Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security..
Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security.
retornar
POR:
Diego Staino
(pesquisador e instrutor de segurança cibernética)
COMPARTILHAR
Metodologia para exercícios TTX
Os exercícios de simulação de resposta a incidentes, também conhecidos como Tabletop Exercises (TTX), nos permitem simular situações críticas em um ambiente seguro e controlado. Isso dá às equipes a oportunidade de avaliar as capacidades de resposta, o nível de preparação para uma possível crise, identificar áreas de melhoria e tomar medidas preventivas para minimizar os riscos. O foco especial é colocado na melhoria da comunicação e da coordenação entre as equipes, bem como no fortalecimento da capacidade de tomar decisões eficazes em situações de alta pressão. Eles também ajudam as organizações a cumprir os requisitos regulamentares sobre gerenciamento de incidentes.
Analisamos alguns detalhes sobre esse tipo de exercício em publicações anteriores e aqui exploraremos nossa própria estrutura metodológica, desenvolvida e testada em várias ocasiões para realizar esse tipo de exercício.
Metodología
Para o desenvolvimento de um exercício de simulação de resposta a incidentes, como a maioria dos processos que envolvem melhoria contínua, é definido um processo iterativo baseado em quatro fases. Esse tipo de exercício pode ser aplicado a qualquer processo, área ou tecnologia dentro da organização (por exemplo, crise para o C-Level ou cenário completo com várias equipes).
Essas fases fornecerão uma estrutura estruturada e sistemática para o projeto, a implementação e a avaliação desses exercícios, por meio da qual as organizações poderão garantir que eles sejam apropriados, relevantes e desafiadores, permitindo que melhorem sua capacidade de responder a possíveis ameaças à segurança cibernética.
Fase de contexto
A primeira fase de um exercício TTX envolve a coleta de todos os elementos que formarão a base de cada decisão de projeto subsequente. Essa fase é fundamental para garantir o sucesso de toda a execução do exercício. Podemos dividir essa fase em cinco estágios:
1. definição dos objetivos e do escopo do exercício: determine o que você deseja alcançar com o exercício e quais são suas limitações e escopo. Embora esse tipo de exercício tenha um conjunto de objetivos específicos, cada projeto deve considerá-los ou modificá-los conforme necessário.
2. identificação de funções e responsabilidades: Aqui são identificadas as funções e responsabilidades de cada um dos membros da equipe envolvidos no exercício. Cada participante terá uma função específica e definida desde o início do planejamento. Entre as possíveis funções, podemos encontrar os participantes ativos, que participarão e terão uma função ativa durante a execução do exercício, uma equipe encarregada do design do cenário, responsável pelas etapas anteriores de definição e design, uma equipe de coordenação, que orientará as definições anteriores e a execução do exercício e, por fim, a função de observadores, estes últimos encarregados de observar a execução do exercício para, posteriormente, contribuir com propostas de melhorias e outros tipos de comentários que possam agregar valor aos resultados do exercício.
seleção da dificuldade do exercício: essa etapa permite definir o nível de complexidade e o desafio que a equipe enfrentará. A intenção é sempre realizar um exercício realista, embora a maturidade das equipes envolvidas nesse tipo de exercício, sua experiência real, o estado de seus processos e as ferramentas disponíveis devam ser considerados.
4. Seleção da modalidade de exercício: a modalidade de exercício varia de acordo com o tipo de interação e as ferramentas utilizadas. Normalmente, há duas opções: um cenário de fluxo de evento único, guiado por uma apresentação, e um cenário que consiste em vários fluxos de eventos auxiliados por algum tipo de plataforma de automação. Em particular, para nossos projetos e execução, usamos a estrutura T3SF (uma ferramenta de código aberto desenvolvida para facilitar o projeto e a execução desse tipo de exercício).
5. Seleção dos ativos envolvidos no exercício: os ativos selecionados podem variar de linhas de negócios críticas, fornecedores, operações-chave a elementos específicos, como sistemas de computador, bancos de dados e dispositivos de rede. Qualquer ativo que se enquadre nos objetivos do exercício pode ser selecionado.
Fase de definição
Nesse estágio, temos de escolher o tipo de ameaça ou a principal situação de crise a ser considerada para o projeto. Essa definição pode incluir um ou vários tipos de ameaças em relação aos objetivos do exercício. Isso pode ser definido pelo gerenciamento de riscos ou por relatórios de inteligência sobre ameaças cibernéticas (internas, externas ou alinhadas com o setor ao qual a organização pertence).
Exemplos de ameaças comuns incluem ransomware, negação de serviço, invasores internos, vazamento de dados, engenharia social, ataque à cadeia de suprimentos e interrupção física.
Para dar contexto a essas ameaças, as táticas, técnicas e procedimentos (TTPs) a serem simulados serão selecionados como referência. Em nosso caso, fizemos a seleção com base na estrutura MITRE ATT&CK, a principal referência do setor.
Se o exercício for projetado para equipes diretamente relacionadas à tomada de decisões (C-Level, Diretoria, Comitê de Crise), nessa fase será definida a situação de crise a ser incluída no cenário (sempre em relação aos objetivos e ao escopo).
Os cenários de impacto simulados também serão definidos, por exemplo, na forma de algum tipo de impacto para clientes, fornecedores, funcionários, partes interessadas, mídia social e imprensa. Essas definições orientarão os eventos específicos que serão mostrados durante a execução do exercício. Também podem ser desenvolvidos cenários com impacto específico, como queda nas ações, declínio nas operações, perda de licenças de operação, perda de contratos com terceiros, multas ou ações judiciais.
Fase de projeto e implementação
Nessa fase, o trabalho começa com a configuração do cenário em si, passando pelo processo de design e terminando com a execução, no DIA DO EXERCÍCIO. Essa fase pode ser dividida em três etapas:
1. coleta de recursos: são coletados elementos vinculados aos ativos definidos no escopo e relacionados às definições técnicas e/ou de crise. Eles podem incluir: regulamentos, relatórios de incidentes relacionados, referências a situações de crise vivenciadas por terceiros, documentação do fornecedor ou outros ativos envolvidos.
2. Elaboração do cenário: Nessa etapa, o cenário em si é elaborado. Será elaborado um enredo para dar estrutura e consistência ao cenário e, em seguida, será trabalhada a "visão do participante", que será composta pelos eventos observados durante o exercício.
• Concepção da história: é definida uma linha do tempo que incluirá o cenário completo do ataque simulado, desde o vetor de acesso inicial até as técnicas utilizadas. Essa linha do tempo não se reduz à cadeia de ataque do ponto de vista tecnológico, mas inclui a rota até o impacto e os diferentes tipos de repercussões. Essa concepção do enredo permite, posteriormente, a fluidez na execução do exercício; um exercício com componentes não alinhados pode ser interpretado como fictício e prejudicar a dinâmica da participação.
• Projeto de visualização do participante: Esse design consistirá nos eventos que serão mostrados aos participantes durante a execução do cenário, com base no histórico e nos recursos de detecção da organização. Os diferentes eventos são agrupados em uma estrutura de eventos conhecida como MSEL (Master Scenario Event List). Cada evento pode conter informações sobre uma situação (recebidas de terceiros ou de qualquer outra fonte), opções de decisão explícitas ou informações adicionais sobre o andamento do incidente, por exemplo, o resultado de uma avaliação forense ou uma definição de um participante não presente no exercício.ejercicio.
3. Execução do exercício: esta etapa envolve a implementação do cenário projetado, permitindo que os participantes interajam com o cenário e respondam aos eventos à medida que eles ocorrem. Este será "O dia do exercício", um horário agendado com as diferentes equipes, em que a reunião ocorrerá nas modalidades estabelecidas no projeto (presencial, virtual ou na plataforma). Durante um período de 2 a 3 horas, os diferentes eventos serão enviados e as ações relatadas pelos participantes serão registradas.
Aqui, o acompanhamento pelos coordenadores será crucial para garantir que os objetivos planejados sejam atingidos. Sim, essa é a parte mais divertida de todo o exercício. Um cenário bem planejado pode levar a muitas conversas valiosas e discussões com um nível de intensidade que só pode ser encontrado durante um incidente real, mas, nesse caso, com a tranquilidade de estar em uma simulação.
Fase de avaliação e aprimoramento
A última fase do exercício de simulação de resposta a incidentes pode ser dividida em três etapas:
1. Análise das lições aprendidas: uma análise das lições aprendidas é realizada durante o exercício. Isso pode incluir a identificação dos pontos fortes e fracos da equipe, a eficácia dos planos e protocolos estabelecidos e quaisquer outros aspectos relevantes que possam ajudar a melhorar a capacidade de resposta da equipe.
2. Avaliação do exercício:esta etapa envolve a avaliação do exercício, a análise do desempenho da equipe, a identificação de áreas de melhoria e a avaliação da realização dos objetivos do exercício.
3. Implementação de melhorias: a última etapa envolve a implementação ou projeção de melhorias identificadas ao longo do exercício. Isso pode incluir a atualização de planos, o treinamento de equipes, a aquisição de novas ferramentas, a habilitação de configurações em soluções de software, entre outros.
Conclusão
Os TTXs são uma ferramenta fundamental para aprimorar as capacidades de lidar com ameaças e situações de crise. Um exercício bem planejado e executado ajuda a identificar lacunas nos processos relacionados à resposta a incidentes, melhorar a capacidade de gerenciar situações críticas e ajustar os planos de ação em resposta a elas. Diante de ataques cibernéticos cada vez mais sofisticados, a necessidade de uma resposta eficiente aumenta, e esses exercícios devem ser planejados adequadamente para garantir que as equipes obtenham o máximo de benefícios.
As pessoas encontram nos exercícios de TTX um espaço para testar suas habilidades em uma situação crítica, mas um cenário mal projetado pode resultar em uma mera "situação simulada" que não agrega valor porque não é desafiadora. É fundamental que os TTXs sejam realistas e alinhados com cenários que façam sentido para o contexto e os objetivos de cada organização. Por isso, é importante ter uma metodologia robusta para garantir que informações valiosas e úteis sejam obtidas.