Presentación
Las instituciones financieras se enfrentan a una nueva sinceridad: la ciberresiliencia ha pasado de ser una mejor praxis a una menester operativa y a un requisito reglamentario prescriptivo.
Los ejercicios de administración de crisis o ejercicios de mesa, durante mucho tiempo relativamente raros en el contexto de la ciberseguridad, se han vuelto necesarios a medida que una serie de regulaciones han introducido este requisito para las organizaciones FSI en varias regiones, incluidas dora (Ley de Resiliencia Operacional Digital) en la UE; CPS230 / CORIE (Ejercicios dirigidos por inteligencia de resiliencia operativa cibernética) en Australia; MAS TRM (Directrices de administración de riesgos tecnológicos de la Autoridad Monetaria de Singapur); Resiliencia operativa de FCA/PRA en el Reino Unido; el Manual de TI de FFIEC en EE.UU. y el Entorno de ciberseguridad de SAMA en Arabia Saudita.
Lo que hace que el cumplimiento de estos requisitos reglamentarios sea engorroso es la colaboración multifuncional entre equipos técnicos y no técnicos. Por ejemplo, se requiere una simulación de los aspectos técnicos del incidente cibernético (en otras palabras, un equipo rojo), si no precisamente al mismo tiempo, sí ciertamente adentro del mismo software de resiliencia, en el mismo contexto y con muchas de las mismas entradas y panorama. Esto es más válido en las regulaciones basadas en la TIBER-UE situación, en particular CORIE y DORA.
Siempre hay Excel
A medida que los requisitos se vuelven más prescriptivos y las mejores prácticas se establecen, lo que solía ser un gimnasia de mesa impulsado por un simple archivo Excel con una breve serie de eventos, marcas de tiempo, personas y comentarios, se ha convertido en una serie de escenarios, guiones, prospección del panorama de amenazas, perfiles de actores de amenazas, TTP e IOC, carpetas de informes de amenazas, herramientas de piratería, inyecciones e informes, todo lo cual debe revisarse, prepararse, ensayarse, reproducirse, analizarse e informarse, al menos una vez por semana. año, si no trimestralmente, si no de forma continua.
Si aceptablemente Excel es un incondicional en cada uno de los dominios cibernético, financiero y GRC, incluso él tiene sus límites en estos niveles de complejidad.
Combinación de simulación de mesa y de equipo rojo
En los últimos primaveras, Filigran ha reformista OpenAEV hasta el punto en que se pueden diseñar y ejecutar escenarios de un extremo a otro que combinan comunicaciones humanas con eventos técnicos. Audaz inicialmente como una plataforma de administración de simulación de crisis, luego incorporó la simulación de infracciones y ataques a la ahora holística administración de exposición adversaria, proporcionando una capacidad única para evaluar la preparación tanto técnica como humana.
 |
| Las simulaciones son más realistas cuando las alertas de secreto de ransomware van seguidas de correos electrónicos de usuarios confundidos. |
Hay muchas ventajas al combinar estas dos capacidades en una sola útil. Para originarse, esto simplifica enormemente el trabajo de preparación del tablas. Luego de la investigación del panorama de amenazas en OpenCTI (una plataforma de inteligencia de amenazas), se puede utilizar un mensaje de inteligencia relevante para producir inyecciones técnicas basadas en los TTP del atacante, pero incluso tener contenido como comunicaciones del atacante, Centro de operaciones de seguridad de terceros y comunicaciones de detección y respuesta administradas, y comunicaciones de liderazgo interno, basadas en inteligencia y sincronización del mismo mensaje.
Seguimiento del equipo
El uso de una única útil incluso elimina la duplicación de la provisión, antaño, durante y a posteriori del gimnasia. Los «jugadores» del gimnasia, en sus equipos y unidades organizativas, pueden sincronizarse con fuentes empresariales de administración de camino e identidad, de modo que los destinatarios de alertas de eventos técnicos durante el gimnasia sean los mismos que reciben correos electrónicos de crisis simulados desde los componentes de mesa; y los mismos que reciben los cuestionarios de feedback automatizados para la revisión de ‘lavado en caliente’ inmediatamente a posteriori del gimnasia; y los mismos que aparecen en los informes finales para revisión del auditor.
 |
| OpenAEV puede sincronizar los detalles actuales de los participantes y analistas del equipo desde múltiples fuentes de identidad |
De guisa similar, si se vuelve a realizar el mismo gimnasia a posteriori de que se hayan implementado las lecciones aprendidas, como parte de la mejoramiento continua demostrable requerida bajo DORA y CORIE, entonces esta sincronización mantendrá una nómina de contactos actualizada para las personas en estos roles o, de hecho, para el árbol telefónico variable y los canales de comunicación de crisis fuera de cuadrilla que incluso se mantienen actualizados, y para terceros como MSSP, MDR y proveedores de la sujeción de suministro.
Existen eficiencias similares en el seguimiento del panorama de amenazas, el mapeo de informes de amenazas y otras funciones. Como ocurre con todos los procesos comerciales, la optimización de la provisión genera una longevo eficiencia, permitiendo tiempos de preparación más cortos y simulaciones más frecuentes.
Designar tu momento
Transmitido que CORIE y DORA son regulaciones aplicadas hace relativamente poco tiempo, la mayoría de las organizaciones al punto que comenzarán su delirio en la ejecución de escenarios de mesa y de equipo rojo, con mucho refinamiento en el proceso aún por venir. Para este tipo de organizaciones, ejecutar simulaciones combinadas puede parecer un primer paso demasiado vasto.
Esto está aceptablemente. Los escenarios se pueden ejecutar en OpenAEV de formas más discretas. Por lo genérico, esto podría implicar ejecutar una simulación de equipo rojo el primer día, para probar los controles técnicos preventivos y de detección, y los procesos de respuesta SOC. El gimnasia teórico se ejecutaría el segundo día y potencialmente podría modificarse para reverberar los hallazgos y los tiempos del gimnasia técnico.
 |
| Las simulaciones se pueden programar para que se repitan durante días, semanas o meses. |
Lo que es más interesante, las simulaciones se pueden programar y ejecutar durante períodos de tiempo mucho más largos, incluso meses. Esto permite la automatización y administración de escenarios más complicados, pero muy reales, como dejar señales de intrusión en los hosts por avanzado y desafiar a los equipos SOC, IR y CTI a demostrar su capacidad para recuperar registros del archivo para averiguar al paciente cero, el primer sistema comprometido. Esto puede ser difícil de modelar de guisa realista en una simulación de un día, pero en la sinceridad es un requisito muy global.
La praxis hace la perfección
Adicionalmente de los requisitos regulatorios, las condiciones de seguro, la administración de riesgos y otros factores externos, la capacidad de optimizar las simulaciones de ataques y los ejercicios prácticos para amenazas actuales y relevantes, con todas las integraciones técnicas, la programación y la automatización que lo permiten, significa que sus equipos de seguridad, liderazgo y administración de crisis desarrollarán una memoria muscular y un flujo que generarán confianza en la capacidad de su estructura para manejar una crisis actual, cuando ocurra la próxima.
Tener camino a una útil como OpenAEV, que es gratuita para uso comunitario, con una biblioteca de escenarios de amenazas y ransomware comunes, integraciones técnicas con SIEM y EDR, y un ecosistema de integración de código extenso y desplegable, es una de las muchas maneras en que podemos ayudar a mejorar nuestras defensas cibernéticas y nuestra resiliencia cibernética. Y, sin olvidar, nuestro cumplimiento.
Y cuando su equipo esté completamente ensayado y tenga confianza para manejar situaciones de crisis, entonces ya no será una crisis.
¿Diligente para dar el futuro paso?
Para profundizar en cómo las organizaciones pueden convertir los mandatos regulatorios en estrategias de resiliencia viables, únase a una de las próximas sesiones dirigidas por expertos de Filigran:
Operacionalización de la respuesta a incidentes: ejercicios prácticos listos para el cumplimiento con una plataforma AEV
