Invoering
Financiële instellingen worden geconfronteerd met een nieuwe realiteit: cyberweerbaarheid is geëvolueerd van een best practice, naar een operationele noodzaak, naar een prescriptieve regelgevingsvereiste.
Crisisbeheersing of tafelbladoefeningen, lange tijd relatief zeldzaam in de context van cyberbeveiliging, zijn verplicht geworden nu een reeks regelgeving deze vereiste heeft geïntroduceerd bij FSI-organisaties in verschillende regio’s, waaronder DORA (Digital Operational Resilience Act) in de EU; CPS230 / CORIE (Cyber Operational Resilience Intelligence-geleide oefeningen) in Australië; MAS TRM (Richtlijnen voor technologierisicobeheer van de Monetaire Autoriteit van Singapore); FCA/PRA Operationele veerkracht in Groot-Brittannië; de FFIEC IT-handboek in de VS, en de SAMA Cybersecurity-framework in Saoedi-Arabië.
Wat het voldoen aan deze wettelijke vereisten complex maakt, is de cross-functionele samenwerking tussen technische en niet-technische teams. Simulatie van de technische aspecten van het cyberincident – met andere woorden red-teaming – is bijvoorbeeld vereist, zo niet precies op hetzelfde moment, dan toch zeker binnen hetzelfde veerkrachtprogramma, in dezelfde context, en met veel van dezelfde inputs en outputs. Dit is het sterkst in de regelgeving op basis van de TIBER-EU kader, met name CORIE en DORA.
Er is altijd Excel
Naarmate de vereisten steeds prescriptiever worden en best practices meer ingeburgerd raken, is wat ooit een tafelmodeloefening was, aangestuurd door een eenvoudig Excel-bestand met een korte reeks gebeurtenissen, tijdstempels, persona’s en opmerkingen, uitgegroeid tot een reeks scenario’s, scripts, analyses van het dreigingslandschap, profielen van bedreigingsactoren, TTP’s en IOC’s, mappen met dreigingsrapporten, hacktools, injecties en rapporten – die allemaal moeten worden beoordeeld, voorbereid, gerepeteerd, afgespeeld, geanalyseerd en gerapporteerd, zo niet per kwartaal, zo niet continu.
Hoewel Excel een vaste waarde is op elk van de cyber-, financiële en GRC-domeinen, heeft het zelfs zijn beperkingen op deze niveaus van complexiteit.
Combinatie van tabletop en Red Team-simulatie
De afgelopen jaren heeft Filigran OpenAEV zo ver ontwikkeld dat u end-to-end-scenario’s kunt ontwerpen en uitvoeren waarin menselijke communicatie wordt gecombineerd met technische gebeurtenissen. Aanvankelijk gelanceerd als een platform voor crisissimulatiebeheer, integreerde het later de simulatie van inbreuken en aanvallen in het nu holistische beheer van de blootstelling aan tegenstanders, wat een unieke mogelijkheid biedt om zowel de technische als de menselijke paraatheid te beoordelen.
Er zijn veel voordelen verbonden aan het combineren van deze twee mogelijkheden in één tool. Om te beginnen vereenvoudigt het de voorbereidingswerkzaamheden voor het scenario aanzienlijk. Na onderzoek naar het dreigingslandschap in OpenCTI (een platform voor bedreigingsinformatie) kan een relevant inlichtingenrapport worden gebruikt om zowel de technische injecties te genereren op basis van de TTP’s van de aanvaller, maar ook om inhoud te bevatten zoals communicatie over aanvallers, Security Operations Center van derden en communicatie over beheerde detectie en respons, en interne leiderschapscommunicatie, gebaseerd op informatie en timing uit hetzelfde rapport.
Het bijhouden van het team
Het gebruik van één enkele tool ontdubbelt ook de logistiek, vóór, tijdens en na de oefening. “Spelers” in de oefening, in hun teams en organisatie-eenheden, kunnen worden gesynchroniseerd met bedrijfsidentiteits- en toegangsbeheerbronnen, zodat de ontvangers van waarschuwingen over technische gebeurtenissen tijdens de oefening dezelfde zijn als degenen die gesimuleerde crisis-e-mails ontvangen van de tabletop-componenten; en dezelfden die onmiddellijk na de oefening de geautomatiseerde feedbackvragenlijsten ontvangen voor de ‘hot wash’-beoordeling; en dezelfde die verschijnen in de eindrapporten voor controle door de auditor.
Op dezelfde manier, als dezelfde oefening opnieuw wordt uitgevoerd nadat de geleerde lessen zijn omgezet, als onderdeel van de aantoonbare voortdurende verbetering die vereist is onder DORA en CORIE, dan zal deze synchronisatie een actuele contactlijst bijhouden voor de individuen in deze rollen, of zelfs voor de alternatieve telefoonboom en out-of-band crisiscommunicatiekanalen die ook up-to-date worden gehouden, en voor derde partijen zoals MSSP, MDR en upstream leveranciers van de toeleveringsketen.
Vergelijkbare efficiëntie bestaat bij het volgen van het dreigingslandschap, het in kaart brengen van dreigingsrapporten en andere functies. Zoals bij alle bedrijfsprocessen zorgt het stroomlijnen van de logistiek voor meer efficiëntie, waardoor kortere voorbereidingstijden en frequentere simulaties mogelijk zijn.
Je timing kiezen
Nu CORIE en DORA relatief recentelijk zijn afgedwongen regelgeving, zullen de meeste organisaties nog maar net aan hun reis beginnen met het uitvoeren van tabletop- en red team-scenario’s, waarbij er nog veel verfijning in het proces zit. Voor dergelijke organisaties kan het uitvoeren van gemengde simulaties een te grote eerste stap zijn.
Dit is prima. Scenario’s kunnen op meer discrete manieren in OpenAEV worden uitgevoerd. Meestal kan dit inhouden dat er op de eerste dag een Red Team-simulatie wordt uitgevoerd om detective- en preventieve technische controles en SOC-reactieprocessen te testen. De tabletop-oefening wordt dan op de tweede dag uitgevoerd en kan mogelijk worden aangepast om de bevindingen en timing van de technische oefening weer te geven.
Interessanter is dat simulaties kunnen worden gepland en over veel langere perioden kunnen worden uitgevoerd, zelfs maanden. Dit maakt automatisering en beheer mogelijk van lastiger, maar zeer reële scenario’s, zoals het vooraf achterlaten van tekenen van inbraak op hosts, en het uitdagen van de SOC-, IR- en CTI-teams om te laten zien dat ze in staat zijn om logs uit het archief op te halen om te zoeken naar patiënt nul, het eerste systeem dat is aangetast. Dit kan moeilijk realistisch te modelleren zijn in een dagelijkse simulatie, maar in werkelijkheid is dit maar al te vaak een vereiste.
Oefening baart kunst
Afgezien van de wettelijke vereisten, verzekeringsvoorwaarden, risicobeheer en andere externe drijfveren, betekent de mogelijkheid om aanvalssimulaties en tabletop-oefeningen voor huidige, relevante bedreigingen te stroomlijnen, met alle technische integraties, planning en automatisering die dit mogelijk maken, dat uw beveiligings-, leiderschaps- en crisisbeheerteams een spiergeheugen en -stroom zullen ontwikkelen die vertrouwen zullen wekken in het vermogen van uw organisatie om een echte crisis het hoofd te bieden, wanneer de volgende zich voordoet.
Toegang hebben tot een tool als OpenAEV, die gratis is voor gebruik door de gemeenschap, met een bibliotheek met veel voorkomende ransomware- en dreigingsscenario’s, technische integraties met SIEM’s en EDR’s, en een uitbreidbaar en open source integratie-ecosysteem, is een van de vele manieren waarop we onze cyberverdediging en cyberveerkracht kunnen helpen verbeteren. En niet te vergeten: onze compliance.
En als uw team volledig is geoefend en zelfverzekerd is in het omgaan met crisissituaties, is het niet langer een crisis.
Klaar om de volgende stap te zetten?
Om dieper in te gaan op de manier waarop organisaties regelgevende mandaten kunnen omzetten in bruikbare veerkrachtstrategieën, kunt u deelnemen aan een van Filigran’s komende, door experts geleide sessies:
Operationaliseren van incidentrespons: tabletop-oefeningen die klaar zijn voor compliance met een AEV-platform
