Tipos de simulações
Existem três tipos principais de simulações:
-
Exercícios de simulação: abordagem de exercícios de simulação consiste estritamente em uma sessão baseada em debates, envolvendo as diversas partes interessadas responsáveis pela resposta a incidentes para praticar as atividades atribuídas ao cargo e as responsabilidades, além de usar as ferramentas de comunicação e os planos de ação estabelecidos. Normalmente, a facilitação do exercício pode ser realizada em um dia inteiro, seja em um ambiente virtual, em um ambiente físico ou em uma combinação de ambos. Devido à sua natureza baseada em debates, o exercício de simulação se concentra em processos, pessoas e colaboração. A tecnologia constitui uma parte essencial da discussão. No entanto, o uso real de ferramentas ou de scripts de resposta a incidentes geralmente não faz parte do exercício de simulação.
-
Exercícios de Purple Team: os exercícios de Purple Team aumentam o nível de colaboração entre os responsáveis pela resposta a incidentes (Blue Team) e os agentes de ameaças simulados (Red Team). Geralmente, o Blue Team é composto por membros do Security Operations Center (SOC), mas também pode incluir outras partes interessadas que estariam envolvidas durante um evento cibernético real. O Red Team, por sua vez, é geralmente formado por uma equipe de testes de penetração ou por partes interessadas principais que foram treinadas em segurança ofensiva. O Red Team trabalha de forma colaborativa com os facilitadores do exercício durante a elaboração do cenário, garantindo que este seja preciso e viável. Durante os exercícios de Purple Team, o foco principal está nos mecanismos de detecção, nas ferramentas e nos procedimentos operacionais padrão (SOPs, na sigla em inglês) que fornecem suporte às iniciativas de resposta a incidentes.
-
Exercícios de Red Team: durante um exercício de Red Team, a equipe ofensiva (Red Team) conduz uma simulação para atingir um objetivo ou conjunto de objetivos determinado dentro de um escopo determinado previamente. A equipe defensora (Blue Team) nem sempre conhecem o escopo e a duração do exercício, o que proporciona uma avaliação mais realista de como as pessoas reagiriam a um incidente real. Como os exercícios de Red Team podem ser testes invasivos, é recomendável agir com cautela e implementar controles para garantir que o exercício não cause danos reais ao seu ambiente.
nota
A AWS requer que os clientes analisem a política de testes de penetração disponível no site de teste de penetração
A Tabela 1 apresenta um resumo das principais diferenças entre esses tipos de simulações. É importante destacar que as definições são geralmente consideradas flexíveis e podem ser personalizadas para atender às necessidades da sua organização.
Tabela 1: tipos de simulações
Exercício de simulação | Exercício de Purple Team | Exercício de Red Team | |
---|---|---|---|
Resumo | Exercícios baseados em documentos que se concentram em um cenário específico de incidente de segurança. Os exercícios podem ser de nível estratégico ou técnico, e são conduzidos por uma série de informações documentadas. | Uma abordagem mais realista em comparação aos exercícios de simulação. Durante os exercícios de Purple Team, os facilitadores trabalham de forma colaborativa com os participantes para aumentar o engajamento no exercício e oferecer treinamento quando necessário. | Trata-se, em geral, de uma simulação mais complexa. Normalmente há um alto nível de sigilo, de modo que os participantes podem não conhecer todos os detalhes do exercício. |
Recursos necessários | Recursos técnicos limitados necessários | Diversas partes interessadas necessárias e alto nível de recursos técnicos necessários | Diversas partes interessadas necessárias e alto nível de recursos técnicos necessários |
Complexidade | Baixo | Médio | Alto |
Considere facilitar as simulações cibernéticas em intervalos regulares. Cada tipo de exercício pode fornecer benefícios únicos aos participantes e à organização como um todo, por isso pode ser interessante começar com simulações menos complexas (como os exercícios de simulação) e evoluir gradualmente para simulações mais complexas (como os exercícios de Red Team). Você deve selecionar um tipo de simulação com base em sua maturidade de segurança, recursos e resultados desejados. Alguns clientes podem optar por não realizar exercícios de Red Team devido à sua complexidade e ao custo envolvido.