Introducción
Las instituciones financieras se enfrentan a una nueva realidad: la ciberresiliencia ha pasado de ser una mejor práctica a una necesidad operativa y a un requisito reglamentario prescriptivo.
Los ejercicios de gestión de crisis o ejercicios de mesa, durante mucho tiempo relativamente raros en el contexto de la ciberseguridad, se han vuelto necesarios a medida que una serie de regulaciones han introducido este requisito para las organizaciones FSI en varias regiones, incluidas dora (Ley de Resiliencia Operacional Digital) en la UE; CPS230 / CORIE (Ejercicios dirigidos por inteligencia de resiliencia operativa cibernética) en Australia; MAS TRM (Directrices de gestión de riesgos tecnológicos de la Autoridad Monetaria de Singapur); Resiliencia operativa de FCA/PRA en el Reino Unido; el Manual de TI de FFIEC en EE.UU. y el Marco de ciberseguridad de SAMA en Arabia Saudita.
Lo que hace que el cumplimiento de estos requisitos reglamentarios sea complejo es la colaboración multifuncional entre equipos técnicos y no técnicos. Por ejemplo, se requiere una simulación de los aspectos técnicos del incidente cibernético (en otras palabras, un equipo rojo), si no precisamente al mismo tiempo, sí ciertamente dentro del mismo programa de resiliencia, en el mismo contexto y con muchas de las mismas entradas y salidas. Esto es más fuerte en las regulaciones basadas en la TIBER-UE marco, en particular CORIE y DORA.
Siempre hay Excel
A medida que los requisitos se vuelven más prescriptivos y las mejores prácticas se establecen, lo que solía ser un ejercicio de mesa impulsado por un simple archivo Excel con una breve serie de eventos, marcas de tiempo, personas y comentarios, se ha convertido en una serie de escenarios, guiones, análisis del panorama de amenazas, perfiles de actores de amenazas, TTP e IOC, carpetas de informes de amenazas, herramientas de piratería, inyecciones e informes, todo lo cual debe revisarse, prepararse, ensayarse, reproducirse, analizarse e informarse, al menos una vez por semana. año, si no trimestralmente, si no de forma continua.
Si bien Excel es un incondicional en cada uno de los dominios cibernético, financiero y GRC, incluso él tiene sus límites en estos niveles de complejidad.
Combinación de simulación de mesa y de equipo rojo
En los últimos años, Filigran ha avanzado OpenAEV hasta el punto en que se pueden diseñar y ejecutar escenarios de un extremo a otro que combinan comunicaciones humanas con eventos técnicos. Lanzado inicialmente como una plataforma de gestión de simulación de crisis, luego incorporó la simulación de infracciones y ataques a la ahora holística gestión de exposición adversaria, proporcionando una capacidad única para evaluar la preparación tanto técnica como humana.
 |
| Las simulaciones son más realistas cuando las alertas de cifrado de ransomware van seguidas de correos electrónicos de usuarios confundidos. |
Hay muchas ventajas al combinar estas dos capacidades en una sola herramienta. Para empezar, esto simplifica enormemente el trabajo de preparación del escenario. Después de la investigación del panorama de amenazas en OpenCTI (una plataforma de inteligencia de amenazas), se puede utilizar un informe de inteligencia relevante para generar inyecciones técnicas basadas en los TTP del atacante, pero también tener contenido como comunicaciones del atacante, Centro de operaciones de seguridad de terceros y comunicaciones de detección y respuesta administradas, y comunicaciones de liderazgo interno, basadas en inteligencia y sincronización del mismo informe.
Seguimiento del equipo
El uso de una única herramienta también elimina la duplicación de la logística, antes, durante y después del ejercicio. Los «jugadores» del ejercicio, en sus equipos y unidades organizativas, pueden sincronizarse con fuentes empresariales de gestión de acceso e identidad, de modo que los destinatarios de alertas de eventos técnicos durante el ejercicio sean los mismos que reciben correos electrónicos de crisis simulados desde los componentes de mesa; y los mismos que reciben los cuestionarios de retroalimentación automatizados para la revisión de ‘lavado en caliente’ inmediatamente después del ejercicio; y los mismos que aparecen en los informes finales para revisión del auditor.
 |
| OpenAEV puede sincronizar los detalles actuales de los participantes y analistas del equipo desde múltiples fuentes de identidad |
De manera similar, si se vuelve a realizar el mismo ejercicio después de que se hayan implementado las lecciones aprendidas, como parte de la mejora continua demostrable requerida bajo DORA y CORIE, entonces esta sincronización mantendrá una lista de contactos actualizada para las personas en estos roles o, de hecho, para el árbol telefónico alternativo y los canales de comunicación de crisis fuera de banda que también se mantienen actualizados, y para terceros como MSSP, MDR y proveedores de la cadena de suministro.
Existen eficiencias similares en el seguimiento del panorama de amenazas, el mapeo de informes de amenazas y otras funciones. Como ocurre con todos los procesos comerciales, la optimización de la logística genera una mayor eficiencia, permitiendo tiempos de preparación más cortos y simulaciones más frecuentes.
Elegir tu momento
Dado que CORIE y DORA son regulaciones aplicadas hace relativamente poco tiempo, la mayoría de las organizaciones apenas comenzarán su viaje en la ejecución de escenarios de mesa y de equipo rojo, con mucho refinamiento en el proceso aún por venir. Para este tipo de organizaciones, ejecutar simulaciones combinadas puede parecer un primer paso demasiado grande.
Esto está bien. Los escenarios se pueden ejecutar en OpenAEV de formas más discretas. Por lo general, esto podría implicar ejecutar una simulación de equipo rojo el primer día, para probar los controles técnicos preventivos y de detección, y los procesos de respuesta SOC. El ejercicio teórico se ejecutaría el segundo día y potencialmente podría modificarse para reflejar los hallazgos y los tiempos del ejercicio técnico.
 |
| Las simulaciones se pueden programar para que se repitan durante días, semanas o meses. |
Lo que es más interesante, las simulaciones se pueden programar y ejecutar durante períodos de tiempo mucho más largos, incluso meses. Esto permite la automatización y gestión de escenarios más complicados, pero muy reales, como dejar señales de intrusión en los hosts por adelantado y desafiar a los equipos SOC, IR y CTI a demostrar su capacidad para recuperar registros del archivo para buscar al paciente cero, el primer sistema comprometido. Esto puede ser difícil de modelar de manera realista en una simulación de un día, pero en la realidad es un requisito muy común.
La práctica hace la perfección
Además de los requisitos regulatorios, las condiciones de seguro, la gestión de riesgos y otros factores externos, la capacidad de optimizar las simulaciones de ataques y los ejercicios prácticos para amenazas actuales y relevantes, con todas las integraciones técnicas, la programación y la automatización que lo permiten, significa que sus equipos de seguridad, liderazgo y gestión de crisis desarrollarán una memoria muscular y un flujo que generarán confianza en la capacidad de su organización para manejar una crisis real, cuando ocurra la próxima.
Tener acceso a una herramienta como OpenAEV, que es gratuita para uso comunitario, con una biblioteca de escenarios de amenazas y ransomware comunes, integraciones técnicas con SIEM y EDR, y un ecosistema de integración de código abierto y extensible, es una de las muchas maneras en que podemos ayudar a mejorar nuestras defensas cibernéticas y nuestra resiliencia cibernética. Y, sin olvidar, nuestro cumplimiento.
Y cuando su equipo esté completamente ensayado y tenga confianza para manejar situaciones de crisis, entonces ya no será una crisis.
¿Listo para dar el siguiente paso?
Para profundizar en cómo las organizaciones pueden convertir los mandatos regulatorios en estrategias de resiliencia viables, únase a una de las próximas sesiones dirigidas por expertos de Filigran:
Operacionalización de la respuesta a incidentes: ejercicios prácticos listos para el cumplimiento con una plataforma AEV