Nesta entrevista da Help Net Security, Debbie Gordon, CEO da Cloud Range , explica o conceito de alcance cibernético, seu papel crucial na preparação para ameaças cibernéticas do mundo real e a importância do realismo em cenários de treinamento cibernético.
Gordon também discute como os alcances cibernéticos facilitam a identificação de vulnerabilidades e fornece conselhos sobre como maximizar os benefícios do treinamento de alcance cibernético. Finalmente, ela fala sobre os recursos necessários para um ambiente robusto de alcance cibernético e o futuro do treinamento e simulações de alcance cibernético.
Você pode explicar o que é um alcance cibernético e como ele funciona para se preparar para ameaças do mundo real?
Um alcance cibernético é um ambiente controlado configurado para emular de forma realista a infraestrutura de rede, os sistemas e os aplicativos vistos no mundo real. Em uma boa plataforma, as equipes podem trabalhar juntas como um grupo para detectar e responder com segurança e eficácia a vários ataques cibernéticos sem arriscar sistemas reais. Isso permite que as equipes entendam melhor e estejam mais preparadas para várias ameaças e técnicas que podem aparecer em situações da vida real.
Os intervalos cibernéticos transformam o treinamento cibernético tradicional em aprendizado experimental da vida real, para que os alunos possam realmente aplicar seus conhecimentos e habilidades e ganhar experiência real usando um método de simulação. Os analistas SOC, que são a última linha de defesa, precisam se envolver continuamente nessas simulações para fortalecer suas capacidades e criar “memória muscular”. Um programa contínuo de treinamento de alcance cibernético com ataques da vida real aprimora sua preparação como indivíduos e como uma equipe coesa por meio de experiências imersivas.
Uma coisa a notar é que nem todos os intervalos cibernéticos são iguais entre si. Eles podem variar em termos de finalidade, complexidade e recursos, ferramentas e tecnologia disponíveis. Para garantir que sua equipe receba o treinamento mais eficaz, é fundamental usar um alcance dinâmico com ataques de fogo real em que toda a equipe possa participar em conjunto, em vez de um ambiente de laboratório direcionado ou exercícios individuais que os membros da equipe fazem em paralelo.
Gosto de usar o beisebol como analogia para descrever as diferentes formas de treinamento. Assim como entender as regras do beisebol e aprender como arremessar ou pegar, os praticantes cibernéticos têm conhecimento de cursos e certificações, além de habilidades individuais e finitas que aprimoraram. Essas coisas são de vital importância, mas não significam que você pode entrar no campo de beisebol em um jogo real, contra um adversário real, e saber como trabalhar em equipe para ter sucesso sob pressão.
Você pode não saber quando e por que usar essas habilidades, então a prática regular e real é necessária para que a equipe se torne um todo maior do que a soma de suas partes. Em segurança cibernética, um programa de alcance cibernético é o componente necessário: ele permite que as equipes trabalhem juntas para obter experiência de defesa cibernética no mundo real, o que, em última análise, ajuda a melhorar a resiliência cibernética e reduzir o risco.
Qual a importância do realismo dos cenários de formação disponibilizados em ciberníveis para a eficácia da formação? Você pode dar alguns exemplos específicos?
O realismo é crítico em um programa de alcance cibernético. Uma plataforma de qualidade pode ser personalizada para usar diferentes SIEMs, firewalls, EDRs, IDSs e muito mais, para que a equipe use as mesmas ferramentas que usa todos os dias. Os ataques simulados imitam as táticas implantadas por agentes mal-intencionados do mundo real, incluindo cargas úteis de malware, estratégias de phishing e uma variedade de outras técnicas extraídas do MITRE ATT&CK Framework. A equipe emprega uma variedade de métodos e recursos para combater os ataques com eficiência, como análise de arquivos de log, realização de análises forenses e implementação de contramedidas.
Para organizações em setores de infraestrutura crítica, o intervalo pode incluir uma rede OT com elementos que incluem PLCs e HMIs virtuais para que os participantes possam entender como os sistemas são integrados e “ver” os efeitos de diferentes vetores de ataque. Ele ajuda as equipes de TI e OT/ICS a trabalharem juntas e entenderem seus diferentes protocolos, objetivos e métodos de segurança.
Assim como os simuladores de voo, as simulações de ataque com fogo real são projetadas para replicar a complexidade e a diversidade observadas em incidentes cibernéticos da vida real ou em potenciais incidentes. Eles permitem que os profissionais de segurança cibernética desenvolvam as habilidades e competências necessárias para detectar e responder a incidentes de forma rápida e eficiente em um ambiente seguro. Os cenários de treinamento imitam a intensa pressão que os membros da equipe experimentam durante a resposta a incidentes. As sessões não apenas melhoram as proficiências técnicas, mas também ajudam os participantes a melhorar suas habilidades de comunicação, resolução de problemas e trabalho em equipe.
Em última análise, isso ajuda a aumentar seu senso de familiaridade com as situações, ferramentas, tecnologias e sistemas relacionados, para que, no futuro, eles tenham confiança e julgamento para identificar e agir de acordo com as circunstâncias dadas. Também dá às equipes a oportunidade de percorrer conversas reais e estratégias de colaboração que podem ocorrer em situações da vida real.
É por isso que o realismo é importante. As simulações de tiro ao vivo aceleram a experiência prática dos profissionais de segurança cibernética na resposta a incidentes, permitindo que eles detectem e respondam às ameaças com mais rapidez, reduzindo o risco e a exposição.
Como um alcance cibernético facilita a identificação de vulnerabilidades em um ambiente de laboratório controlado?
Um cenário de ataque com fogo de vida é semelhante a uma sala de fuga. Os participantes não sabem o que vão encontrar e precisam trabalhar juntos para entender o que está acontecendo e encontrar as pistas para detectar e remediar o ataque. Um programa contínuo que inclui um especialista certificado em Attackmaster garante orientação abrangente, avaliação objetiva e análise perspicaz. Esse suporte ajuda a equipe e os líderes a identificar vulnerabilidades, fornecer estratégias para preencher essas lacunas e melhorar continuamente ao longo do tempo.
Os intervalos cibernéticos podem ou não ser verdadeiros ambientes de laboratório, que geralmente são altamente selecionados e direcionados. “Exercícios de laboratório” são benéficos e podem ajudar os indivíduos a aprimorar suas habilidades e se preparar para cenários de equipe de fogo real. Mas os alcances de fogo real são redes e sistemas reais, dinâmicos e virtualizados. Isso permite testar ferramentas reais e medidas de segurança utilizadas na própria rede da organização, proporcionando uma avaliação segura, porém mais precisa, da postura de segurança da organização. Ao contrário de uma “caixa de proteção” estática, esses intervalos são normalmente usados para testar e medir as defesas de segurança cibernética. Idealmente, a combinação de laboratórios com simulações de tiro ao vivo garante a máxima eficácia.
Como as equipes de segurança cibernética podem maximizar os benefícios do treinamento de alcance cibernético?
É vital ter um programa contínuo de treinamento de alcance cibernético para maximizar totalmente os benefícios. Não deve ser uma sessão única. Há uma variedade de ameaças e vetores de ataque, e nem todos podem ser experimentados em um único ambiente. A prática é fundamental.
O treinamento de alcance cibernético também deve ser mapeado para estruturas padrão do setor para fornecer uma maneira mensurável de avaliar como sua equipe está se saindo em nível individual e de equipe. Escolha um programa que mapeie táticas, técnicas e procedimentos (TTPs) com o MITRE ATT&CK Framework . Além disso, os cenários devem ser mapeados para o NICE Framework, ajustando-se conforme necessário para cada organização, para garantir que todos entendam completamente os conhecimentos, habilidades e habilidades (ou competências) necessárias para sua função.
Quando essas estruturas e cenários são integrados em um portal de desempenho robusto, os líderes de segurança podem gerar planos de aprendizado personalizados para cada membro da equipe que se alinham aos objetivos de cada pessoa e da organização.
É fundamental utilizar uma solução abrangente de alcance cibernético que forneça missões de treinamento lideradas por especialistas para as equipes, garantindo que recebam o suporte e a orientação necessários. Além disso, deve fornecer métricas que demonstrem melhoria em sua capacidade de detectar e responder a ataques cibernéticos. As pessoas são uma parte crucial de sua pilha de segurança e os líderes de segurança precisam ver dados sobre o fator humano na exposição cibernética. Quando você pode medir vulnerabilidades e lacunas na equipe de segurança e receber orientação sobre como melhorar, é mais fácil reduzir a exposição cibernética de forma proativa e eficaz, promovendo uma forte postura de segurança.
Quais recursos são normalmente necessários para dar suporte a um ambiente cibernético robusto?
Se você estiver construindo um alcance cibernético, precisará de conhecimento técnico para projetar, construir e gerenciar o alcance com eficiência. E isso só te dá a infraestrutura. O que você faz em um intervalo é a parte mais importante, portanto, é necessário projetar, desenvolver e lançar ataques de fogo real com tráfego real. Ter instrutores especializados e objetivos também é crucial. Eles podem avaliar o desempenho durante os exercícios, fornecendo feedback valioso ao líder da equipe.
Como alternativa, a maioria das organizações está optando por uma plataforma cibernética de alcance como serviço que cuidará de todo o gerenciamento e facilitação para você, incluindo personalização de alcance, desenvolvimento de cenário e administração. Essa abordagem permite que você se concentre em aprimorar a resiliência cibernética da organização sem o fardo de gerenciar o intervalo por conta própria.
Que tendências ou desenvolvimentos você prevê em treinamentos e simulações de alcance cibernético?
Espero ver os alcances cibernéticos se tornarem ainda mais realistas e precisos, simulando não apenas o ataque e a resposta, mas outros elementos, como serviços de terceiros e fornecedores externos. Também podemos esperar ver tecnologias mais recentes, como IA e ML, sendo incorporadas aos intervalos para um processo mais contínuo.
As organizações também estão usando faixas cibernéticas para auxiliar na contratação, o que melhora o tempo de valorização e a retenção de funcionários. As avaliações cognitivas podem ajudar as pessoas a saber para quais funções de segurança cibernética elas são adequadas e gerar caminhos de aprendizado personalizados para que possam começar suas carreiras em segurança cibernética. As avaliações de contratação que simulam o trabalho potencial de alguém fornecem aos gerentes de contratação uma visão além de currículos e certificações para mostrar as habilidades e capacidades reais da pessoa.
Também vejo organizações cada vez mais fazendo a escolha de desenvolver seus próprios talentos. Encontrar o candidato ideal com a experiência certa, certificações, treinamento e outras qualificações pode ser um desafio. É por isso que os CISOs, VPs e líderes de segurança estão priorizando encontrar pessoas com habilidades inovadoras, como resolução de problemas, liderança e agilidade. Eles então utilizam o treinamento de tiro cibernético real para acelerar o crescimento, o desenvolvimento e a experiência do mundo real dos membros da equipe.
É importante entender esses desenvolvimentos, e os discutirei mais detalhadamente em minha apresentação na Blue Team Con , que ocorre de 25 a 27 de agosto no Fairmont Hotel Chicago. Os alcances cibernéticos certamente são ideais para o treinamento SOC, mas estou vendo os líderes de segurança usá-los para várias coisas relacionadas também. Uma solução abrangente de alcance cibernético e simulação é vital para melhorar de forma mensurável a postura de segurança de uma organização.
FONTE: HELP NET SECURITY