Exercícios tabletop de segurança

Os exercícios tabletop de segurança testam como uma equipe ou um processo funcionam. Esses exercícios simulam uma conversa em que as pessoas envolvidas em um incidente cibernético hipotético avaliam suas estratégias de resposta, identificam pontos fracos e aprimoram sua base preparatória. Esses exercícios ajudam as organizações a ajustar seus planos de resposta a incidentes, melhorar a comunicação e adquirir resiliência contra ameaças reais.

backgroud-texture-bg-2

Por que os exercícios tabletop de segurança são importantes?

  • Identificação de pontos cegos: os exercícios tabletop de segurança ajudam você a identificar pontos cegos na sua segurança cibernética antes que os criminosos cibernéticos possam encontrá-los e explorá-los.
  • Análise de postura de segurança: com exercícios tabletop de segurança cibernética, você pode avaliar sua postura de segurança e encontrar formas de otimizá-la.
  • Análise de comunicação: exercícios tabletop de segurança cibernética podem evidenciar problemas de comunicação entre equipes e departamentos que podem interferir na sua capacidade de tratar dos ataques cibernéticos.
  • Conformidade: conduzir e documentar exercícios tabletop de segurança é um requisito de preparação a incidentes nos programas de segurança de muitas indústrias altamente regulamentadas.

Tipos de exercícios tabletop de segurança

Cenários rápidos

Um cenário rápido apresenta “um nível extremamente alto para ser entendido e discutido com facilidade e rapidez”, de acordo com ISACA. Requer o mínimo de preparo e dura entre 10 a 30 minutos.

Os cenários rápidos, também chamados “rapid-fire”, podem incluir equipes integradas por pessoal júnior, intermediário e sênior e com grande diversidade de especialização. Os membros das equipes podem examinar vários cenários de segurança, cada qual atuando como responsável por responder ao incidente.

Cenários técnicos

Os cenários técnicos consomem, em geral, cerca de uma a duas horas. Esses cenários, também chamados “technical-only”, promovem discussões técnicas profundas e exigem intenso planejamento. Com eles, os membros das equipes podem avaliar os aspectos técnicos de um incidente de segurança.

Um cenário apenas técnico normalmente envolve um evento de “semeadura”. Conforme o evento se desenrola, sua organização pode adicionar mais detalhes a ele. Isso ajuda os membros da equipe a se prepararem para ataques cibernéticos mais complexos.

Cenários completos

Cenários completos são os cenários técnicos expandidos. Eles focam em questões técnicas e problemas diversos e de logística.

O processo dura, em geral, entre duas e quatro horas. Pode incluir membros da equipe técnica, além de profissionais do jurídico, marketing e RH.

Os cenários completos são ideais para as organizações que desejam melhorar a comunicação entre equipes e departamentos. Combinar o pessoal técnico e não técnico em um exercício tabletop completo pode ser bastante benéfico. Isso dá aos participantes de diferentes equipes e departamentos a oportunidade de trabalharem em conjunto para tratar de um problema de segurança.

Algumas organizações solicitam que as equipes e/ou departamentos ingressem no cenário em diferentes momentos. Assim, as equipes e departamentos começam a se envolver gradualmente, do mesmo modo que aconteceria em um incidente de segurança real.

Quem executa um exercício tabletop de segurança?

Terceiros

Os serviços de segurança tabletop de terceiros facilitam e gerenciam cenários e levantam pontos de debate. Nesse ambiente, os esforços exigidos para instalar e executar o processo são mínimos.

Um terceiro pode adaptar o exercício tabletop à sua organização ou ambiente. Ele aprenderá sobre a sua organização e seus desafios de segurança. Depois, desenvolverá um exercício tabletop de segurança personalizado para a sua organização e suas equipes ou departamentos.

Autoatendimento

Sua organização pode traçar os seus próprios exercícios de segurança, porém o desenvolvimento e a implementação desses exercícios podem ser caros e demorados. Contudo, você pode personalizar seus exercícios de segurança cibernética para a sua organização e ambiente.

Com exercícios tabletop de segurança cibernética, os participantes podem aprender sobre os desafios de segurança da sua organização. Por exemplo, alguns desafios podem envolver sistemas que os participantes usam diariamente. Isso ajuda a tornar os desafios mais “reais” e estabelecer um maior engajamento, facilitando o trabalho conjunto dos participantes para identificar e tratar de questões específicas que possam impactar diretamente a sua organização, funcionários e clientes. 

Como a Sophos realiza exercícios tabletop de segurança?

Na Sophos, criamos exercícios tabletop de segurança cibernética personalizados para equipes ou departamentos específicos. Em um exercício, normalmente começamos com um pequeno problema de segurança e encorajamos os participantes a compartilhar abordagens e ideias entre eles. A partir desse ponto, usamos “resultados” para ressaltar a gravidade do problema.

Oferecemos temas para os cenários de segurança cibernética que as organizações podem usar para desenvolver e executar seus próprios exercícios tabletop. Juntamente, oferecemos algumas dicas para ajudar você a entender melhor os exercícios tabletop de segurança:

Identifique o seu público-alvo

Determine seu público-alvo e então desenvolva seu cenário de segurança cibernética. Por exemplo, um cenário complexo de segurança será o ideal se você estiver testando a sua equipe de segurança cibernética.

Entretanto, se você estiver testando sua equipe de TI ou DevOps, opte por um problema que os participantes entenderão e prestarão atenção, dedicando a ele o tempo e a energia devidos.

Escolha os participantes certos

Inclua uma única equipe ou departamento, ou vários, em seu cenário de segurança. Um cenário formado por uma única equipe permite que você analise o grau de especificidade com que os participantes responderão a um ataque cibernético. Já um cenário que inclua várias equipes ou departamentos incita as muitas partes envolvidas a trabalharem em conjunto para tratar de um incidente de segurança.

Decida quando envolver os participantes

Analise e pondere quando as diferentes equipes e/ou departamentos deverão ser envolvidos no seu cenário de segurança cibernética. Por exemplo, se as informações de identificação pessoal (PII) da sua organização forem comprometidas, você precisará envolver membros da equipe ou departamento jurídico para assegurar a conformidade com a regulamentação GDPR e outras obrigações de segurança de dados.

É sempre benéfico incluir pelo menos uma pessoa de cada equipe ou departamento da sua organização em um cenário de segurança. Ao fazê-lo, você fomenta a comunicação e a colaboração funcional entre as equipes e departamentos da organização.

Decida quantos participantes incluir

Assegure-se de que o seu cenário inclua participantes que possam se engajar uns com os outros e trabalhar em colaboração para atingir objetivos comuns. Em nossos cenários, geralmente incluímos até 25 participantes de diferentes níveis de uma única equipe ou departamento, ou várias equipes ou departamentos. Ao decidir quantos participantes incluir em seus exercícios tabletop de segurança, considere o tamanho da sua organização e a estrutura de suas equipes e departamentos.

Calcule o tempo do seu exercício

Dê aos participantes tempo suficiente para fazer o exercício tabletop. Na Sophos, tentamos evitar sessões demasiado longas de exercícios tabletop, isso porque pode ser difícil para os participantes coordenar suas agendas e ingressar em sessões que durem mais do que algumas poucas horas.

Prepare os seus materiais

Use uma apresentação do PowerPoint ou outros materiais para apresentar o seu cenário. A equipe da Sophos normalmente usa apresentações em PowerPoint para explicar seus exercícios tabletop, em que cada slide mostra a progressão dos eventos e questionamentos que os participantes devem considerar. Normalmente, limitamos o tamanho de nossas apresentações de exercícios em PowerPoint a 20 slides.

Crie a sua história tabletop

Desenvolva uma história teórica e adapte as informações nela incluídas conforme desejado. Histórias e notícias mais recentes vão atrair a atenção dos participantes. Para histórias mais extensas, você pode usar breadcrumbs para o rastreamento digital de sistemas e logs dos participantes para localizá-los e acompanhá-los.

Correlacione o exercício tabletop com os participantes

Crie um exercício tabletop de segurança cibernética com base na maturidade de segurança de seus participantes. Por exemplo, uma história detalhada pode beneficiar os participantes que possuem perícia e habilidades avançadas em segurança cibernética. Em outras situações, um cenário genérico de alto nível pode ser o mais indicado.

Se estiver desenvolvendo uma narrativa detalhada, assegure-se de que seja realista. Por exemplo, se quiser atingir uma parte específica da sua organização ou rede, obtenha insights com alguém da área desejada. Dessa forma, você poderá criar um cenário que reflita o seu público-alvo.

Obtenha feedback dos participantes

Pergunte aos participantes se têm ideias que você possa incorporar aos seus exercícios. A maioria dos participantes poderá compartilhar insights sobre pontos fracos na segurança que enfrentam diariamente. Você pode usar esses pontos fracos para desenvolver um cenário que ajude os participantes a encontrar formas de tratar esses problemas no futuro.

Mapeie o seu cenário

Trace um fluxograma de como o seu ataque simulado se desenrolará. Isso ajuda a encontrar as falhas na sua história.

Além disso, você pode pedir aos membros das equipes e departamentos que têm entendimento sobre as questões abrangidas na sua história que deem seu feedback. Esses membros de equipes e departamentos podem ajudar você a resolver problemas e garantir que o seu cenário seja realista.

Crie perguntas para debate

Anote as dúvidas que surjam durante o desenvolvimento de sua história. Essas dúvidas podem levar a questionamentos entre os participantes do cenário.

Revise a sua história

Avalie o seu cenário várias vezes antes de apresentá-lo aos participantes. Pode ser difícil determinar quanto tempo levará para que os participantes concluam a história. Quando estiver em dúvida sobre a quantidade de tempo necessária, use de cautela. Se você notar que a sua apresentação está tomando muito tempo dos participantes, faça uma reavaliação.

Defina o tom do seu exercício

Quando os participantes chegarem para o exercício, estimule a participação de todos. O exercício dá a cada participante a oportunidade de compartilhar sua opinião e ajudar a organização a melhorar sua postura de segurança. Se os participantes se comunicarem e colaborarem entre si, todos poderão absorver o grande valor que o exercício traz.

Seja o moderador do exercício

Se você for o moderador do exercício, resista à inclinação de participar. Nessa função, você estipula o cenário para os participantes e os ajuda a avançar. Você pode dar aos participantes tempo para debaterem diferentes tópicos da história e compartilharem perguntas e dúvidas para esclarecimento.

Monitore os problemas

Certifique-se de que haja alguém para anotar os problemas e considerações que surjam durante o exercício. Você pode obter insights sobre questões que, do contrário, poderiam interferir na eficiência da sua história.

Siga a programação

Defina a duração do exercício e atenha-se a ela. Mantenha os participantes no percurso e relembre-os de continuar trabalhando na história conforme ela avança.

Avalie os seus resultados

Após seu exercício tabletop, analise os resultados e como podem ser integrados às operações diárias da sua organização. Por exemplo, se você realizou o teste com base em obrigações de conformidade, poderá criar um PDF que contenha as informações que os auditores necessitam.

Você também pode dar aos participantes a oportunidade de examinar as suas descobertas e executar o mesmo exercício posteriormente. Como isso, você poderá confirmar se as correções ou alterações ajudaram a lidar com os problemas que foram descobertos durante o exercício inicial.

Exemplo de exercícios tabletop de segurança

A seguir, encontra-se uma história tabletop de ransomware que desenvolvemos e executamos anteriormente na Sophos.

Saiba mais

Recursos tabletop de segurança cibernética

A CISA (Cybersecurity and Infrastructure Security Agency) dos EUA oferece recursos para ajudar as organizações na condução de seus próprios exercícios tabletop. Você pode acessar mais de 100 Exercícios Tabletop da CISA (CTEPs) designados para tratar de uma variedade de cenários de ameaça, incluindo:

  • Segurança cibernética: consiste em ransomware, ameaças internas, phishing, comprometimento de sistema de controle industrial (ICS) e outros cenários de segurança cibernética.
  • Segurança física: inclui tiroteios, colisão de veículos, dispositivos explosivos improvisados, sistemas de aeronaves não tripuladas e outros cenários de segurança física.
  • Convergência cibernética-física: foca na parte física dos vetores de ameaças e nos impactos cibernéticos dos vetores de ameaças físicas.

Além desses, a CISA oferece modelos pré-formulados que você pode usar para desenvolver os seus próprios exercícios tabletop.

 

Autor: Luke Groves | Gerente sênior | Red Team, Segurança cibernética

Data: Setembro, 2023