No cenário atual de cibersegurança, é amplamente aceito que quase toda empresa com capacidades digitais será hackeada – não é uma questão de “se”, mas de “quando”.
Isso não significa que um ataque precise ser devastador, mesmo que seja bem-sucedido – e é aí que empresas como a Semperis entram em cena.
A TechRadar Pro se juntou à Semperis na InfoSecurity Europe recentemente para discutir preparativos para ransomware e vivenciar isso em uma simulação de mesa que demonstrou as táticas utilizadas pelas equipes vermelha e azul nesses cenários.
Infraestrutura Sob Fogo
“Infelizmente, não é tão difícil capturar e comprometer um inquilino”, explica Guido Grillenmeier, principal tecnólogo da Semperis na EMEA; “é um cenário em que ninguém quer estar, mas a realidade é que isso acontece. Enquanto falamos, alguém está sendo violado e retirado de circulação. O que você faz então? Você precisa ter seu plano de recuperação de desastres em vigor.”
Na simulação de mesa, especialistas da indústria foram divididos em duas equipes separadas – uma equipe vermelha (o grupo de ransomware) e uma equipe azul (os defensores), que, neste caso, eram uma equipe de cibersegurança protegendo uma instalação de tratamento de água.
Usar uma instalação de água foi um aspecto importante da simulação – a infraestrutura crítica sofreu um número sem precedentes de ciberataques recentemente, e a burocracia restritiva, além da falta de recursos e habilidades, tornam o setor público particularmente vulnerável, explica Grillenmeier;
“Assim, o setor público é excessivamente burocrático, então eles conseguem, ao produzir todos os tipos de documentos, marcar as caixas que precisam, mas isso não os torna bem preparados para a verdadeira catástrofe. Participamos de muitos casos de resposta a incidentes também no setor público onde há apenas uma falta de habilidades técnicas.”
A segurança de instalações públicas, como plantas de tratamento de água ou reservatórios, pode literalmente significar vida ou morte para as pessoas que servem, portanto, a resposta das equipes de segurança é importante – e estar preparado, aprender a monitorar seus sistemas e conhecer as fraquezas é fundamental, afirma Grillenmeier.
“Uma coisa é entender vulnerabilidades, outra é compreender um ataque em andamento. Você precisa encontrar aquela agulha no palheiro, como o que é diferente do normal,” ele explica.
Durante este exercício, a equipe vermelha explorou suas motivações, baseando-se na experiência real de quem estava na sala, e eventualmente exigiu um resgate elevado da empresa de água (um que correspondia ao pagamento do seguro!). A equipe azul se recusou a pagar o resgate no final, mas ambas as equipes estavam definitivamente atentas.
Trazer Ordem ao Caos
Os ataques de ransomware são imprevisíveis, então a Semperis lançou algumas cartas curinga em ambas as equipes, mas a beleza desse exercício é que ambas as equipes precisam tentar ficar um passo à frente da outra e pensar criativamente sobre qual pode ser seu próximo movimento.
A Semperis se especializa nessas situações e oferece ferramentas para ajudar as empresas a se prepararem e se recuperarem.
“Fomos chamados frequentemente por clientes para apoiá-los em tais cenários para que possam se reerguer,” diz Grillenmeier. “Se uma empresa foi completamente dizimada, nada está lá. Todos os sistemas locais foram apagados, foram embora, e isso acontece na realidade.”
A Semperis recentemente lançou sua ferramenta Ready1, uma plataforma segura que garante ‘resposta a crises perfeita através de preparação, colaboração e comunicações em toda a empresa’.
Quando (não se) sua organização sofrer um ataque e for cortada dos sistemas e dados, o Ready1 mantém as informações críticas da sua organização, o plano de resposta a incidentes e os planos de prontidão cibernética – reduzindo o risco de inatividade, multas regulatórias e exposição de dados.
“Em uma verdadeira catástrofe, você precisa de um profissional ao seu lado,” argumenta Grillenmeier. “O profissional é quem ajuda você a se preparar. Então você tem o Ready1, que é a plataforma central para você armazenar esse conhecimento, armazenar os processos e, em seguida, iniciá-los quando precisar.”
Mas, boas ferramentas são apenas uma pequena parte da equação – como Grillenmeier brinca; “Um tolo com uma ferramenta ainda é um tolo.”
Pesquisas da Semperis revelaram que 96% das empresas têm um plano de resposta cibernética, o que é ótimo – mas 71% também sofreram pelo menos um evento cibernético de ‘alto impacto’ que ‘interrompeu funções críticas dos negócios’ apenas no último ano – então, claramente, planos de resposta por si só não são suficientes.
Existem algumas razões para isso. Obviamente, um dos principais objetivos de um ataque cibernético é causar inatividade, então não deve ser surpreendente que eles às vezes tenham sucesso.
No entanto, as equipes de segurança relatam que lacunas de comunicação entre equipes (48%), papéis e responsabilidades pouco claros (41%) e ferramentas muito dispares (40%) contribuem para a inatividade, e isso pode ser evitado com uma boa preparação.
Essa é uma grande parte do motivo pelo qual a regulamentação DORA da UE estabelece testes de resiliência operacional como parte de seus requisitos essenciais. Os testes devem ser realizados por uma entidade independente, seja interna ou externa, então as simulações de mesa como esta são importantes para a indústria financeira (e além).
“A DORA exige que você esteja primeiro preparado para provar que está preparado – e então, durante um desastre, provar o que você fez. Tudo isso e te lembra que você tem essas tarefas a fazer,” confirma Grillenmeier.
As equipes neste exercício têm bastante experiência real em defender contra ransomware e ciberataques, e esse tipo de simulação ajuda-as a envolver criticamente todos os diferentes lados de um ataque em um ambiente muito mais relaxado do que talvez estejam acostumadas, permitindo que explorem diferentes avenidas de defesa e ataque mais livremente.
