É segunda-feira de manhã, 8 da manhã. Você entra no escritório e, na tela do seu computador, testemunha algo que você só experimentou em seus pesadelos.
“Boom! Sua organização é atingida por um ataque de ransomware”, diz Sherri Davidoff, CEO da LMG Security, em uma primeira olhada para a Dark Reading de um exercício de mesa planejado na próxima RSA Conference 2023. “Todos os sistemas estão fora do ar. O que você faz?”
Espero que você saiba o que fazer graças à prática de corridas para esses cenários, na forma de exercícios de mesa que respondem a incidentes de oficina para vários cenários.
Criar esse exercício é um empreendimento, mas vale a pena preparar os profissionais de segurança para os desafios que um dia inevitavelmente enfrentarão. “É como as aulas de RCP da Cruz Vermelha”, diz Davidoff. “Treinar seus socorristas é importante.”
No dia 24 de abril, das 8h30 às 10h30 PT, Davidoff e Matt Durrin, diretor de treinamento e pesquisa da LMG Security, realizarão um exercício de mesa sobre ransomware e extorsão cibernética na RSA Conference 2023. O evento lançará os participantes em um turbilhão inspirado em ataques de ransomware da vida real e os desafiará a escapar das armadilhas endêmicas da resposta a incidentes corporativos.
Criando um exercício de mesa
“A grande coisa que queremos fotografar nessas mesas é o máximo de realismo possível”, diz Durrin.
Mas o realismo é difícil de simular. Davidoff brinca sobre como “tentamos usar o ChatGPT para executar um exercício de mesa”, e não deu tão certo. “É como: ‘Eu sou o facilitador’, e começa a guiá-lo através dos passos. Mas é muito chato. Não lhe dá nenhuma bola curva.”
Simular realismo, ironicamente, requer uma boa dose de exibicionismo: narrativa, materiais audiovisuais e uma certa criatividade para gerar o caos e a imprevisibilidade que você encontraria em um ataque cibernético na vida real. Mas pouco desse teatro é completamente inventado.
“Tentamos aproveitar a experiência que adquirimos ao longo dos anos de realmente lidar com esses ataques na natureza”, observa Durrin, “para que tenhamos elementos que estejam alinhados com o que seria um ataque de ransomware moderno”.
Para o RSAC 2023, eles optaram por modelar sua simulação após um ataque clássico do LockBit. “Logo pela manhã, em uma manhã de segunda-feira, você entra e sua rede está completamente off-line”, explica Durrin. “Há notas de resgate em sua área de trabalho. Eles estão dizendo que seus arquivos foram criptografados. Eles podem ter invadido sua impressora e esgotado cada pedaço de papel que você tem, imprimindo cópias da nota de resgate.”
Todos os dados locais são criptografados e os sistemas internos irrecuperáveis. O preço para recuperar é de US$ 2,5 milhões, que dobrará após 48 horas.
O pânico se instala. “Como identificamos onde precisamos procurar malware adicional?” Durrin continua. “Como descobrimos há quanto tempo eles estão na rede? E então, que tipo de mudanças precisamos fazer em nosso plano?” Os participantes realizam triagem, distribuem tarefas entre os membros do grupo e coletam evidências, em uma luta para conter os danos.
Qualquer senso de controle é apagado, no entanto, quando mais más notícias chegam: os hackers já exfiltraram dados. Uma dupla extorsão, uma das poucas bolas curvas que os hackers lançarão sobre a cerca até o final da campanha.
“É aqui que as coisas ficam meio assustadoras, especialmente para o público mais executivo”, diz Durrin. “Quando começamos a falar sobre exposição pública e danos à reputação, isso realmente os deixa no gancho, e leva a uma boa discussão entre as pessoas técnicas e não técnicas. Há muita interação entre esses dois grupos durante um ataque.”
Os exercícios de mesa realmente ajudam a segurança da IRL?
Várias extorsões podem ser muito para caber em um evento de duas horas. Mas Davidoff e Durrin enfatizam como um total de 80% das vítimas de ransomware experimentam duplo mergulho, 68% dentro de um mês de sua primeira violação.
Notavelmente, 40% das vítimas de ransomware pagam duas vezes, 10% pagam três vezes e 1% realmente pagam quatro resgates aos seus atacantes.
“Isso é parte do motivo pelo qual uma mesa é tão importante”, diz Davidoff. “Você está realmente passando por essas questões, e todos, desde os socorristas da linha de frente até os executivos, estão aprendendo. Porque muitas vezes seus socorristas da linha de frente estarão recebendo pressão dos executivos para restaurar o mais rápido possível, então eles pulam etapas, e então os invasores voltam e você tem um problema pior. E eles geralmente cobram um valor maior na segunda vez.”
As empresas que executam esses tipos de simulações tendem a evitar esses erros. “Na verdade, conseguimos ver como essas mudanças que fizemos e testamos dentro de um plano de resposta a incidentes beneficiaram as organizações em um sentido muito tangível e real”, diz Durrin, “na velocidade de recuperação, na qualidade da recuperação e em como a organização é realmente capaz de se reerguer depois de sofrer um incidente”.
A diferença pode ser encontrada na linha de fundo. De acordo com o IBM Cost of a Data Breach Report 2022, as organizações com planos de resposta a incidentes rigorosamente testados economizam uma média de mais de US $ 2,5 milhões em relação àquelas sem planos. Portanto, os exercícios de mesa não são apenas uma atividade divertida de formação de equipes.
“Aqueles primeiros minutos e horas após um incidente são absolutamente críticos”, diz Davidoff. “Todos devem se certificar de que estão preparados.”
FONTE: DARK READING