Eu frequentemente digo que a resiliência cibernética não é algo que se pode comprar; é uma propriedade emergente que ocorre depois que uma organização toma as medidas preparatórias e operacionais apropriadas para ser capaz de resistir a um ciberataque. Trabalhei certa vez para um CEO cujo resposta padrão a qualquer problema era colocar um caminhão cheio de dinheiro sobre o problema e despejar notas de dólar até que o problema desaparecesse. Acostumado a discutir continuidade de negócios tradicional e cenários de recuperação de desastres, ele ficou incrivelmente frustrado pelo fato de que “esses caras da cibersegurança não conseguem me dar uma resposta definitiva sobre quanto tempo vamos ficar fora do ar”.
Esse CEO estava acostumado com incidentes nos quais as causas principais são relativamente fáceis de determinar – desastre natural, falha de equipamentos ou software, perda de energia, má configuração ou inundação. A recuperação geralmente era em massa para o mesmo ambiente ou outro alternativo, longe da causa da interrupção. A orquestração era, em grande parte, uma questão de conhecer as interdependências, e a velocidade da recuperação era simplesmente um fator da velocidade do pipeline, velocidade do disco e velocidade da solução de backup. Tínhamos uma boa fórmula de RTO (Objetivo de Tempo de Recuperação) e RPO (Objetivo de Ponto de Recuperação) que podíamos calcular e testar regularmente.
Eu tive que explicar que, em um incidente cibernético, especialmente um de grande escala e destrutivo como um ataque de ransomware ou wiper, existem muito mais variáveis e a maioria delas só pode ser controlada até certo ponto. Os adversários cibernéticos podem escolher entre centenas de técnicas de ataque espalhadas pelas 14 táticas do MITRE ATT&CK, estão tornando nossos controles de segurança de endpoints cegos usando drivers de dispositivos vulneráveis, vivem das nossas próprias ferramentas de TI, e estão armando vulnerabilidades em exploits que são integrados em suas plataformas de Ransomware-as-a-Service muito mais rápido do que quase todas as organizações podem corrigir. Eles entraram por uma máquina ou por cinquenta? Todos esses sistemas podem agora ter mecanismos de persistência, dando a eles uma cabeça de praia para relançar o ataque – o tempo necessário para investigar e remediar uma máquina ou cinquenta é vastamente diferente.
Em incidentes cibernéticos, a recuperação pode envolver corrigir sistemas, reverter configurações individuais para versões sem mecanismos de persistência, adicionar controles ou regras adicionais aos existentes para prevenir um novo ataque, remover contas maliciosas ou provedores de autenticação, rotacionar chaves e senhas – tudo isso leva tempo. Quanto tempo? Bem, não somos nós que controlamos isso, é o adversário. Essa incapacidade dos profissionais de segurança de dar aos líderes empresariais prazos discretos sobre resposta a incidentes e recuperação segura muitas vezes os faz se sentir inseguros, mas é a realidade em que vivemos.
Frequentemente percebo que são as organizações que se comprometeram com RTOs muito rígidos que são as menos preparadas para lidar com um ciberataque, pois frequentemente se recuperam prematuramente sem remediação, apenas para serem reinfectadas ou retacadas logo depois.
Uma vez que estabelecemos a diferença entre continuidade de negócios, recuperação de desastres e o que é necessário para se recuperar de forma segura, sem deixar a organização aberta a um novo ataque, o CEO começou a perceber que dinheiro e equipe eram apenas parte da solução. O planejamento, o apoio em toda a organização, a colaboração entre TI e Segurança e uma abordagem pragmática e gradual de melhorias foram mais eficazes do que simplesmente contratar mais pessoas e comprar mais produtos. Alcançar resiliência cibernética não se trata apenas de implantar a mais recente tecnologia, trata-se de aplicar essa tecnologia de maneira apropriada para a estrutura, cultura e capacidade da organização; construir os fluxos de trabalho e processos adequados para operacionalizar essa tecnologia; e desenvolver as habilidades e a memória muscular necessárias na equipe da organização, para que, quando o ataque inevitável ocorrer, todos saibam seu papel e exatamente o que fazer.
Se quisermos minimizar esse cronograma indeterminado de resposta, a melhor maneira de fazer isso é construir a resiliência cibernética, e isso deve ser visto como uma cadeia, com cada aspecto técnico, de processo ou de pessoas como um elo dessa cadeia. Como diz o velho ditado, “uma cadeia é tão forte quanto seu elo mais fraco”, e assim é com a resiliência cibernética. O elo mais fraco de monitoramento de alertas, caça a ameaças, gestão de vulnerabilidades, proteção de backups, forense digital, resposta a incidentes, registro de logs, autenticação, realização de simulações e exercícios realistas, manutenção de regras de controles e inteligência de ameaças pode derrubar todo o nível geral de resiliência. Frequentemente vejo organizações começando um grande projeto waterfall para abordar apenas um aspecto, enquanto há outro componente na cadeia que está um “incêndio”. Mesmo pequenas melhorias incrementais nesse elo mais fraco trariam dividendos muito maiores do que um foco míope em tornar aquele único projeto perfeito.
Olhando as manchetes que mostram organizações com orçamentos e equipes massivos de cibersegurança ainda sofrendo impactos significativos de ransomware, deveríamos olhar não apenas para aumentar os gastos e contratações, mas para garantir que estamos aplicando nosso dinheiro e esforço nas áreas que entregarão o maior retorno em resiliência cibernética aumentada. Dar um passo atrás e medir a capacidade relativa de cada aspecto na cadeia de resiliência, e continuar fazendo isso à medida que amadurecemos, é o caminho para garantir que possamos passar de zero a herói sem descobrir que a cadeia se quebra devido a algum elo fraco imprevisto.
• Por: James Blake, vice-presidente de Estratégia de Ciber-Resiliência.