Masmorras e recuperação de desastres: exercícios de mesa para treinamento em TI

Um grupo de executivos está sentado ao redor de uma mesa. Na frente deles está um mapa, seis figuras heróicas de pé em um modelo de data center, cercado por todos os lados por pequenas criaturas agachadas com capuzes. Em uma ponta da mesa, o Mestre está falando dramaticamente. "Você se retirou para a sala do servidor enquanto o DDoS continua. Os hackers foram repelidos várias vezes, mas todos vocês estão feridos e com poucos recursos. Isso está começando a parecer uma última resistência, e o CEO está esperando por uma atualização. O que você faz?"

Os jogadores discutem por um tempo, antes que o CISO respire fundo e olhe para o DM. Obviamente, a decisão que ela está prestes a tomar está pesando sobre ela, este é o último recurso e haverá danos colaterais. Ainda assim, sua voz é forte e confiante quando ela entoa: "Eu lancei um firewall empoderado."

Hoje, veremos exercícios de mesa, ou cenários, e como eles são usados para se preparar para o pior em segurança.

Usando exercícios de mesa para treinar engenheiros de segurança cibernética

Infelizmente (ou felizmente) não é assim que os exercícios de mesa são realmente executados, embora existam algumas variedades que chegam muito perto da borda de estar cheio de jogos (e, de fato, alguns que não apenas contornam a borda, mas saltam ansiosamente de cabeça primeiro) . Embora a realidade possa ser menos cheia de cibercriminosos invocadores de gremlins malignos e equipes de segurança que usam magia, há uma forte sobreposição nos objetivos de um bom cenário e de uma boa campanha de RPG.

Exercícios de mesa são formas de testar planos e preparativos sem dar o passo mais drástico de incendiar seu próprio data center. É importante saber como o negócio funcionaria após uma crise como essa e se preparar para ela, mas dar o passo real de queimar seu data center pode ser considerado um pouco longe demais para um exercício. Em vez disso, esses eventos de crise são planejados, seja para descobrir linhas de comunicação, para testar planos de resposta a incidentes (seja continuidade de negócios ou recuperação de desastres) ou apenas para treinar funcionários e conscientizar sobre a importância da segurança.

Uma Breve História

Esses exercícios também têm uma longa e nobre história fora dos usos modernos de TI e segurança cibernética, remontando pelo menos duzentos anos ao "Kriefsspiel" de Reisswitz em 1824, desenvolvido por ele e seu pai e descrito pelo general Karl von Mueffling como "não um jogo! É um treinamento para a guerra. Vou recomendá-lo entusiasticamente a todo o exército." É uma abordagem usada por militares globais para preparar suas forças para combates, com a OTAN tendo iniciado uma Iniciativa Wargaming em 2022 em Paris. Mesmo os serviços de emergência, com o NHS realizando regularmente simulações envolvendo dezenas de atores e equipes completas de maquiagem para simular ferimentos com eficácia.

Dado que há séculos (mesmo que apenas dois) de evidências de exercícios de mesa, cenários gamificados, ajudando a se preparar para crises, desastres, engajamentos militares e similares, juntamente com o custo de tais exercícios sendo extremamente baixo em comparação com o despreparo quando um cenário atinge , você pode cair na armadilha de pensar que eles são usados em todos os lugares hoje. Infelizmente, esse não é o caso.

Por uma série de razões, enquanto aqueles que fazem bom uso dos exercícios de mesa juram pelo valor que eles trazem, muitas organizações simplesmente não os usam. Pode ser a síndrome do avestruz, pois esses cenários podem ser excepcionalmente bons para eliminar todos os tipos de falhas que as pessoas não querem reconhecer. Pode ser a relutância em se envolver com algo visto como 'brincadeira' ou 'infantil'. Talvez seja por ter experimentado cenários mal executados, consistindo em uma apresentação do PowerPoint excessivamente projetada, sem interação e com muito FUD de marketing. Por qualquer motivo, algumas organizações relutam em procurá-los e usar essa ferramenta valiosa.

Felizmente, isso está mudando, com eventos como a conferência anual Play Secure reunindo especialistas em aprendizado, simulações, gamificação e jogos. Além disso, várias empresas oferecem exercícios padrão e personalizados em seus catálogos de produtos. Divulgação completa, como você pode esperar da minha própria empresa familiar, a Bores tem administrado isso com ótimos resultados há anos.

A ideia de usar cenários de mesa como um local para testar ou testar planos e se preparar para desastres, criando tolerância para estresse e pânico nos envolvidos (executar bem, são experiências intensas) e fornecer um local para errar com segurança é espalhando.

Os diferentes tipos de exercícios de mesa

Há uma série de opções quando você está executando um exercício de mesa, dependendo do que deseja. Como um exercício de marketing e conscientização para uma ameaça ou evento específico, um formato altamente estruturado envolvendo entradas detalhadas, escolhas limitadas (ou mesmo nenhuma), quase como uma repetição de eventos reais pode ser altamente eficaz - menos envolvente, mas escalável com baixo esforço em cenários muito mais envolventes não são. No outro extremo do espectro, acabamos com os cenários muito mais abertos, quase totalmente improvisados e exigindo a execução de um moderador habilidoso, respondendo em tempo real às decisões do participante, criando novas injeções na hora.

Como regra geral, quanto mais roteirizado for o exercício de mesa, mais fácil será executá-lo em escala, mais esforço será necessário para a criação inicial e menos conhecimento será necessário de um moderador para ser executado. Uma empresa poderia facilmente lançar um cenário interno pré-preparado no estilo de escolher seu próprio livro de aventura com opções limitadas e deixar as equipes realizarem suas próprias sessões.

Quanto menos roteirizada for a sessão, mais difícil de executar em escala (possível, mas requer mais recursos e esforço) e mais conhecimento e experiência são exigidos do moderador. O ideal aqui é alguém com experiência no tipo de incidente que está sendo simulado, juntamente com experiência em conduzir sessões de jogos (sim, eu coloco trinta anos de sessões de RPG de mesa no meu currículo quando estou lançando esses exercícios). O que as sessões improvisadas oferecem é a chance de testar planos específicos, ou mesmo construí-los com base em ações e escolhas durante o exercício.

Além disso, você precisa considerar o tipo de incidente que deseja testar. Um exercício de mesa de continuidade de negócios terá como objetivo descobrir como uma organização pode continuar operando em um nível aceitável quando os sistemas críticos falham.

A resposta a incidentes irá olhar para os incidentes de segurança, na maioria dos casos, mas pode cobrir qualquer coisa, desde má imprensa até um CEO naufragado.

Os cenários de continuidade de negócios visam como o negócio responde a uma crise ou falha crítica e mantém algum nível de função em andamento. É uma ótima maneira de descobrir o que é genuinamente crítico e qual nível de serviço é necessário para ser um negócio viável.

A recuperação de desastres geralmente flui naturalmente da continuidade dos negócios, revelando como uma organização passa dos planos de continuidade dos negócios de volta às operações normais (ou como restaurar a partir do backup). O gerenciamento de crises pode ser quase qualquer coisa, incluindo todos os itens acima.

Como você executa um exercício de mesa?

Eu adoraria dizer que a melhor maneira de administrar um é contratar um profissional (e é verdade, se você tem orçamento e pode encontrar um profissional , então deveria). No entanto, se você está apenas procurando testar a ideia ou procurando uma nova abordagem para a noite de jogos em família, pode executar facilmente uma sessão de mesa com esforço limitado. Você estará contando com sua própria experiência, então escolha um cenário em que você tenha alguma experiência para obter melhores resultados (e um ambiente com o qual você esteja familiarizado - ao construir esses cenários, geralmente envolverei uma intensa fase de descoberta para entender a organização bem o suficiente ).

A maneira mais simples, uma vez que você tenha um cenário, é decidir qual é a 'verdade'. Isso é o que realmente aconteceu nos bastidores. Quem é o atacante ou o que realmente deu errado. Isso não precisa ser incrivelmente detalhado, dependendo de suas habilidades de improvisação e confiança, mas uma regra de ouro é não alterá-lo durante o exercício - um pouco de inconsistência pode destruir o engajamento e remover qualquer potencial de aprendizado.

Uma vez que você tenha essa 'verdade', passe algum tempo pensando em como os participantes a verão. Eles não terão todas as informações desde o início - mesmo em um cenário tão simples quanto um data center queimando, a primeira coisa que a organização provavelmente verá são os serviços falhando. O que quer que você pense aqui formará suas primeiras injeções - o que pode ser tão simples quanto dizer ao grupo 'isto é o que você vê' ou, para um efeito mais poderoso, mensagens de mídia social de clientes, avisos de ransomware, manchetes de notícias e similares ( você pode pegar alguns modelos gratuitos para criar alguns deles aqui ).

Feito isso, o mais difícil é agendar um horário para reunir os participantes. Esse eu não posso ajudar.

Por fim, você terá tudo o que precisa: o cenário, injeções, seus participantes e, idealmente, alguém para fazer anotações detalhadas do que acontece.

Depois disso, é sobre narrativa e storytelling. Abra com as injeções iniciais e, em seguida, entregue aos participantes para decidir o que acontece a seguir. Quando eles realizarem uma ação, responda com mais informações dependendo do que eles fizeram, talvez com mais injeções, e itere até que o cenário esteja completo.

A conclusão pode ser difícil de definir, portanto, realisticamente, você deseja executar até que o cenário esteja estável - o que significa que quaisquer outras ações não farão diferença imediata (uma vez tomada a decisão de reconstruir um data center, por exemplo, há valor limitado em jogar ao longo dos meses de construção que estaria envolvido). Faça anotações, retire qualquer coisa importante e comece a se preparar para o próximo exercício de mesa.

Se você está convencido a tentar e precisa de um pouco de conselho, ou se deseja que alguém venha e execute uma série de exercícios, pode entrar em contato comigo no Twitter ou LinkedIn .