Todas as partes interessadas, desde o CISO até a equipe vermelha, desejam que a equipe azul tenha sucesso contra ataques cibernéticos simulados
As conversas da equipe de segurança cibernética hoje em dia podem parecer um arco-íris, com menções a equipes vermelhas, azuis e até roxas. Embora cada equipe tenha sua perspectiva e tarefas exclusivas, a equipe azul é indiscutivelmente responsável pela missão mais crítica de todas: proteger as organizações contra ameaças e vulnerabilidades de segurança cibernética.
Para fazer isso, a equipe azul deve estar ciente das necessidades de negócios/missão da organização, ameaças relevantes, pegada digital e vulnerabilidades associadas. A partir daí, a equipe pode reforçar a postura de segurança das organizações implementando controles e mitigações de segurança para lidar com as ameaças e vulnerabilidades mais urgentes.
Como minha colega Maril Vernon, Engenheira de Segurança Sênior e Líder da equipe roxa da Aquia, Inc., diz sobre o papel da equipe azul:
“As equipes azuis são compostas por muito mais do que analistas de SOC e operações de TI. É todo mundo, desde o diretor de segurança da informação comercial [BISO] até a equipe de inteligência de ameaças cibernéticas [CTI] e os profissionais de risco corporativo e plano de continuidade de negócios [BCP]. No final do dia, até mesmo sua equipe vermelha está trabalhando para o lado azul.
Estamos todos lá no esforço de provar e melhorar a segurança de forma proativa. Nos exercícios da equipe roxa, a parte mais crucial e importante do que fazemos é identificar e incorporar os membros corretos das várias equipes azuis e realmente transmitir a eles aquela parte educacional dos objetivos, mentalidade e ofício do adversário. O saldo é que as equipes azuis compõem a primeira, segunda e terceira linhas de defesa em níveis variados e não queremos arriscar as capacidades de nenhuma delas. O meio de um incidente não é o lugar para identificar e remediar processos e lacunas de controle. Nós não queremos aparecer para uma luta justa com um adversário, e a maturidade adequada da equipe azul é como nos damos essa vantagem”.
A seguir, seis melhores práticas que as equipes azuis podem adotar para alcançar seu foco e missão críticos.
1. Usar uma estrutura de segurança cibernética
Embora alguns possam revirar os olhos com a menção de uma estrutura de segurança cibernética, é difícil estabelecer e implementar um programa coerente de segurança cibernética sem uma estrutura a partir da qual construir. Não faltam estruturas de segurança cibernética para se reunir, com a Estrutura de Segurança Cibernética (CSF) e a Estrutura de Gerenciamento de Risco (RMF) do NIST entre as mais citadas.
A NIST CSF, por exemplo, fornece diretrizes para mitigar ameaças de segurança cibernética organizacional. Ela faz isso nas atividades fundamentais de identificação, proteção, detecção, resposta e recuperação. As organizações passarão por essas fases muitas vezes à medida que os riscos e ameaças se materializam. O que é único no CSF é que ele também suporta o uso de perfis, que permitem que as organizações otimizem o CSF para melhor alinhar com seu setor e organização, e vários perfis de exemplo estão disponíveis para as organizações escolherem.
2. Ter visibilidade e conhecimento dos ativos a serem protegidos
Nenhum programa de segurança cibernética pode ser eficaz sem visibilidade e conscientização adequadas dos ativos que deve proteger. É por isso que controles como inventário de ativos de hardware e software são controles de segurança CIS fundamentais há anos.
Uma verdade fundamental em segurança cibernética é que você não pode proteger o que não pode ver ou não sabe que existe. No atual ambiente orientado à nuvem, os ativos tradicionais estão se tornando cada vez mais definidos por software e existem no ambiente de um provedor de serviços em nuvem (CSP). Isso também pode se aplicar a endpoints, pois o uso de desktops virtuais continua a crescer. A visibilidade se aplica a todos os ativos organizacionais, sejam físicos ou virtuais.
3. Reduzir o ruído
Os profissionais da equipe azul de hoje estão lidando com inúmeras ferramentas, plataformas e fontes para cobrir o ambiente que devem monitorar e proteger. Isso equivale a uma estonteante variedade de alertas e notificações que sobrecarregam sua atenção, capacidade cognitiva e podem até mesmo afetar sua moral. Uma coisa que deve ser feita para maximizar o valor da equipe azul é minimizar o número de falsos positivos, alertas duplicados e notificações sem valor agregado que desviam sua atenção de ameaças e riscos legítimos. Uma maneira de fazer isso é racionalizar os portfólios de ferramentas para remover duplicidade e garantir que a equipe esteja recebendo e respondendo a dados de alta fidelidade.
4. Selecionar ferramentas que a equipe possa dominar e usar de forma eficaz
Os líderes de segurança cibernética podem sentir a necessidade de adquirir e implementar inúmeras ferramentas para combater ameaças e riscos relevantes, e com razão, pois há muito a se proteger. Estudos mostraram que, apesar do crescimento desenfreado das ferramentas de segurança, as métricas relacionadas sugerem que as ferramentas não estão tendo o impacto desejado. Por exemplo, o Ponemon [Institute] relata que as organizações, em média, têm mais de 40 ferramentas de segurança com membros da equipe admitindo que não sabem o quão bem estão trabalhando. Um estudo da Market Cube aponta que as equipes estão adicionando ferramentas mais rapidamente do que podem efetivamente usá-las.
Ironicamente, o ônus da manutenção de ferramentas está comprometendo a resposta a ameaças e, em última análise, as posturas de segurança. A introdução de cada ferramenta aumenta a carga cognitiva geral colocada em uma equipe. Leva tempo para aprender a ferramenta, provisioná-la e configurá-la e depois monitorá-la para fazer uso acionável de sua telemetria.
O esgotamento e a sobrecarga cognitiva na segurança cibernética são problemas reais, não apenas porque podem drenar a energia e a moral da equipe, mas porque fazer malabarismos com muitas ferramentas significa menos tempo para otimizá-las e reduzir o risco organizacional. Como resultado, a disseminação de ferramentas pode exacerbar ameaças e vulnerabilidades em vez de mitigá-las. As próprias ferramentas também representam uma parte da superfície de ataque de uma organização, e muitas vezes com privilégios elevados que os agentes mal-intencionados aproveitarão.
5. Ver as coisas com os olhos de um adversário
Um tropo comum repetido no setor de segurança cibernética para profissionais defensivos é “pensar como um invasor”. Isso é intuitivo, já que, para interromper atividades maliciosas, você precisa entender como seu inimigo pensa. A melhor maneira de fazer isso é se colocar no lugar deles.
Isso significa que há valor, para os profissionais da equipe azul, em dedicar algum tempo para praticar de uma perspectiva ofensiva. Compreender as ferramentas, táticas e procedimentos relevantes usados por agentes mal-intencionados pode ajudar bastante a informar como os profissionais da equipe azul realizam suas atividades defensivas. Alguns chamam isso de ser capaz de se relacionar melhor com os invasores, obtendo alguma experiência prática de segurança ofensiva em seu currículo. Isso não precisa ser uma mudança formal de papel ou contra um alvo real, mas pode ser facilitado por laboratórios ou participando de exercícios de captura da bandeira (CtF).
6. Lutar como você treina
O falecido general norte-americano George Patton disse uma vez: “Você luta como treina”. Ele quis dizer que, quando chegar a hora de lutar, você se apresentará de acordo com o que treinou. Sob pressão, organizações e indivíduos não apenas se elevam milagrosamente à altura da ocasião; eles caem ao seu nível de treinamento. Isso enfatiza por que é tão importante treinar regularmente e rigorosamente, não apenas com exercícios de mesa e atividades que envolvem papelada, mas com exercícios e experiências reais da equipe vermelha. Essa é uma abordagem madura que força as organizações a não apenas especular como estão preparadas para detectar incidentes, proteger contra agentes mal-intencionados e, por fim, ser resilientes a ataques, mas também demonstrar isso. O treinamento para a luta equipará melhor suas equipes e organizações para as ameaças do mundo real que enfrentam.
