Tipos de simulações - Guia do usuário do AWS Security Incident Response

Tipos de simulações

Existem três tipos principais de simulações:

  • Exercícios de simulação: abordagem de exercícios de simulação consiste estritamente em uma sessão baseada em debates, envolvendo as diversas partes interessadas responsáveis pela resposta a incidentes para praticar as atividades atribuídas ao cargo e as responsabilidades, além de usar as ferramentas de comunicação e os planos de ação estabelecidos. Normalmente, a facilitação do exercício pode ser realizada em um dia inteiro, seja em um ambiente virtual, em um ambiente físico ou em uma combinação de ambos. Devido à sua natureza baseada em debates, o exercício de simulação se concentra em processos, pessoas e colaboração. A tecnologia constitui uma parte essencial da discussão. No entanto, o uso real de ferramentas ou de scripts de resposta a incidentes geralmente não faz parte do exercício de simulação.

  • Exercícios de Purple Team: os exercícios de Purple Team aumentam o nível de colaboração entre os responsáveis pela resposta a incidentes (Blue Team) e os agentes de ameaças simulados (Red Team). Geralmente, o Blue Team é composto por membros do Security Operations Center (SOC), mas também pode incluir outras partes interessadas que estariam envolvidas durante um evento cibernético real. O Red Team, por sua vez, é geralmente formado por uma equipe de testes de penetração ou por partes interessadas principais que foram treinadas em segurança ofensiva. O Red Team trabalha de forma colaborativa com os facilitadores do exercício durante a elaboração do cenário, garantindo que este seja preciso e viável. Durante os exercícios de Purple Team, o foco principal está nos mecanismos de detecção, nas ferramentas e nos procedimentos operacionais padrão (SOPs, na sigla em inglês) que fornecem suporte às iniciativas de resposta a incidentes.

  • Exercícios de Red Team: durante um exercício de Red Team, a equipe ofensiva (Red Team) conduz uma simulação para atingir um objetivo ou conjunto de objetivos determinado dentro de um escopo determinado previamente. A equipe defensora (Blue Team) nem sempre conhecem o escopo e a duração do exercício, o que proporciona uma avaliação mais realista de como as pessoas reagiriam a um incidente real. Como os exercícios de Red Team podem ser testes invasivos, é recomendável agir com cautela e implementar controles para garantir que o exercício não cause danos reais ao seu ambiente.

nota

A AWS requer que os clientes analisem a política de testes de penetração disponível no site de teste de penetração antes de realizarem exercícios de Purple Team ou de Red Team.

A Tabela 1 apresenta um resumo das principais diferenças entre esses tipos de simulações. É importante destacar que as definições são geralmente consideradas flexíveis e podem ser personalizadas para atender às necessidades da sua organização.

Tabela 1: tipos de simulações

Exercício de simulação Exercício de Purple Team Exercício de Red Team
Resumo Exercícios baseados em documentos que se concentram em um cenário específico de incidente de segurança. Os exercícios podem ser de nível estratégico ou técnico, e são conduzidos por uma série de informações documentadas. Uma abordagem mais realista em comparação aos exercícios de simulação. Durante os exercícios de Purple Team, os facilitadores trabalham de forma colaborativa com os participantes para aumentar o engajamento no exercício e oferecer treinamento quando necessário. Trata-se, em geral, de uma simulação mais complexa. Normalmente há um alto nível de sigilo, de modo que os participantes podem não conhecer todos os detalhes do exercício.
Recursos necessários Recursos técnicos limitados necessários Diversas partes interessadas necessárias e alto nível de recursos técnicos necessários Diversas partes interessadas necessárias e alto nível de recursos técnicos necessários
Complexidade Baixo Médio Alto

Considere facilitar as simulações cibernéticas em intervalos regulares. Cada tipo de exercício pode fornecer benefícios únicos aos participantes e à organização como um todo, por isso pode ser interessante começar com simulações menos complexas (como os exercícios de simulação) e evoluir gradualmente para simulações mais complexas (como os exercícios de Red Team). Você deve selecionar um tipo de simulação com base em sua maturidade de segurança, recursos e resultados desejados. Alguns clientes podem optar por não realizar exercícios de Red Team devido à sua complexidade e ao custo envolvido.