Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security.
[1] T. Grance, T. Nolan, K. Burke, R.
Dudley, G. White, & T. Good, “Guide to test,
training, and exercise programs
for IT plans and capabilities”, 2006.
[2] D. B. Fox, C. D. McCollum,
E. I. Arnoth, & D. J. Mak, “Cyber wargaming:
Framework for enhancing cyber wargaming
with realistic business context”, MITRE Corp.
McLean VA Homeland Security Systems
Engineering and Development Institute, 2018.
[3] S. Crimando,
“The 10 Step model for designing tabletop exercises.
EverBridge”, 2017.
Um exercício de simulação de mesa é uma actividade de colaboração que permite aos participantes experimentar como reagir a um incidente de segurança cibernética, tanto de uma perspectiva técnica como executiva. Para este efeito, é apresentada uma situação de incidente fictícia, em que os participantes respondem dentro dos limites propostos. Assim, vários grupos de trabalho com diferentes papéis e responsabilidades reúnem-se para propor respostas e acções, permitindo que os planos e processos pré-estabelecidos sejam validados. Para tal, um facilitador apresenta normalmente um cenário composto por uma série de eventos, e coordena as discussões que deles decorrem [1]. A ideia original vem de uma adaptação dos chamados "jogos de guerra" que durante séculos funcionaram como um recurso para os líderes militares praticarem planeamento e pensamento estratégico, melhorarem a sua preparação para hipotéticos cenários de conflito, e melhorarem a sua consciência situacional. Os registos documentados destas práticas datam da Índia antiga e do Império Romano.
Cenários baseados em situações reais ligadas a tecnologias implantadas podem fornecer uma estimativa realista do impacto de eventos técnicos nas operações de uma organização. Os cenários integram elementos teóricos e práticos que estabelecem uma associação entre a segurança cibernética e os efeitos comerciais para fornecer uma visão realista do resultado de um evento. A obtenção de resultados com base na variabilidade dos controlos, tomada de decisões de gestão, infra-estruturas presentes, dependências de terceiros e perturbações de múltiplas partes num sector ou indústria permite identificar uma vasta gama de lacunas na resiliência operacional. O estabelecimento de um modelo sistemático, repetível e mensurável para exercícios de simulação de resposta a incidentes fornece conhecimentos sobre os benefícios potenciais da aquisição de novas tecnologias e da gestão do seu ciclo de vida [2].
As simulações têm sido utilizadas numa variedade de cenários, mesmo antes das tecnologias modernas, para uma variedade de fins que vão do entretenimento à aprendizagem e preparação para situações reais, sem comprometer a integridade das pessoas e dos recursos. Os exercícios de simulação de mesa para a prática de resposta a incidentes de cibersegurança estão cada vez mais a ganhar terreno na preparação e formação de equipas especializadas.
Para realizar tal exercício, é geralmente aceite que o planeamento é representado por um processo de 10 etapas, adaptado à prática da ciber-segurança, extraído do conhecimento da resposta a emergências civis, que excede em muito os incidentes tecnológicos na maturidade e na história [3]:
De todas as tarefas a serem executadas, as que requerem os conhecimentos mais específicos de cibersegurança são a análise da documentação existente, e a criação do cenário de acordo com as condições acordadas. Embora os objectivos destes exercícios possam ser diversos, os principais estão normalmente centrados no seguinte:
Deve ser decidido na fase de concepção se o exercício terá como objectivo salientar as funções operacionais da resposta a incidentes (geralmente áreas tecnológicas e de ciber-segurança) ou os circuitos de tomada de decisão (correspondentes aos gestores e directores). Além disso, existem diferentes tipos de participantes, dependendo do seu papel. Os protagonistas são os actores, as pessoas com o papel mais activo que debatem desempenhando os seus papéis, e discutem ou iniciam acções em resposta ao cenário. Por outro lado, há os observadores, que, embora não participem activamente, podem visualizar o que está a acontecer, e eventualmente apoiar os actores. Depois há os conectores, que são uma ligação entre jogadores e organizadores, estão familiarizados com o cenário, e testemunham as discussões, documentando os resultados para o relatório. Finalmente, há os coordenadores, que lideram e facilitam a prática, supervisionam o fluxo de eventos, monitorizam a interacção e mantêm a comunicação com os conectores
Em termos de dinâmica, os participantes representam as suas diferentes áreas (negócios, tecnologia, cibersegurança, jurídica, comunicações, etc.) e são apresentados com um cenário de incidentes que afecta a organização, resultando em múltiplos eventos que se desenrolam ao longo do tempo. Os participantes agem de acordo com a informação recebida (avaliar, priorizar, agir) e podem ter instâncias de interacção geral ou interacção entre grupos, a fim de partilharem e tomarem decisões em conjunto.
Além disso, devem ser definidas certas variáveis que condicionam a concepção do processo, tais como o tipo de incidente básico, que é o pilar sobre o qual todo o cenário é construído, e podem ser seleccionadas a priori ou propostas com base na análise da organização. Estes podem variar desde casos de resgate ou comprometimento de servidores em nuvem, a falhas de sistema, vulnerabilidades de dia zero, infecção por malware, negação de serviço, e fuga de dados, para mencionar apenas alguns destaques.
Outra variável que condiciona o desenho é a indústria a que a organização pertence, porque existem indústrias regulamentadas, com necessidades de normalização diferentes, e realizáveis por leis diferentes, e podem ser necessários ajustamentos ou imposições relacionadas com isso. Exemplos de indústrias relevantes com requisitos específicos são o sector financeiro, a energia, os produtos farmacêuticos, os alimentos, ou os transportes.
Em termos de relatórios de acção, há normalmente uma apresentação executiva, que se refere a um resumo das lições aprendidas, que inclui um resumo das actividades realizadas, e um relatório de resultados, que contém um relatório de trabalho detalhando o desenvolvimento do que aconteceu, análise das actividades, e recomendações, e inclui itens de acção propostos para melhorar a gestão de incidentes de segurança. Em alguns casos, pode também ser feito mais trabalho para criar ou actualizar o manual de estratégia de resposta a incidentes (playbook) para uma acção abrangente em casos reais, bem como para criar ou actualizar processos e procedimentos relacionados.
Numa próxima prestação centrar-nos-emos nas duas modalidades principais que caracterizam os exercícios deste tipo, uma delas é tradicional, baseada na interacção directa ao vivo (ou num modo híbrido que acrescenta pessoas remotas) e a outra é a modalidade baseada na plataforma, que acrescenta outro nível de interacção, alargando as possibilidades dos exercícios.