introducción
Las instituciones financieras se enfrentan a una nueva realidad. La resiliencia cibernética ha pasado de ser una mejor práctica a una necesidad empresarial y a un requisito reglamentario prescriptivo.
La gestión de crisis y los ejercicios prácticos han sido durante mucho tiempo relativamente raros en el contexto de la ciberseguridad, pero se han vuelto obligatorios a medida que una serie de regulaciones, incluida la DORA (Ley de Resiliencia Operacional Digital) de la UE, han introducido este requisito para las organizaciones FSI en varias regiones. CPS230/CORIE (Ejercicio dirigido por inteligencia de resiliencia ciberoperacional) de Australia. MAS TRM (Directrices de gestión de riesgos tecnológicos de la Autoridad Monetaria de Singapur). Resiliencia operativa de FCA/PRA en el Reino Unido. Manual de TI de FFIEC en EE. UU., Marco de ciberseguridad SAMA en Arabia Saudita.
Para complicar el cumplimiento de estos requisitos reglamentarios existe la colaboración multifuncional entre equipos técnicos y no técnicos. Por ejemplo, la simulación de los aspectos técnicos de un incidente cibernético, o red teaming, siempre debe realizarse dentro del mismo programa de resiliencia, en el mismo contexto y utilizando muchas de las mismas entradas y salidas, si no exactamente al mismo tiempo. Esto es más fuerte en las regulaciones basadas en el marco TIBER-UE, especialmente CORIE y DORA.
Excel siempre estará ahí
A medida que los requisitos se vuelven más prescriptivos y las mejores prácticas se establecen más, lo que alguna vez fue un ejercicio de mesa con un simple archivo de Excel que contenía una serie de eventos breves, marcas de tiempo, personas y comentarios se ha convertido en un conjunto de escenarios, scripts, análisis del panorama de amenazas, perfiles de actores de amenazas, TTP e IOC, carpetas de informes de amenazas, herramientas de piratería, inyecciones e informes. Todo ello hay que revisarlo, prepararlo, ensayarlo, tocarlo, analizarlo e informarlo: al menos una vez al año, si no trimestralmente, si no de forma continua.
Excel es poderoso en los ámbitos cibernético, financiero y GRC, pero tiene sus limitaciones en este nivel de complejidad.
Combinando simulación de mesa y equipo rojo
En los últimos años, Filigran ha desarrollado OpenAEV para poder diseñar y ejecutar escenarios de un extremo a otro que combinan comunicaciones humanas y eventos técnicos. Lanzada originalmente como una plataforma de gestión de simulación de crisis, la simulación de infracciones y ataques se integró posteriormente y ahora se incorpora a la gestión holística de exposiciones adversarias, ofreciendo capacidades únicas para evaluar respuestas tanto técnicas como humanas.
Las simulaciones se vuelven más realistas si las alertas de cifrado de ransomware van seguidas de correos electrónicos de usuarios confundidos.
Hay muchos beneficios al combinar estas dos funciones en una sola herramienta. En primer lugar, simplifica enormemente el trabajo de preparación de escenarios. Tras la investigación del panorama de amenazas en OpenCTI (Threat Intelligence Platform), se pueden utilizar informes de inteligencia relevantes para generar inyecciones técnicas basadas en los TTP del atacante, así como contenido como comunicaciones del atacante, centro de operaciones de seguridad de terceros y comunicaciones administradas de detección y respuesta, y comunicaciones internas del líder basadas en inteligencia y sincronización de los mismos informes.
sigue a tu equipo
El uso de una única herramienta también elimina la duplicación de logística antes, durante y después del ejercicio. Los «participantes» (equipos y unidades organizativas que participan en el ejercicio) se pueden sincronizar con fuentes de gestión de acceso e identidad empresarial, de modo que los destinatarios de las alertas de eventos técnicos durante el ejercicio sean los mismos destinatarios que reciben correos electrónicos de crisis simulados desde el componente de mesa. Lo mismo ocurre con aquellos que reciben una encuesta de retroalimentación automatizada para una revisión «caliente» inmediatamente después del ejercicio. Lo mismo se aplica a aquellos que figuran en el informe final para revisión del auditor.
OpenAEV puede sincronizar los detalles actuales de los participantes y analistas del equipo desde múltiples fuentes de identidad
De manera similar, si el mismo ejercicio se realiza nuevamente después de que se hayan implementado las lecciones aprendidas como parte de la mejora continua demostrable requerida bajo DORA y CORIE, esta sincronización mantendrá listas de contactos actualizadas para las personas en estos roles y, de hecho, árboles telefónicos alternativos y canales de comunicación de crisis fuera de banda, así como listas de contactos para terceros como MSSP, MDR y proveedores de la cadena de suministro ascendente, que también se mantienen actualizados.
Existen eficiencias similares para el seguimiento del panorama de amenazas, el mapeo de informes de amenazas y otras funciones. Como ocurre con todos los procesos comerciales, la optimización de la logística aumenta la eficiencia, reduce el tiempo de preparación y permite simulaciones más frecuentes.
Selección de tiempo
Debido a que CORIE y DORA son regulaciones relativamente recientes, la mayoría de las organizaciones apenas están comenzando a implementar escenarios de mesa y de equipo rojo, y habrá muchas mejoras en el proceso con el tiempo. Para estas organizaciones, ejecutar una simulación combinada puede parecer un paso inicial excesivo.
Esto está bien. OpenAEV le permite ejecutar escenarios de una manera más discreta. Por lo general, esto implica ejecutar simulaciones del equipo rojo el primer día para probar los controles técnicos preventivos y de detección y los procesos de respuesta SOC. El ejercicio teórico se llevará a cabo el segundo día y podrá ajustarse para reflejar los hallazgos y el momento del ejercicio técnico.
Las simulaciones se pueden programar para que se repitan durante días, semanas o meses.
Lo que es aún más interesante es que las simulaciones se pueden programar para que se ejecuten durante períodos de tiempo mucho más largos (meses). Esto permite la automatización y gestión de escenarios complicados pero muy reales, como dejar de forma proactiva una señal de compromiso en un host o demostrar a los equipos SOC, IR y CTI la capacidad de recuperar registros de archivos para encontrar al Paciente 0, el primer sistema comprometido. Aunque esto puede resultar difícil de modelar de forma realista en una simulación de un día, es un requisito muy común en la vida real.
la práctica hace la perfección
Además de los requisitos regulatorios, los términos de seguro, la gestión de riesgos y otros factores externos, la capacidad de optimizar las simulaciones de ataques y los ejercicios prácticos contra las amenazas actualmente relevantes, con toda la integración tecnológica, la programación y la automatización que lo hacen posible, significa que los equipos de seguridad, liderazgo y gestión de crisis desarrollan una memoria muscular y un flujo que crea confianza en la capacidad de la organización para manejar una crisis real cuando ocurra la siguiente.
Acceder a una herramienta como OpenAEV, que está disponible gratuitamente para la comunidad y tiene una biblioteca de escenarios de amenazas y ransomware comunes, integración técnica en SIEM y EDR, y un ecosistema de integración de código abierto extensible, es una de las muchas maneras en que puede ayudar a mejorar su ciberdefensa y resiliencia. Y no debemos olvidar el cumplimiento.
Y si su equipo está bien ensayado y tiene la confianza suficiente para manejar una situación de crisis, ya no es una crisis.
¿Estás listo para dar el siguiente paso?
Para profundizar en cómo las organizaciones pueden convertir las obligaciones regulatorias en estrategias de resiliencia viables, únase a las próximas sesiones dirigidas por expertos de Filigran.
Poner en práctica la respuesta a incidentes: un ejercicio práctico para el cumplimiento utilizando la plataforma AEV
Source link
