Preparación
Las instituciones financieras se enfrentan a una nueva efectividad: la ciberresiliencia ha pasado de ser una mejor praxis a una pobreza operativa y a un requisito reglamentario prescriptivo.
Los ejercicios de diligencia de crisis o ejercicios de mesa, durante mucho tiempo relativamente raros en el contexto de la ciberseguridad, se han vuelto necesarios a medida que una serie de regulaciones han introducido este requisito para las organizaciones FSI en varias regiones, incluidas dora (Ley de Resiliencia Operacional Digital) en la UE; CPS230 / CORIE (Ejercicios dirigidos por inteligencia de resiliencia operativa cibernética) en Australia; MAS TRM (Directrices de diligencia de riesgos tecnológicos de la Autoridad Monetaria de Singapur); Resiliencia operativa de FCA/PRA en el Reino Unido; el Manual de TI de FFIEC en EE.UU. y el Situación de ciberseguridad de SAMA en Arabia Saudita.
Lo que hace que el cumplimiento de estos requisitos reglamentarios sea complicado es la colaboración multifuncional entre equipos técnicos y no técnicos. Por ejemplo, se requiere una simulación de los aspectos técnicos del incidente cibernético (en otras palabras, un equipo rojo), si no precisamente al mismo tiempo, sí ciertamente adentro del mismo software de resiliencia, en el mismo contexto y con muchas de las mismas entradas y futuro. Esto es más resistente en las regulaciones basadas en la TIBER-UE ámbito, en particular CORIE y DORA.
Siempre hay Excel
A medida que los requisitos se vuelven más prescriptivos y las mejores prácticas se establecen, lo que solía ser un gimnasia de mesa impulsado por un simple archivo Excel con una breve serie de eventos, marcas de tiempo, personas y comentarios, se ha convertido en una serie de escenarios, guiones, estudio del panorama de amenazas, perfiles de actores de amenazas, TTP e IOC, carpetas de informes de amenazas, herramientas de piratería, inyecciones e informes, todo lo cual debe revisarse, prepararse, ensayarse, reproducirse, analizarse e informarse, al menos una vez por semana. año, si no trimestralmente, si no de forma continua.
Si acertadamente Excel es un incondicional en cada uno de los dominios cibernético, financiero y GRC, incluso él tiene sus límites en estos niveles de complejidad.
Combinación de simulación de mesa y de equipo rojo
En los últimos primaveras, Filigran ha renovador OpenAEV hasta el punto en que se pueden diseñar y ejecutar escenarios de un extremo a otro que combinan comunicaciones humanas con eventos técnicos. Audaz inicialmente como una plataforma de diligencia de simulación de crisis, luego incorporó la simulación de infracciones y ataques a la ahora holística diligencia de exposición adversaria, proporcionando una capacidad única para evaluar la preparación tanto técnica como humana.
 |
| Las simulaciones son más realistas cuando las alertas de oculto de ransomware van seguidas de correos electrónicos de usuarios confundidos. |
Hay muchas ventajas al combinar estas dos capacidades en una sola aparejo. Para despuntar, esto simplifica enormemente el trabajo de preparación del proscenio. A posteriori de la investigación del panorama de amenazas en OpenCTI (una plataforma de inteligencia de amenazas), se puede utilizar un mensaje de inteligencia relevante para originar inyecciones técnicas basadas en los TTP del atacante, pero igualmente tener contenido como comunicaciones del atacante, Centro de operaciones de seguridad de terceros y comunicaciones de detección y respuesta administradas, y comunicaciones de liderazgo interno, basadas en inteligencia y sincronización del mismo mensaje.
Seguimiento del equipo
El uso de una única aparejo igualmente elimina la duplicación de la transporte, antiguamente, durante y a posteriori del gimnasia. Los “jugadores” del gimnasia, en sus equipos y unidades organizativas, pueden sincronizarse con fuentes empresariales de diligencia de camino e identidad, de modo que los destinatarios de alertas de eventos técnicos durante el gimnasia sean los mismos que reciben correos electrónicos de crisis simulados desde los componentes de mesa; y los mismos que reciben los cuestionarios de feedback automatizados para la revisión de ‘lavado en caliente’ inmediatamente a posteriori del gimnasia; y los mismos que aparecen en los informes finales para revisión del auditor.
 |
| OpenAEV puede sincronizar los detalles actuales de los participantes y analistas del equipo desde múltiples fuentes de identidad |
De forma similar, si se vuelve a realizar el mismo gimnasia a posteriori de que se hayan implementado las lecciones aprendidas, como parte de la mejoría continua demostrable requerida bajo DORA y CORIE, entonces esta sincronización mantendrá una índice de contactos actualizada para las personas en estos roles o, de hecho, para el árbol telefónico alterno y los canales de comunicación de crisis fuera de partida que igualmente se mantienen actualizados, y para terceros como MSSP, MDR y proveedores de la esclavitud de suministro.
Existen eficiencias similares en el seguimiento del panorama de amenazas, el mapeo de informes de amenazas y otras funciones. Como ocurre con todos los procesos comerciales, la optimización de la transporte genera una veterano eficiencia, permitiendo tiempos de preparación más cortos y simulaciones más frecuentes.
Nominar tu momento
Transmitido que CORIE y DORA son regulaciones aplicadas hace relativamente poco tiempo, la mayoría de las organizaciones al punto que comenzarán su delirio en la ejecución de escenarios de mesa y de equipo rojo, con mucho refinamiento en el proceso aún por venir. Para este tipo de organizaciones, ejecutar simulaciones combinadas puede parecer un primer paso demasiado conspicuo.
Esto está acertadamente. Los escenarios se pueden ejecutar en OpenAEV de formas más discretas. Por lo normal, esto podría implicar ejecutar una simulación de equipo rojo el primer día, para probar los controles técnicos preventivos y de detección, y los procesos de respuesta SOC. El gimnasia teórico se ejecutaría el segundo día y potencialmente podría modificarse para reverberar los hallazgos y los tiempos del gimnasia técnico.
 |
| Las simulaciones se pueden programar para que se repitan durante días, semanas o meses. |
Lo que es más interesante, las simulaciones se pueden programar y ejecutar durante períodos de tiempo mucho más largos, incluso meses. Esto permite la automatización y diligencia de escenarios más complicados, pero muy reales, como dejar señales de intrusión en los hosts por aventajado y desafiar a los equipos SOC, IR y CTI a demostrar su capacidad para recuperar registros del archivo para despabilarse al paciente cero, el primer sistema comprometido. Esto puede ser difícil de modelar de forma realista en una simulación de un día, pero en la efectividad es un requisito muy popular.
La praxis hace la perfección
Por otra parte de los requisitos regulatorios, las condiciones de seguro, la diligencia de riesgos y otros factores externos, la capacidad de optimizar las simulaciones de ataques y los ejercicios prácticos para amenazas actuales y relevantes, con todas las integraciones técnicas, la programación y la automatización que lo permiten, significa que sus equipos de seguridad, liderazgo y diligencia de crisis desarrollarán una memoria muscular y un flujo que generarán confianza en la capacidad de su estructura para manejar una crisis actual, cuando ocurra la próxima.
Tener camino a una aparejo como OpenAEV, que es gratuita para uso comunitario, con una biblioteca de escenarios de amenazas y ransomware comunes, integraciones técnicas con SIEM y EDR, y un ecosistema de integración de código destapado y desplegable, es una de las muchas maneras en que podemos ayudar a mejorar nuestras defensas cibernéticas y nuestra resiliencia cibernética. Y, sin olvidar, nuestro cumplimiento.
Y cuando su equipo esté completamente ensayado y tenga confianza para manejar situaciones de crisis, entonces ya no será una crisis.
¿Vivo para dar el ulterior paso?
Para profundizar en cómo las organizaciones pueden convertir los mandatos regulatorios en estrategias de resiliencia viables, únase a una de las próximas sesiones dirigidas por expertos de Filigran:
Operacionalización de la respuesta a incidentes: ejercicios prácticos listos para el cumplimiento con una plataforma AEV
