Sua empresa está pronta para ataques cibernéticos?
Sua empresa está pronta para ataques cibernéticos?
Os militares dos EUA consideram o ciberespaço como um domínio crítico que eles devem proteger semelhante ao ar, ao mar e à terra. Eles conduzem regularmente jogos de guerra para expor e eliminar riscos a dados e redes e para testar suas táticas e estratégias de defesa cibernética. Como parte desse esforço, os militares e outras agências governamentais, incluindo o Departamento de Segurança Interna dos EUA, lançaram programas de recompensas que recompensam os chamados hackers éticos (pessoas contratadas pelas organizações para invadir seus sistemas de computador) para identificar e reparar possíveis vulnerabilidades diante de ataques cibernéticos.
Cada vez mais, os exercícios cibernéticos estão se tornando elementos padrão dos esforços de mitigação e resiliência de riscos corporativos. Neste artigo, são descritos alguns dos exercícios que as empresas estão empregando. Eles incluem “exercícios de mesa”, projetados para ajudar os executivos a imaginar como lidariam com diferentes cenários de risco; “exercícios de equipe vermelha”, que são projetados para desmembrar os pontos fracos através de ataques contidos realizados internamente para ver como as equipes de segurança cibernética respondem; além de envolver hackers éticos para testar as defesas de segurança cibernética de uma organização.
Exercícios de mesa
Exercícios de mesa são eventos cuidadosamente planejados que simulam ataques cibernéticos reais ajudando as organizações a identificar vulnerabilidades específicas e definir processos, procedimentos e responsabilidades individuais necessárias para tornar os sistemas seguros. No entanto, é importante notar que os exercícios de mesa não são apenas para "defender o castelo" contra ataques, eles também podem ensinar os líderes de uma empresa a gerenciar o ataque e depois como remediar os possíveis danos. De certa forma, os exercícios servem como um raio-X para as cibernéticas da organização. Eles podem ajudar as empresas a acelerar seu tempo de reação e construir resiliência, testando sua preparação para diferentes tipos de cenários, incluindo ataques externos e violações internas de dados.
Normalmente, as empresas estabelecem equipes de pessoas de diferentes níveis e áreas de negócios (incluindo especialistas em segurança). As equipes são solicitadas a reagir a cenários e a resolver uma série de perguntas. Por exemplo: se a segurança dos dados é violada e os dados confidenciais dos clientes são roubados, o que a empresa precisa fazer? Como a empresa detectaria um ataque? Com que rapidez poderia responder? O ataque poderia realmente ser uma cortina de fumaça para desviar a atenção de outro ataque (talvez ainda maior) em outro flanco? Em um nível prático, os exercícios de mesa são projetados para ajudar as empresas a descobrir quem é responsável por executar as ações e quais informações precisam ser comunicadas aos clientes, funcionários, meios de comunicação, reguladores, policiais e funcionários do governo.
A resposta correta pode variar dependendo do dia, da hora ou da época do ano. Por exemplo, um ataque a uma empresa financeira em um final de semana ou feriado pode exigir uma resposta diferente da exigida durante um dia normal de negociação, quando mais especialistas e gerentes de segurança estão imediatamente disponíveis para lidar com os problemas. Outros tipos de riscos surgem quando as empresas estão se preparando para anunciar os resultados financeiros trimestrais. Os ataques durante esses períodos podem levar a dados corrompidos e podem impedir que os sistemas de TI gerem as informações necessárias. Nesses casos, a melhor resposta é geralmente suspender o serviço e redirecionar os usuários para centros onde os serviços digitais não tenham sido comprometidos.
Como muitos processos diários relacionados a dados e privacidade dependem de julgamento humano e não de controles codificados em sistemas, os exercícios de mesa também podem revelar vulnerabilidades não relacionadas a redes ou software. De fato, em qualquer organização, pessoas e dispositivos são o elo de segurança mais fraco. Por exemplo, uma empresa descobriu por meio de um exercício de mesa que seu gerenciamento de relacionamento com o cliente de backup e sistema de pedidos proporcionava acesso relativamente fácil a uma variedade de sistemas e bancos de dados corporativos. Entre outras fraquezas, utilizou senhas que não expiram. Isso significa que qualquer hacker que invadisse o sistema teria acesso potencial a informações pessoais dos funcionários. Outra empresa descobriu que os hackers poderiam ver as negociações pendentes que estavam sendo compartilhadas internamente por e-mail em planilhas do Excel não criptografadas.
Exercícios da equipe vermelha
Os militares dos EUA transformaram as capacidades defensivas e reduziram as vulnerabilidades em uma atividade de treinamento regular. A ideia é testar a prontidão da força com um grupo de especialistas em segurança (a equipe vermelha) focado em explorar as fraquezas em um segundo grupo (a equipe azul). O trabalho do time azul é testar suas defesas e proteger a segurança de suas “joias da coroa” que incluem desde dados de clientes e relatórios de P & D até códigos de controle e especificações técnicas. Em organizações avançadas, o objetivo é realizar testes realistas da capacidade de resposta das principais operações de segurança de uma empresa tendo o cuidado de evitar danos a pessoas, dados em tempo real ou equipamentos.
Os ataques em equipe podem ajudar as empresas a testar sua prontidão em segurança cibernética e suas habilidades para se defender contra ameaças reais ou potenciais aos seus clientes, à organização ou ao sistema mais amplo em que operam. Por exemplo, aproveitando as últimas maquinações de maus atores e informações disponíveis publicamente sobre uma empresa, uma equipe vermelha pode tentar obter acesso à rede da empresa e tentar misturar-se ao tráfego de dados normal. Dependendo de como os exercícios da equipe vermelha são estruturados, os defensores podem ou não saber sobre o exercício com antecedência. Algumas empresas mantêm pontuação entre as duas equipes para promover a concorrência.
Hackers Éticos Engajados
As empresas podem contratar hackers éticos para realizar ataques surpresa em seus produtos e redes. Eles podem seguir o exemplo do Pentágono que foi capaz de identificar e remediar cerca de 4.000 vulnerabilidades de segurança através do seu programa de recompensas de bugs. Entre outras coisas, os hackers encontraram falhas de segurança que permitiram que as pessoas ignorassem os procedimentos de autenticação ou injetassem bugs no sistema.
As montadoras Fiat Chrysler e General Motors, por exemplo, estão adotando essa abordagem, oferecendo recompensas a pessoas que descobrem fraquezas em softwares relacionados a seus carros. No mundo das moedas criptografadas, a Coinbase, uma troca de moeda digital, posicionou-se como um pioneiro na segurança baseada em hackers. Ele funciona com o HackerOne, uma plataforma de recompensas de bugs, para envolver alguns dos mais persistentes hackers éticos.
A crescente preocupação com as ameaças cibernéticas levou algumas empresas a desenvolverem suas próprias ferramentas de segurança cibernética para, essencialmente, colaborar na criação de hackers éticos. Nos últimos anos, a Netflix, por exemplo, desenvolveu mais de uma dúzia de aplicativos para analisar ameaças à segurança de seus dados e sistemas. Ele lançou os aplicativos, muitos dos quais voltados para organizações de desenvolvimento de software distribuído, como “código aberto”, que permite que outras empresas os usem ou modifiquem para seus próprios fins sem pagar uma taxa de licenciamento. O benefício adicional é que as ferramentas originais são aprimoradas no processo. Por sua vez, a IBM tem uma abordagem prática e comprovada para o hacking ético, com padrões, treinamento e certificações para permitir a implantação de hackers proficientes em grande número.
Os especialistas em segurança costumam dizer que existem duas categorias de empresas: as que foram atacadas e as que não sabem que foram atacadas. No ambiente de hoje, aprender o que é preciso para fortalecer sua equipe de cibersegurança e seus negócios contra ataques cibernéticos precisa ser uma atividade contínua. Se - ou quando - ocorrer um ataque, a capacidade da sua empresa de isolar o problema de forma agressiva e, em seguida, atenuar e restaurar as atividades normais em tempo hábil poderá definir o futuro do negócio. Os jogos cibernéticos podem ajudar você a entender onde concentrar os recursos para melhorar sua prontidão e resiliência.