Empresas do setor financeiro em diversos países passaram a considerar indispensáveis os exercícios de resposta a incidentes cibernéticos, após a exigência explícita de reguladores como DORA (União Europeia), CORIE e CPS230 (Austrália), MAS TRM (Singapura), FCA/PRA (Reino Unido), FFIEC (Estados Unidos) e o Framework de Segurança Cibernética da SAMA (Arábia Saudita).
Da planilha ao cenário completo
Até pouco tempo, muitos treinamentos de crise consistiam em roteiros simples, organizados em uma planilha com horários e personagens. Agora, as instituições precisam lidar com múltiplos roteiros, perfis de atores de ameaça, técnicas, indicadores de comprometimento, relatórios de inteligência e ferramentas de ataque — materiais que devem ser planejados, executados e avaliados pelo menos anualmente, e em alguns casos a cada trimestre ou de forma contínua.
Integração de tabletop e red team
Para reduzir a complexidade, a francesa Filigran desenvolveu o OpenAEV. O software permite criar cenários que mesclam atividades humanas de um tabletop (exercício de mesa) com eventos técnicos de uma simulação de red team. O sistema utiliza dados do OpenCTI para gerar, a partir de um mesmo relatório de ameaça, tanto os injects técnicos (alertas de ransomware, por exemplo) quanto comunicações simuladas entre equipes de segurança, fornecedores e executivos.
Gerenciamento de participantes
O OpenAEV sincroniza participantes e equipes com ferramentas de gestão de identidade corporativa. Assim, quem recebe alertas técnicos durante o teste é o mesmo grupo que recebe e-mails de crise no tabletop, questionários de avaliação ao final do exercício e aparece no relatório destinado a auditorias.
Flexibilidade de calendário
As simulações podem ser agendadas para um ou dois dias — combinando, por exemplo, red team no primeiro dia e tabletop no segundo — ou distribuídas por semanas e até meses. Isso possibilita testar, por exemplo, a capacidade do SOC de recuperar logs antigos para identificar o “paciente zero” de uma invasão.
Imagem: ails from cfused users
Próximos passos
A Filigran oferecerá sessões online em 20 de novembro para apresentar práticas de implementação: das 11h às 12h (CET) para a Europa e das 13h às 14h (EST) para a América do Norte.
O OpenAEV é gratuito para uso comunitário e inclui biblioteca de cenários de ransomware, integrações com SIEMs e EDRs e ecossistema de código aberto, atendendo às exigências de melhoria contínua previstas em normas como DORA e CORIE.
Com informações de The Hacker News
