A importância da velocidade nos ciclos de decisão

A importância da velocidade nos ciclos de decisão

A rapidez de decisão é crítica na maioria das organizações, e a cibersegurança não é diferente. Mas o que significa rapidez no ciberespaço, em que tudo acontece numa escala comprimida, serão 5 minutos, 5 horas, 5 dias?

Em meados do século XX, o Coronel da Força Aérea Norte-Americana John Boyd desenvolveu uma teoria destinada à orientação para a velocidade nos processos de tomada de decisão que designou por OODA loop (Observar, Orientar, Decidir, Atuar). Embora esta teoria tenha sido inicialmente orientada para treinar pilotos de aviões de caça a tomar decisões críticas (frequentemente de vida ou morte) rapidamente, mesmo quando não têm tempo para recolher toda a informação necessária, ela tornou-se rapidamente aplicável noutras vertentes do processo de decisão nas organizações.

No Ciberespaço, e em particular nas operações de cibersegurança, a aplicação dos conceitos base deste modelo é fundamental. A rapidez a que as ameaças evoluem obriga a que os decisores sejam capacitados para tomar decisões rapidamente, mesmo quando não têm todos os dados disponíveis.

Para dar algum contexto à necessidade de rapidez, foquemos por exemplo nas recentes vulnerabilidades zero day divulgadas em 2021 pela Microsoft que afetavam servidores Exchange. Estas quatro vulnerabilidades, divulgadas publicamente em 2 de março juntamente com as respetivas atualizações que as corrigiam, permitiam o comprometimento total de caixas de correio e conteúdos dos servidores Exchange vulneráveis expostos na Internet.

Naquilo que já é comportamento habitual para vulnerabilidades críticas deste tipo, os atacantes iniciaram varrimentos completos à Internet à procura de servidores afetados nos cinco minutos seguintes à divulgação desta vulnerabilidade pela Microsoft. Isto é o resultado de um ciclo de decisão curtíssimo, em que um atacante passa da fase da observação à ação numa escala temporal muito comprimida. Enquanto procuravam essas máquinas vulneráveis, os atacantes continuaram a desenvolver ferramentas para as explorar, o que foi identificado em menos de 5 horas após o início dos varrimentos.

O que é que isso significa para as equipas de cibersegurança que têm de defender uma infraestrutura? Que têm de otimizar os seus ciclos OODA e ser tão ou mais rápidos que os atacantes a agir. Isso significa, em casos como este, aplicar as correções de vulnerabilidades em menos tempo do que os atacantes demoram a descobrir e explorar os servidores expostos, ou, no limite, desligá-los da Internet enquanto não é aplicada essa correção.

Num mundo imperfeito, nem sempre é possível ter a solução perfeita e conseguir envolver todas as equipas necessárias no tempo necessário à aplicação das alterações necessárias. Mas mesmo nesses casos, os ciclos de decisão nas organizações têm obrigatoriamente de prever a capacitação de todos os intervenientes, cada um ao seu nível, para tomar as decisões possíveis com a informação que têm disponível. Isto significa ter bem claro para todos, antes do acontecimento, quem é que tem autoridade para em caso de suspeita de um ataque, desligar uma máquina exposta na Internet, sem que tenha para isso de esperar por uma decisão que demore mais do que o tempo que o atacante demora a comprometer essa máquina.

A falta de rapidez na tomada destas decisões resulta em quebras de segurança com impactos elevados, como foi possível verificar neste caso dos servidores Exchange em que diversas organizações foram comprometidas no período entre a divulgação da vulnerabilidade e a aplicação das correções.

Voltando à teoria do Coronel Boyd, na cibersegurança há que assegurar que em cada passo são tomadas as ações apropriadas:

  • Observar: acompanhar os boletins de segurança e os canais de divulgação para todos os fabricantes de hardware e software usado na organização;
  • Orientar: Avaliar a aplicabilidade, o impacto operacional que a exploração da vulnerabilidade poderá ter e os riscos associados a um ataque e à implementação das correções
  • Decidir: Priorizar a estratégia de remediação, ou a implementação de mitigações temporárias
  • Atuar: Implementar as estratégias de remediação, monitorizar e gerir qualquer impacto nos serviços afetados

Este é apenas um exemplo do ciclo OODA aplicado à gestão de vulnerabilidades. Noutros campos da cibersegurança, as atividades a desenvolver em cada um dos passos serão diferentes (por exemplo monitorizar a infraestrutura para detetar atividade maliciosa), mas na sua essência, aplica-se o mesmo princípio: é fundamental manter o foco na agilidade e na rapidez, sob pena de correr permanentemente atrás do prejuízo e viver constantemente num paradigma de resposta a incidentes.

Neste domínio, organizações rápidas são organizações vencedoras!

João Farinha

João Farinha

Responsável pela equipa de segurança ofensiva
S21sec

Especialista em cibersegurança que tem como visão tornar o ciberespaço um ambiente mais seguro. É responsável pela equipa de segurança ofensiva da S21sec em Portugal, apoiando empresas e organizações a testar e validar a eficácia dos seus controlos de segurança. Para além das suas funções na S21sec, é membro da Comissão Executiva da Rede Nacional de CSIRT desde 2018, orador em diversas conferências e eventos e contribui regularmente para meios de comunicação em temas relacionados com a cibersegurança. Iniciou a sua carreira como Oficial da Força Aérea Portuguesa, focado em criptografia, redes de computadores e segurança da informação. Integrou a equipa inicial do Centro de Ciberdefesa no Estado-Maior General das Forças Armadas entre 2014 e 2017, o que lhe permitiu obter uma visão abrangente sobre a utilização civil e militar do ciberespaço.

Outros artigos deste autor


REVISTA DIGITAL

IT SECURITY Nº2 Setembro 2021

IT SECURITY Nº2 Setembro 2021

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.