por malware, negação de serviço, e fuga de dados, para mencionar apenas alguns destaques.

Outra variável que condiciona o desenho é a indústria a que a organização pertence, porque existem indústrias regulamentadas, com necessidades de normalização diferentes, e realizáveis por leis diferentes, e podem ser necessários ajustamentos ou imposições relacionadas com isso. Exemplos de indústrias relevantes com requisitos específicos são o sector financeiro, a energia, os produtos farmacêuticos, os alimentos, ou os transportes.

Em termos de relatórios de acção, há normalmente uma apresentação executiva, que se refere a um resumo das lições aprendidas, que inclui um resumo das actividades realizadas, e um relatório de resultados, que contém um relatório de trabalho detalhando o desenvolvimento do que aconteceu, análise das actividades, e recomendações, e inclui itens de acção propostos para melhorar a gestão de incidentes de segurança. Em alguns casos, pode também ser feito mais trabalho para criar ou actualizar o manual de estratégia de resposta a incidentes (playbook) para uma acção abrangente em casos reais, bem como para criar ou actualizar processos e procedimentos relacionados.

Numa próxima prestação centrar-nos-emos nas duas modalidades principais que caracterizam os exercícios deste tipo, uma delas é tradicional, baseada na interacção directa ao vivo (ou num modo híbrido que acrescenta pessoas remotas) e a outra é a modalidade baseada na plataforma, que acrescenta outro nível de interacção, alargando as possibilidades dos exercícios.