Os jogos de guerra não são novos. Ao longo da história, as forças armadas as conduzem há séculos para fortalecer as defesas, testar suas estratégias, verificar as capacidades de seus soldados e aprimorar sua capacidade de improvisar em uma situação altamente carregada. Mas, no mundo de hoje, as guerras cibernéticas estão cada vez mais substituindo as guerras físicas. Então, é natural que estejamos vendo forças armadas e organizações adotando jogos de guerra cibernética.
Encontrar um ataque cibernético no cenário atual é inevitável. Então, sua organização está equipada para lidar com um? Sua equipe de segurança está preparada e qualificada para proteger sua rede e ativos? Uma boa maneira de identificar e responder a essas perguntas com algum grau de certeza é realizar jogos de guerra cibernética que testam os recursos de resposta a incidentes de sua organização.
O que são jogos de guerra cibernética?
Os jogos de guerra cibernética são exercícios conduzidos para testar e melhorar a postura de segurança e a preparação de uma organização contra ataques cibernéticos. Esses exercícios podem ser de mesa ou simulações em um ambiente de teste que modela uma réplica do ambiente de negócios e segurança da organização participante, para fornecer a experiência de um ataque real. Mas os jogos de guerra cibernética são diferentes dos testes de caneta? A resposta é um sim retumbante.
Enquanto os pen testers são hackers éticos contratados por organizações para encontrar brechas ou vulnerabilidades de segurança em sua rede, os jogos de guerra cibernética envolvem uma simulação de ataque que ocorre em um cenário de negócios em que membros de diferentes equipes de uma organização participam juntos – segurança, RH, jurídico, atendimento ao cliente, marketing, operações de negócios, desenvolvimento de aplicações, finanças, gerenciamento de riscos, comunicações corporativas e, idealmente, até executivos de alto escalão. Por meio desses exercícios, as organizações também podem navegar entre os vários estágios de um possível ataque, tanto do ponto de vista do atacante quanto do ponto de vista do defensor.
Como são conduzidos os jogos de guerra cibernética?
Os jogos de guerra cibernética podem ser conduzidos pelas próprias organizações ou podem ser terceirizados, total ou parcialmente. Optar por terceirizar tem o potencial de ser mais enriquecedor, pois não há chance de que os resultados sejam afetados (ou mesmo imprecisos) por sua equipe vermelha e azul estarem muito familiarizados com os recursos, estilos ou estratégias um do outro. Além disso, nem todas as organizações terão uma equipe vermelha e uma equipe azul dedicadas; portanto, nesse caso, terceirizar a equipe que falta seria a única opção viável.
Quem conduz os jogos de guerra cria o cenário. O tema central geralmente é decidido pea própria organização. Isso pode ser baseado em um ataque específico contra o qual a organização está tentando se defender (por exemplo, ransomware) ou pode ser para testar a prontidão geral contra ataques cibernéticos.
Uma vez definidos o escopo e o objetivo, o cenário do jogo será mapeado pelo criador. Este criador de cenário também pode ser o facilitador que conduz o jogo, ou pode ser um especialista externo em jogos de guerra.
Uma vez que o jogo começa, ele é estruturado de forma que os participantes recebam algumas informações básicas, mas sejam deixados para descobrir todo o escopo do problema e planejar uma estratégia para responder. À medida que as coisas se desenrolam, a sequência de eventos se adapta de acordo com as ações realizadas por suas equipes. Embora eles possam executar ações de seu manual de resposta a incidentes existente, na maioria dos casos, eles terão que improvisar sua resposta com base nas informações e feedback que o facilitador fornece. O tempo, sendo essencial nos jogos de guerra, servirá como um excelente meio para as organizações identificarem como seu MTTD e MTTR se posicionam no caso de um ataque real.
O que as organizações alcançam jogando jogos de guerra cibernética?
As organizações podem obter os seguintes benefícios participando de jogos de guerra cibernética:
- Obter uma visão holística das perspectivas de ataque e defesa
Uma organização que participa de jogos de guerra cibernética experimentará estágios de ataque e seu impacto, tanto do ponto de vista dos atacantes quanto dos defensores. Por meio do cenário, as equipes podem testemunhar as várias maneiras pelas quais um invasor pode entrar em uma rede, como eles aumentam os privilégios para realizar o ataque e o possível impacto de uma violação na organização e em seus clientes. As consequências incluem perda financeira, reputação prejudicada, perda de clientes e, no caso de uma organização pública, perda da confiança e boa vontade dos investidores. A partir da atuação dos defensores, todos na organização podem avaliar as estratégias e táticas que utilizam para identificar, prevenir e deter um ataque em andamento, em tempo real.
- Compreender e aumentar a eficácia da colaboração da equipe multifuncional
Por meio desses jogos com seu grupo diversificado de participantes, as organizações aprenderão como se comunicar, criar estratégias e cooperar entre suas equipes não técnicas no caso de uma possível violação e descobrir maneiras de mitigar e conter os danos antes que se tornem irreparáveis. Por exemplo, um cenário pode ser sobre a notícia de uma violação vazada para o público antes que a organização faça uma declaração oficial. Desde a equipa de atendimento ao cliente e de relações com investidores que verifica a validade da reclamação, até à forma como a situação deve ser tratada entre as várias equipas, tudo fará parte do processo. Na maioria das vezes, o verdadeiro impacto de uma violação nas organizações depende da maneira como lidam com a situação após uma violação, e não da violação real, especialmente se não envolver perda de dados. Os jogos de cyberwar podem, portanto, ajudar as organizações a entender as funções dos diferentes membros da equipe ao lidar com um incidente que se estende além do escopo apenas da equipe de segurança ou produto. Na verdade, esses jogos ajudam a inculcar o conceito de “segurança como uma responsabilidade compartilhada”.
- Identificar pontos fortes e fracos em sua postura de segurança
As organizações poderão identificar o desempenho de sua equipe de segurança: desde a identificação da violação ou vulnerabilidade, até a avaliação dos danos e riscos envolvidos, respondendo com rapidez e eficácia e preservando as evidências para análise forense. Os jogos ajudam você a descobrir se o manual de resposta e o pessoal existentes são eficazes ou se é necessário melhorar. Por meio desses jogos, as organizações podem identificar vulnerabilidades de segurança, como falhas na segurança de ativos (devido à falta de DevSecOps) que os invasores podem explorar para invadir uma rede. As organizações também podem identificar se as diretrizes corretas estão em vigor para conter um ataque de forma eficaz, que modo de comunicação diferentes equipes preferem no caso de um ataque e até mesmo determinar se sua segurança pode ser projetada em torno de uma tendência que há muito se tornou obsoleta! As organizações podem revisar e redefinir sua abordagem de segurança com base nos insights inferidos.
Conclusão
Os jogos de cyberwar são uma ótima maneira de avaliar e aumentar a preparação de sua equipe de segurança. É uma forma de aumentar a resiliência cibernética por meio de exercícios de treinamento repetidos, de modo que a equipe de segurança se prepare para responder de forma eficaz aos ataques da vida real instintivamente.
Independentemente do número de organizações participantes, os jogos de guerra cibernética são uma ótima experiência de aprendizado e uma que sua organização deve considerar. Você está pronto para enfrentar o desafio de testar a preparação de segurança de sua organização contra ataques cibernéticos? Boa sorte, guerreiros!
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Hiranmayi Krishnan.
