Como a última violação ajudará você a se preparar para a próxima crise cibernética

Como a última violação ajudará você a se preparar para a próxima crise cibernética

As equipes de segurança devem aproveitar as oportunidades de falhas do passado para fazer mudanças significativas na forma como abordamos a resposta a incidentes, disse Sarah Armstrong-Smith, consultora-chefe de segurança da Microsoft, durante a Cyber ​​Week 2023 do Reino Unido.

Aprender as lições do passado é crucial para desenvolver uma estratégia eficaz de resposta a incidentes em segurança cibernética, disse Armstrong-Smith.

A noção de eventos de ‘black swan’ – que são tão raros e incomuns que não podem ser previstos – é uma “falácia”, de acordo com Armstrong-Smith. Tais eventos incluem os ataques terroristas de 11 de setembro e a pandemia de COVID-19, na qual ocorreram vários casos semelhantes que deveriam ter permitido que as autoridades estivessem prontas. Por exemplo, houve dois surtos anteriores de coronavírus nos anos anteriores ao COVID-19.

Com base no trabalho que ela está fazendo com o Ministério da Defesa (MoD) do Reino Unido, há um acordo de que é apenas uma questão de tempo até que um ataque cibernético contra uma infraestrutura crítica cause um evento tão grande que leve a “múltiplas fatalidades”, ela disse em resposta a uma pergunta do público.

Isso ocorre porque os invasores estão se infiltrando cada vez mais nas redes operacionais, o que tem o potencial de causar muito mais destruição do que obter acesso às redes de TI. “A capacidade já existe, é apenas uma questão de tempo”, destacou Armstrong-Smith.

Sobre ataques cibernéticos e incidentes que já aconteceram, Armstrong-Smith disse que o setor de segurança cibernética costuma ser ruim em aprender lições. “Não importa quantas vezes vemos esses incidentes, eles continuam acontecendo de novo e de novo”, afirmou ela.

Analisar os resultados de inquéritos públicos sobre grandes eventos e o que eles nos dizem sobre por que tais situações sísmicas, e muitas vezes evitáveis, ocorrem também é importante, explicou ela. Vários temas comuns foram identificados, que são altamente aplicáveis ​​ao mundo da segurança cibernética:

• Uma mudança no design ou uso – ao longo do tempo, edifícios, tecnologias e produtos terão inúmeras atualizações e mudanças no uso, mas “eles não dizem às pessoas no local que essas mudanças aconteceram”. Isso significa que, quando algo dá errado, os responsáveis ​​pelo incidente contam com um plano desatualizado.
• Comunicação – Armstrong-Smith observou que muitas vezes há uma expectativa de que cada decisão deve ser comunicada desde o topo da organização até a base, atrasando significativamente a ação e perdendo o contexto para essas decisões. Em vez disso, as equipes no terreno precisam de “instruções específicas e diretas”.
• Falta de capacitação – Durante qualquer incidente, os socorristas podem variar substancialmente, dependendo da hora e do problema em que ocorre. Portanto, devem existir regras claras sobre “quem tem poder e em que grau” em situações que exijam decisões imediatas.
• Planos rígidos – Armstrong-Smith disse que muitos planos de resposta a incidentes são tão rígidos “que assim que você sai desse plano, todos entram em pânico e as coisas falham dramaticamente”. Portanto, as organizações devem estabelecer seu “caminho crítico” e ter uma diferenciação clara entre uma ordem e uma recomendação durante os incidentes.

A chave para uma resposta eficaz a incidentes em segurança cibernética são as pessoas e o fornecimento de treinamento regular que reproduz situações do mundo real, disse ela.

“Isso requer treinamento em tempo real contra o risco em tempo real com o qual estamos tentando lidar”, acrescentou Armstrong-Smith.

Portanto, exercícios de treinamento simulados devem ser tão semelhantes quanto possível a incidentes cibernéticos anteriores ou quase acidentes contra essa organização. No entanto, Armstrong-Smith observou que “nunca viu uma empresa que chegasse perto de seu pior cenário” durante os exercícios de gerenciamento de crises.

Por exemplo, ela disse que as organizações geralmente acreditam que podem contar com backups para restaurar seus sistemas no caso de uma violação de ransomware. “Posso garantir que não é assim que o ransomware funciona”, destacou Armstrong-Smith, já que os invasores geralmente excluem os backups.

Somente por meio de exercícios de treinamento realistas as equipes de segurança podem realmente entender o que estão tentando proteger e por quê, acrescentou ela. Por exemplo, muitas vezes pensamos apenas no papel da segurança para proteger a infraestrutura, esquecendo-nos do impacto nas pessoas.

Em uma sessão separada durante o primeiro dia da UK Cyber ​​Week 2023, Amanda Finch, CEO do Chartered Institute of Information Security (CIISec), citou pesquisas recentes que o órgão realizou relacionadas ao treinamento e desenvolvimento no setor.

À frente do assunto técnico (18%), os profissionais do setor disseram que a análise, o pensamento e a resolução de problemas (57%) eram as habilidades mais importantes para trabalhar em cyber, seguidas pela comunicação (24%).

Fonte: infosecurity-magazine