A importância da velocidade nos ciclos de decisão

Em meados do século XX, o Coronel da Força Aérea Norte-Americana John Boyd desenvolveu uma teoria destinada à orientação para a velocidade nos processos de tomada de decisão que designou por OODA loop (Observar, Orientar, Decidir, Atuar). Embora esta teoria tenha sido inicialmente orientada para treinar pilotos de aviões de caça a tomar decisões críticas (frequentemente de vida ou morte) rapidamente, mesmo quando não têm tempo para recolher toda a informação necessária, ela tornou-se rapidamente aplicável noutras vertentes do processo de decisão nas organizações.

No Ciberespaço, e em particular nas operações de cibersegurança, a aplicação dos conceitos base deste modelo é fundamental. A rapidez a que as ameaças evoluem obriga a que os decisores sejam capacitados para tomar decisões rapidamente, mesmo quando não têm todos os dados disponíveis.

Para dar algum contexto à necessidade de rapidez, foquemos por exemplo nas recentes vulnerabilidades zero day divulgadas em 2021 pela Microsoft que afetavam servidores Exchange. Estas quatro vulnerabilidades, divulgadas publicamente em 2 de março juntamente com as respetivas atualizações que as corrigiam, permitiam o comprometimento total de caixas de correio e conteúdos dos servidores Exchange vulneráveis expostos na Internet.

Naquilo que já é comportamento habitual para vulnerabilidades críticas deste tipo, os atacantes iniciaram varrimentos completos à Internet à procura de servidores afetados nos cinco minutos seguintes à divulgação desta vulnerabilidade pela Microsoft. Isto é o resultado de um ciclo de decisão curtíssimo, em que um atacante passa da fase da observação à ação numa escala temporal muito comprimida. Enquanto procuravam essas máquinas vulneráveis, os atacantes continuaram a desenvolver ferramentas para as explorar, o que foi identificado em menos de 5 horas após o início dos varrimentos.

O que é que isso significa para as equipas de cibersegurança que têm de defender uma infraestrutura? Que têm de otimizar os seus ciclos OODA e ser tão ou mais rápidos que os atacantes a agir. Isso significa, em casos como este, aplicar as correções de vulnerabilidades em menos tempo do que os atacantes demoram a descobrir e explorar os servidores expostos, ou, no limite, desligá-los da Internet enquanto não é aplicada essa correção.

Num mundo imperfeito, nem sempre é possível ter a solução perfeita e conseguir envolver todas as equipas necessárias no tempo necessário à aplicação das alterações necessárias. Mas mesmo nesses casos, os ciclos de decisão nas organizações têm obrigatoriamente de prever a capacitação de todos os intervenientes, cada um ao seu nível, para tomar as decisões possíveis com a informação que têm disponível. Isto significa ter bem claro para todos, antes do acontecimento, quem é que tem autoridade para em caso de suspeita de um ataque, desligar uma máquina exposta na Internet, sem que tenha para isso de esperar por uma decisão que demore mais do que o tempo que o atacante demora a comprometer essa máquina.

A falta de rapidez na tomada destas decisões resulta em quebras de segurança com impactos elevados, como foi possível verificar neste caso dos servidores Exchange em que diversas organizações foram comprometidas no período entre a divulgação da vulnerabilidade e a aplicação das correções.

Voltando à teoria do Coronel Boyd, na cibersegurança há que assegurar que em cada passo são tomadas as ações apropriadas:

• Observar: acompanhar os boletins de segurança e os canais de divulgação para todos os fabricantes de hardware e software usado na organização;
• Orientar: Avaliar a aplicabilidade, o impacto operacional que a exploração da vulnerabilidade poderá ter e os riscos associados a um ataque e à implementação das correções
• Decidir: Priorizar a estratégia de remediação, ou a implementação de mitigações temporárias
• Atuar: Implementar as estratégias de remediação, monitorizar e gerir qualquer impacto nos serviços afetados

Este é apenas um exemplo do ciclo OODA aplicado à gestão de vulnerabilidades. Noutros campos da cibersegurança, as atividades a desenvolver em cada um dos passos serão diferentes (por exemplo monitorizar a infraestrutura para detetar atividade maliciosa), mas na sua essência, aplica-se o mesmo princípio: é fundamental manter o foco na agilidade e na rapidez, sob pena de correr permanentemente atrás do prejuízo e viver constantemente num paradigma de resposta a incidentes.

Neste domínio, organizações rápidas são organizações vencedoras!