Testy TLPT (Threat-Led Penetration Testing – Testy penetracyjne oparte na zagrożeniach) stanowią fundament w ocenie cyfrowej odporności organizacji. Ich głównym celem jest symulacja rzeczywistych cyberataków, co pozwala na głębsze zrozumienie podatności systemów informatycznych i dostosowanie strategii zabezpieczeń. W erze cyfrowej, gdzie zagrożenia stają się coraz bardziej wyrafinowane, wdrożenie TLPT jest nieodzowne dla skutecznego zarządzania ryzykiem.
Rozporządzenie DORA (Digital Operational Resilience Act) wprowadza nowoczesne podejście do testowania operacyjnej odporności cyfrowej, skupiając się na szczegółowych wymaganiach dotyczących TLPT. Nowe regulacje nakładają na organizacje finansowe obowiązek regularnego przeprowadzania takich testów, co ma na celu wzmocnienie ochrony przed cyberzagrożeniami. Te regulacje łączą zarządzanie ryzykiem z praktycznymi aspektami, co jest niezbędne dla zapewnienia ciągłości operacyjnej.
Każdego dnia firmy na całym świecie stają przed wyzwaniami, które mogą zagrażać ich bezpieczeństwu danych i funkcjonowaniu infrastruktury IT. W takich realiach testy, stanowiące podstawowy element obrony cybernetycznej, stają się niezastąpione. W artykule tym omówimy szczegółowo, czym są testy penetracyjne oparte na zagrożeniach i jakie korzyści niesie ich zastosowanie.
Kluczowe informacje warte zapamiętania:
- Testy TLPT mają na celu symulację rzeczywistych ataków, aby pomóc organizacjom w ocenie i poprawie ich możliwości ochrony, wykrywania i reagowania na cyberataki.
- Testy TLPT, przeprowadzane w środowisku produkcyjnym, obejmują analizę Threat Intelligence w celu opracowania scenariuszy ataków, a także zaangażowanie różnych zespołów, w tym Red Team, Blue Team, White Team, Threat Intelligence Provider i TLPT Authority.
- Ramy TIBER-EU, będące przykładem testów TLPT, zostały opracowane w celu standaryzacji testów opartych na analizie zagrożeń, promując współpracę między organami nadzorczymi i organizacjami w całej UE.
Czym jest TLPT?
TLPT to zaawansowana forma testów penetracyjnych, która wykracza poza standardowe podejście, symulując rzeczywiste ataki cybernetyczne z wykorzystaniem taktyk, technik i procedur (TTP) stosowanych przez prawdziwych cyberprzestępców. W przeciwieństwie do tradycyjnych testów penetracyjnych, TLPT koncentruje się na analizie konkretnych zagrożeń, na które narażona jest dana organizacja, dostosowując symulacje ataków do jej specyficznego profilu ryzyka.
Rosnąca liczba i zaawansowanie cyberataków, w połączeniu z nowymi regulacjami prawnymi, takimi jak RODO czy dyrektywa NIS, nakładającymi obowiązek testowania cyberbezpieczeństwa, sprawiają, że TLPT staje się niezbędnym elementem strategii bezpieczeństwa każdej organizacji.
Głównym celem testów jest:
- Identyfikacja i ocena odporności organizacji na cyberzagrożenia.
- Weryfikacja skuteczności istniejących zabezpieczeń i procesów reagowania na incydenty.
- Wsparcie w doskonaleniu strategii bezpieczeństwa i zarządzania ryzykiem cybernetycznym.
Zamiast sprawdzać ogólną odporność systemów jak w przypadku tradycyjnych podejść, skupiają się one na analizie i eksploatacji konkretnych zagrożeń, z którymi dana organizacja może się spotkać. To umożliwia bardziej precyzyjne zrozumienie ryzyka, a także dostosowanie scenariuszy testowych do aktualnych trendów zagrożeń.
Rozporządzenie DORA i jego regulacje wymagają od instytucji finansowych przeprowadzania testów, które symulują rzeczywiste ataki. TLPT jest metodą, która umożliwia weryfikację przygotowania i reakcji organizacji na takie zagrożenia. Komisja Europejska promuje to podejście, uznając je za niezbędne dla skutecznego zarządzania ryzykiem.
Ważnym aspektem TLPT jest zapewnienie, że podmioty finansowe realizują testy zgodnie z najlepszymi praktykami i standardami. Wykorzystanie zewnętrznych testerów jest kluczowe dla zachowania obiektywizmu wyników. Zgodność z DORA obejmuje także konieczność stosowania standardów technicznych określonych przez TIBER-EU.
Rozporządzenie DORA nakłada na instytucje finansowe obowiązek przeprowadzania testów TLPT nie rzadziej niż co 3 lata.
Różnice między testami penetracyjnymi a TLPT
Testy penetracyjne i testy TLPT są ważnymi narzędziami do oceny bezpieczeństwa systemów informatycznych. Testy penetracyjne są bardziej skoncentrowane na aspektach technicznych, podczas gdy testy TLPT mają szerszy zakres i obejmują wszystkie aspekty bezpieczeństwa organizacji.
Główne różnice między testami penetracyjnymi a testami TLPT:
- Zakres: Testy penetracyjne zazwyczaj koncentrują się na technicznych lukach bezpieczeństwa w określonych systemach lub aplikacjach. Testy TLPT mają szerszy zakres, obejmujący ludzi, procesy i technologie w całej organizacji. Celem jest symulacja realistycznych scenariuszy ataków, uwzględniających taktyki, techniki i procedury (TTP) stosowane przez prawdziwych cyberprzestępców.
- Metodologia: Testy penetracyjne często wykorzystują zautomatyzowane narzędzia do skanowania systemów w poszukiwaniu luk. Testy TLPT opierają się na analizie Threat Intelligence i scenariuszach ataków, opracowanych na podstawie informacji o realnych zagrożeniach. Wykorzystuje się różne techniki, w tym inżynierię społeczną, aby spenetrować systemy obronne organizacji.
- Cele: Głównym celem testów penetracyjnych jest identyfikacja i ocena technicznych luk bezpieczeństwa. Testy TLPT mają na celu zweryfikowanie skuteczności wszystkich mechanizmów bezpieczeństwa organizacji, w tym polityk bezpieczeństwa, procedur reagowania na incydenty oraz świadomości zagrożeń wśród pracowników.
Dodatkowe różnice:
- Zaangażowanie organizacji: Testy penetracyjne mogą być przeprowadzone bez szerszego zaangażowania organizacji. Testy TLPT wymagają bliskiej współpracy z zespołem składającym się z wybranych pracowników organizacji.
- Poufność: Testy TLPT są bardziej poufne niż testy penetracyjne, ponieważ symulują ataki na krytyczne systemy organizacji.
- Koszty: Testy TLPT są zazwyczaj droższe niż testy penetracyjne, ze względu na większy zakres i zaangażowanie specjalistów z dziedziny Threat Intelligence.
- Mikroprzedsiębiorstwa są zwolnione z obowiązku przeprowadzania TLPT. Warto zauważyć, że zwolnienie z obowiązku przeprowadzania TLPT nie oznacza, że instytucje te nie muszą dbać o swoje cyberbezpieczeństwo. Wciąż podlegają one ogólnym wymogom DORA w zakresie zarządzania ryzykiem związanym z ICT.
- TLPT wymagają zaangażowania wyspecjalizowanych testerów, spełniających określone kryteria.
Dlaczego TLPT jest kluczowe dla odporności cyfrowej?
Rozwój strategii odporności cyfrowej w organizacjach finansowych staje się coraz ważniejszy, szczególnie z uwagi na wymagania regulacyjne. Testowanie odporności na zagrożenia, takie jak TLPT, pozwala na identyfikację słabości, ochronę infrastruktury i zapewnienie zgodności z europejskimi standardami.
Testy to nie tylko narzędzie monitorowania i identyfikacji zagrożeń, ale także element budowania zaufania w cyfrowym ekosystemie. Dają organizacjom możliwość szybkiego reagowania na incydenty i dostosowania się do dynamicznych zmian środowiska technologicznego. Dzięki nim, podmioty mogą zabezpieczać swoje zasoby informacyjne oraz zwiększać transparentność i zaufanie wśród interesariuszy.
Pozwalają one organizacjom nie tylko na znalezienie słabych punktów, ale również na ocenę reaktywnych i prewencyjnych strategii bezpieczeństwa. Dzięki nim możliwe jest dopasowanie działań do rzeczywistych potrzeb oraz skuteczniejsze zarządzanie ryzykiem.
Wdrożenie TLPT przynosi organizacji szereg korzyści, w tym:
Korzyści | Opis |
---|---|
Zwiększenie poziomu cyberbezpieczeństwa | Identyfikacja i eliminacja luk w zabezpieczeniach przed realnym atakiem. |
Poprawa świadomości zagrożeń wśród pracowników | Szkolenie i uświadamianie pracowników w zakresie cyberbezpieczeństwa. |
Zmniejszenie ryzyka wystąpienia kosztownych incydentów | Minimalizacja strat finansowych i reputacyjnych. |
Wsparcie w procesie zarządzania ryzykiem | Ułatwienie identyfikacji, oceny i minimalizacji ryzyka. |
Spełnienie wymogów regulacyjnych | Wsparcie w procesie zgodności z przepisami. |
Zagrożenia dla infrastruktury krytycznej
Infrastruktura krytyczna jest szczególnie narażona na cyberataki. TLPT pozwala na zidentyfikowanie luk w zabezpieczeniach poprzez kontrolowane testy penetracyjne. Istotne jest tu podejście bazujące na konkretnych zagrożeniach, które mogą zagrażać podstawowym funkcjom operacyjnym.
TLPT opiera się na dogłębnej analizie zagrożeń, identyfikując potencjalne wektory ataku, taktyki stosowane przez cyberprzestępców oraz słabe punkty w infrastrukturze, procesach i czynniku ludzkim. Testy symulują realistyczne scenariusze ataków, pomagając organizacji ocenić skuteczność istniejących zabezpieczeń i procedur reagowania na incydenty.
Istnieje wiele rodzajów TLPT, które można dostosować do specyficznych potrzeb organizacji. Przykłady obejmują testy ukierunkowane na konkretną aplikację, system lub proces biznesowy, a także symulacje ataków typu ransomware, phishing czy DoS.
Testy te umożliwiają także ocenę nie tylko reakcji na cyberataki, ale i samej strategii zarządzania incydentami. Umożliwienie szybkiego wykrywania i reakcji na zagrożenia jest możliwe dzięki regularnemu przeprowadzaniu takich testów, co w dłuższej perspektywie redukuje ryzyko finansowe i operacyjne.
Obowiązki instytucji finansowych w zakresie TLPT w ramach DORA
Rozporządzenie DORA nakłada na instytucje finansowe szereg obowiązków w zakresie przeprowadzania testów penetracyjnych TLPT (Threat-Led Penetration Testing). TLPT to zaawansowane testy bezpieczeństwa symulujące taktyki, techniki i procedury stosowane przez realnych cyberprzestępców.
Oto najważniejsze obowiązki w tym zakresie:
- Obowiązek przeprowadzania TLPT: Instytucje finansowe, z wyjątkiem mikroprzedsiębiorstw i określonych podmiotów, muszą przeprowadzać TLPT nie rzadziej niż co trzy lata. Właściwy organ może modyfikować częstotliwość testów w zależności od profilu ryzyka instytucji.
- Zakres TLPT: Każdy TLPT powinien obejmować kilka lub wszystkie krytyczne lub istotne funkcje instytucji finansowej. Testy przeprowadza się na działających systemach produkcyjnych wspierających te funkcje. Instytucja finansowa ma obowiązek zidentyfikować wszystkie istotne systemy, procesy i technologie ICT, w tym te zlecone w drodze outsourcingu.
- Ocena i zatwierdzenie zakresu: Instytucja finansowa musi ocenić, które krytyczne lub istotne funkcje powinny zostać objęte TLPT. Wynik tej oceny, określający zakres TLPT, podlega zatwierdzeniu przez właściwe organy.
- Udział zewnętrznych dostawców usług ICT: Jeśli zakres TLPT obejmuje zewnętrznych dostawców usług ICT, instytucja finansowa musi zapewnić ich udział w testach. Instytucja finansowa ponosi pełną odpowiedzialność za zapewnienie zgodności z DORA.
- Testowanie zbiorcze: W określonych przypadkach możliwe jest przeprowadzanie zbiorczych TLPT z udziałem kilku instytucji finansowych korzystających z usług tego samego zewnętrznego dostawcy usług ICT. Takie testowanie zbiorcze musi być prowadzone pod kierownictwem jednej wyznaczonej instytucji finansowej.
- Zarządzanie ryzykiem: Instytucja finansowa musi stosować odpowiednie środki kontroli zarządzania ryzykiem, aby złagodzić ryzyko potencjalnych szkód i zakłóceń w funkcjonowaniu instytucji, jej kontrahentów lub sektora finansowego.
- Raportowanie wyników: Po zakończeniu TLPT instytucja finansowa i testerzy zewnętrzni muszą przedstawić organowi nadzorczemu podsumowanie ustaleń, plany naprawcze i dokumentację.
- Poświadczenie i odpowiedzialność: Organ nadzorczy wystawia instytucji finansowej poświadczenie potwierdzające zgodność TLPT z wymogami DORA. Poświadczenie ułatwia wzajemne uznawanie testów. Instytucja finansowa ponosi pełną odpowiedzialność za skutki TLPT.
- Wybór testerów: Instytucje finansowe muszą korzystać z usług testerów spełniających określone kryteria. W przypadku korzystania z testerów wewnętrznych wymagane jest zatwierdzenie właściwego organu oraz zapewnienie, że dostawca analizy zagrożeń jest podmiotem zewnętrznym.
DORA reguluje także szczegółowe wymogi dotyczące umów z testerami oraz wskazuje organy odpowiedzialne za nadzór nad TLPT.
Elementy TLPT: Przewodnik krok po kroku
Elementy TLPT zostały szczegółowo opisane w dokumencie „G7 Fundamental Elements of Cybersecurity for the Financial Sector” (G7FE) przez grupę G7 (Grupa siedmiu najbardziej rozwiniętych państw świata, inicjator i promotor dokumentów G7FE, G7FE-Assessment i G7FE-TLPT), promującego rozwój ram dla wzmocnienia cyberbezpieczeństwa podmiotów krytycznych w systemie finansowym. Dokument powstał w odpowiedzi na rosnącą złożoność cyberzagrożeń dla globalnego systemu finansowego. Stanowi on rozwinięcie wcześniejszych wytycznych G7 dotyczących cyberbezpieczeństwa („G7FE” z 2016 r. i „G7FE-Assessment” z 2017 r.) i ma na celu zwiększenie odporności podmiotów sektora finansowego na cyberataki.
Element 1: Zakres i zarządzanie ryzykiem
Proces TLPT rozpoczyna się od starannego zdefiniowania celów i zakresu testu, identyfikując kluczowe aktywa i systemy organizacji. Należy przeprowadzić szczegółową analizę ryzyka, oceniając potencjalne zagrożenia i wpływ testu na działalność organizacji. Ustanowienie jasnych procedur kontroli ryzyka i komunikacji jest niezbędne dla zapewnienia bezpieczeństwa i skuteczności testu.
Element 2: Zasoby
Organizacja jest odpowiedzialna za pozyskanie dostawców usług analizy zagrożeń i testów penetracyjnych. Ze względu na wrażliwy charakter TLPT, należy starannie wybrać dostawców, opierając się na takich czynnikach, jak poziom wiedzy specjalistycznej, kodeks postępowania etycznego i odpowiednie poziomy gwarancji (np. ubezpieczenie od odpowiedzialności cywilnej). Akredytacja i certyfikacja mogą być metodą walidacji wiedzy specjalistycznej takich dostawców.
Element 3: Analiza zagrożeń
Analiza zagrożeń stanowi fundament TLPT. Eksperci ds. bezpieczeństwa identyfikują realne zagrożenia dla organizacji, tworząc profile cyberprzestępców i analizując ich TTP. Wykorzystują różne źródła informacji, w tym dane OSINT i IoC, aby stworzyć kompleksowy obraz potencjalnych wektorów ataku. Na podstawie analizy zagrożeń opracowywane są scenariusze ataków, które zostaną wykorzystane w fazie testowania penetracji.
Element 4: Testowanie penetracji
W fazie testowania penetracji, zespół testerów (Red Team) przeprowadza symulacje ataków zgodnie z przyjętymi scenariuszami. Wykorzystuje do tego celu różne metody i narzędzia, dostosowując swoje działania do specyfiki organizacji i identyfikowanych zagrożeń. Przebieg testu jest starannie dokumentowany, aby zapewnić pełną przejrzystość i możliwość późniejszej analizy wyników.
Element 5: Zamknięcie i usuwanie usterek
Po zakończeniu testów, przeprowadzana jest szczegółowa analiza wyników, identyfikując słabe punkty i luki w zabezpieczeniach. Na podstawie analizy opracowywany jest plan naprawczy, który obejmuje wdrożenie odpowiednich zabezpieczeń i procedur. Organizacja monitoruje skuteczność wdrożonych rozwiązań, aby zapewnić ciągłą poprawę cyberbezpieczeństwa.
Elementy testów według TIBER-EU
TIBER EU (Threat Intelligence-based Ethical Red Teaming) to wspólne ramy stworzone przez Europejski Bank Centralny (EBC), które mają na celu testowanie i poprawę odporności europejskich instytucji finansowych na zaawansowane cyberataki. W ramach testów TIBER EU przeprowadzane są kontrolowane, symulowane ataki na systemy informatyczne instytucji, oparte na analizie zagrożeń (Threat Intelligence).
Oto szczegółowy przewodnik po procesie TIBER-EU, który może stanowić punkt odniesienia do zrozumienia elementów testów.
Faza 1: Przygotowanie (4-6 tygodni)
- Identyfikacja interesariuszy: Organ nadzorczy określa instytucje, które zostaną zaproszone do udziału w teście. Należy zidentyfikować wszystkie organy nadzorcze mające jurysdykcję nad daną instytucją, szczególnie w przypadku instytucji transgranicznych.
- Spotkanie wstępne (Pre-launch): Test Manager (TTM) z TIBER Cyber Team (TCT) spotyka się z White Teamem (WT) instytucji. Celem jest omówienie procesu TIBER-EU, ról i odpowiedzialności oraz kwestii bezpieczeństwa.
- Proces wyboru dostawców usług: Instytucja wybiera zewnętrznych dostawców Threat Intelligence (TI) i Red Teaming (RT), którzy spełniają minimalne wymagania określone w „TIBER-EU Services Procurement Guidelines”.
- Spotkanie inauguracyjne (Launch): Wszyscy interesariusze (WT, TTM, dostawcy TI/RT) spotykają się, aby omówić proces testowania i oczekiwania.
- Określenie zakresu testu: Instytucja i TCT ustalają zakres testu, obejmujący funkcje krytyczne (CF) oraz wspierające je systemy, procesy i ludzi. WT wyznacza cele (flagi) do osiągnięcia przez zespół RT.
- Spotkanie w sprawie zakresu: TTM zatwierdza zakres testu, który następnie musi zostać zatwierdzony przez zarząd instytucji.
- Wyjaśnienie zakresu dostawcom TI/RT: Instytucja przekazuje dostawcom TI/RT szczegółowe informacje na temat CF i systemów, aby ułatwić im zebranie odpowiednich danych wywiadowczych.
Faza 2: Testowanie (ok. 5 tygodni dla Threat Intelligence + 10-12 tygodni dla Red Teaming)
- Analiza ogólnego krajobrazu zagrożeń (GTL – Generic Threat Landscape): (Opcjonalnie) Opracowanie raportu GTL, opisującego główne zagrożenia dla sektora finansowego w danym kraju. Raport GTL może być wykorzystany jako podstawa do opracowania raportu TTI.
- Zebranie ukierunkowanych danych wywiadowczych (TTI – Targeted Threat Intelligence): Dostawca TI zbiera informacje na temat potencjalnych celów ataku (ludzi, procesów i technologii) oraz identyfikuje zagrożenia (aktorów i scenariusze ataków). Instytucja dostarcza dostawcy TI dane wejściowe wypełniając szablon „Input for the Targeted Threat Intelligence”.
- Raport TTI: Dostawca TI opracowuje raport TTI, zawierający szczegółowe informacje o zagrożeniach i scenariuszach ataków. Raport jest weryfikowany przez instytucję, TTM i (opcjonalnie) agencję wywiadowczą.
- Opracowanie scenariuszy ataku: Dostawca RT, opierając się na raporcie TTI, opracowuje scenariusze ataku, które zostaną wykorzystane w teście Red Teaming. Scenariusze te symulują realistyczne ataki cybernetyczne, uwzględniając motywacje i techniki stosowane przez prawdziwych cyberprzestępców.
- Plan testu Red Teaming: Dostawca RT opracowuje plan testu, określający cele, metody i harmonogram testu.
- Przeprowadzenie testu Red Teaming: Dostawca RT przeprowadza test, symulując ataki cybernetyczne na systemy instytucji. WT i TTM są na bieżąco informowani o postępach testu. W razie potrzeby WT może wstrzymać test lub udzielić zespołowi RT „leg-up” (dodatkowych informacji), aby ułatwić im osiągnięcie celu.
Faza 3: Zamknięcie (ok. 4 tygodni)
- Raport z testu Red Teaming: Dostawca RT opracowuje raport, opisujący przebieg testu, wykryte luki i rekomendacje.
- Raport Blue Teamu: Blue Team (BT), po zapoznaniu się z raportem Red Teamu, analizuje swoje działania w odpowiedzi na symulowane ataki.
- Warsztaty Red Team/Blue Team: BT i Red Team omawiają przebieg testu, analizując działania obu stron.
- Spotkanie 360-stopniowej informacji zwrotnej: Wszyscy interesariusze (instytucja, TCT, dostawcy TI/RT) dzielą się spostrzeżeniami na temat procesu TIBER-EU.
- Plan naprawczy: Instytucja, w oparciu o wyniki testu, opracowuje plan naprawczy, mający na celu wyeliminowanie wykrytych luk i zwiększenie cyberbezpieczeństwa.
- Raport podsumowujący test: Instytucja opracowuje raport podsumowujący, który przekazuje organowi nadzorczemu. Raport zawiera podsumowanie procesu testowania i wyniki, w tym plan naprawczy.
- Potwierdzenie i udostępnianie wyników: Zarząd instytucji i dostawcy TI/RT podpisują oświadczenie, potwierdzające przeprowadzenie testu zgodnie z wymaganiami TIBER-EU. Raport podsumowujący może zostać udostępniony innym organom nadzorczym.
- Nadzór: Organ nadzorczy monitoruje wdrożenie planu naprawczego.
Zespoły uczestniczące w TLPT
W procesie TLPT zazwyczaj biorą udział trzy główne zespoły: Red Team, Blue Team i White Team. Każdy z nich pełni odrębną rolę, a ich skoordynowana współpraca jest kluczowa dla powodzenia testów.
- Red Team: Jest to grupa testerów, której zadaniem jest symulacja działań potencjalnego cyberprzestępcy. Red Team, wykorzystując dostarczone przez Threat Intelligence Provider informacje o potencjalnych wektorach ataku, próbuje przeniknąć do systemów organizacji i uzyskać dostęp do poufnych danych. Działania Red Teamu są oparte na rzeczywistych taktykach, technikach i procedurach (TTP) stosowanych przez cyberprzestępców, co pozwala na realistyczną ocenę skuteczności zabezpieczeń.
- Blue Team: To zespół odpowiedzialny za obronę systemów organizacji. Członkowie Blue Teamu nie wiedzą o planowanych atakach, co pozwala na sprawdzenie ich rzeczywistej gotowości do reagowania na incydenty. Blue Team monitoruje systemy w poszukiwaniu podejrzanej aktywności, reaguje na ataki i podejmuje działania mające na celu minimalizację szkód.
- Purple Team: to grupa złożona z członków Red Team i Blue Team, której celem jest zintegrowanie i analiza wyników testów. Purple Team łączy wiedzę obu zespołów, aby wyciągnąć wnioski z przeprowadzonych testów. Ich rola polega na analizie wyników testów, wskazywaniu obszarów wymagających poprawy oraz formułowaniu rekomendacji, które pomogą wzmocnić zabezpieczenia organizacji.
- White Team: Zespół ten pełni rolę koordynatora i obserwatora. White Team ustala zakres testów, zarządza ryzykiem i dba o to, aby testy były przeprowadzane w sposób kontrolowany i bezpieczny. White Team monitoruje działania Red i Blue Teamu, zbiera dane o przebiegu testów i analizuje ich wyniki.
Oprócz tych trzech głównych zespołów, w TLPT mogą uczestniczyć także:
- Dostawcy Threat Intelligence: Firmy specjalizujące się w gromadzeniu i analizie danych o zagrożeniach. Ich zadaniem jest dostarczenie Red Teamowi informacji o potencjalnych wektorach ataku oraz taktykach, technikach i procedurach (TTP) stosowanych przez cyberprzestępców.
- Dostawcy usług testowania penetracyjnego: Firmy oferujące usługi testowania penetracyjnego. Mogą one wspierać Red Team w przeprowadzaniu testów lub nawet pełnić rolę Red Teamu.
- Organy regulacyjne: W niektórych przypadkach, np. w sektorze finansowym, organy regulacyjne mogą wymagać przeprowadzania testów TLPT. Mogą one także brać udział w testowaniu jako obserwatorzy.
Współpraca wszystkich zaangażowanych stron jest kluczowa dla powodzenia testów. Każdy zespół wnosi do procesu swoją wiedzę i doświadczenie, co pozwala na kompleksową i realistyczną ocenę cyberbezpieczeństwa organizacji.
Według TIBER-EU (Threat Intelligence-based Ethical Red Teaming), który jest frameworkiem testów Red Teaming opartych na Threat Intelligence. W testach TIBER-EU uczestniczą następujące zespoły:
Zespoły zarządzające testem:
- TIBER Cyber Team (TCT): Centralny zespół powołany przez organy nadzorcze, odpowiedzialny za zarządzanie programem TIBER-XX, nadzór nad testami i współpracę z TIBER-EU Knowledge Centre.
- White Team (WT): Zespół ekspertów ze strony testowanej instytucji, koordynujący wszystkie działania związane z testem.
- White Team Lead (WTL): Lider White Teamu, odpowiedzialny za kontakt z dostawcami usług TI/RT i organami nadzorczymi.
- Team Test Manager (TTM): Członek TCT odpowiedzialny za zapewnienie, że test jest przeprowadzany zgodnie z frameworkiem TIBER-EU.
Zespoły realizujące test:
- Dostawca Threat Intelligence (TI): Zewnętrzny dostawca usług, który opracowuje raport Targeted Threat Intelligence (TTI), określający scenariusze ataków.
- Dostawca Red Teaming (RT): Zewnętrzny dostawca usług, który planuje i przeprowadza test Red Teaming, symulując realistyczne ataki cybernetyczne.
- (Opcjonalnie) Agencja Wywiadu Państwowego lub Narodowe Centrum Cyberbezpieczeństwa: Mogą dostarczać informacji i weryfikować raporty Threat Intelligence.
Pozostałe zespoły:
- Blue Team (BT): Wszyscy pracownicy testowanej instytucji, którzy nie są członkami White Teamu. Nie są oni informowani o testowaniu aż do fazy zamknięcia.
Wdrażanie TLPT: Praktyczne wskazówki
Wdrożenie wymaga zaangażowania kierownictwa i wsparcia ze strony pracowników. Organizacja powinna jasno zakomunikować cele i zakres testu, a także opracować procedury reagowania na incydenty wykryte podczas testów.
Wybór doświadczonego i kompetentnego dostawcy usług TLPT jest kluczowy dla sukcesu projektu. Organizacja powinna zweryfikować certyfikaty, akredytacje i referencje potencjalnych dostawców, a także upewnić się, że stosują oni etyczne standardy pracy.
Istnieje szereg narzędzi do automatyzacji TLPT, które mogą usprawnić proces testowania i analizy wyników. Należy jednak pamiętać, że automatyzacja ma swoje ograniczenia i nie zastąpi całkowicie doświadczonych testerów.
Wymogi dotyczące umów z testerami
DORA określa szczegółowe wymogi, jakie muszą spełniać testerzy, z którymi instytucje finansowe zawierają umowy na przeprowadzenie TLPT:
- Reputacja i kompetencje: Testerzy muszą być „najbardziej odpowiedni do tego zadania i cieszyć się największą renomą”. Powinni mieć umiejętności techniczne i organizacyjne, jak również fachową wiedzę w zakresie analizy ryzyka, testów penetracyjnych oraz testów z udziałem zespołów Red Team.
- Certyfikacja: Testerzy muszą posiadać certyfikat wydany przez akredytowaną instytucję w kraju członkowskim albo przestrzegać oficjalnych kodeksów postępowania czy zasad etycznych.
- Zarządzanie ryzykiem: Testerzy muszą przedstawić niezależne zapewnienie lub sprawozdanie z audytu potwierdzające należyte zarządzanie ryzykiem związanym z przeprowadzaniem TLPT, w tym ochroną poufnych informacji instytucji finansowej.
- Ubezpieczenie: Testerzy muszą posiadać odpowiednie ubezpieczenie od odpowiedzialności cywilnej, obejmujące ryzyko uchybień i zaniedbań.
Dodatkowe wymogi w przypadku testerów wewnętrznych:
- Zatwierdzenie: Korzystanie z testerów wewnętrznych musi zostać zatwierdzone przez właściwy organ lub organ publiczny wyznaczony do spraw TLPT.
- Zasoby i konflikt Interesów: Właściwy organ musi sprawdzić, czy instytucja finansowa dysponuje odpowiednimi zasobami i czy zapewniła unikanie konfliktów interesów na wszystkich etapach projektowania i wykonywania testu.
- Dostawca analizy zagrożeń: Dostawca analizy zagrożeń wykorzystywanych w ramach TLPT musi być podmiotem zewnętrznym względem instytucji finansowej.
Umowy z testerami zewnętrznymi powinny regulować kwestie związane z zarządzaniem wynikami TLPT, aby zapobiegać ryzyku dla instytucji finansowej. Umowa musi zobowiązywać testerów do należytego zarządzania wynikami TLPT, w tym generowaniem, przechowywaniem, agregowaniem, sporządzaniem, zgłaszaniem, przekazywaniem i niszczeniem danych pochodzących z testów.
Przyszłość TLPT
Sytuacja związana z zagrożeniami w cyberprzestrzeni nieustannie się zmienia, a osoby dokonujące cyberprzestępstw wykorzystują coraz bardziej zaawansowane techniki ataków. W nadchodzących latach można oczekiwać dalszego postępu, który będzie musiał dostosowywać się do tych transformacji.
- Rosnąca złożoność zagrożeń: Należy zwrócić uwagę na „rosnącą złożoność i uporczywość zagrożeń cybernetycznych”, co sugeruje, że TLPT będzie musiało ewoluować, aby nadążyć za nowymi taktykami, technikami i procedurami stosowanymi przez cyberprzestępców. Przyszłość TLPT to prawdopodobnie jeszcze większe skupienie na analizie zagrożeń i dostosowywaniu scenariuszy testowych do specyficznych zagrożeń, na jakie narażona jest dana organizacja.
- Wzrost znaczenia Threat Intelligence: Podkreślenia wymaga kluczowa rola Threat Intelligence w procesie TLPT. W przyszłości rola ta będzie prawdopodobnie jeszcze bardziej znacząca, ponieważ dostarczanie precyzyjnych i aktualnych informacji o zagrożeniach będzie miało decydujące znaczenie dla skuteczności testów. Możemy spodziewać się rozwoju zaawansowanych narzędzi i technik analitycznych w dziedzinie Threat Intelligence, a także ściślejszej współpracy między dostawcami Threat Intelligence a Red Teamami.
- Automatyzacja i wykorzystanie AI: Sztuczna inteligencja (AI) ma potencjał do usprawnienia TLPT, automatyzując pewne zadania i pomagając w analizie dużych zbiorów danych. Należy jednak pamiętać, że AI nie jest panaceum i wymaga nadzoru ze strony doświadczonych ekspertów. Narzędzia automatyzujące rutynowe zadania, takie jak skanowanie podatności czy przeprowadzanie podstawowych testów penetracyjnych, mogą zwiększyć efektywność i obniżyć koszty TLPT. Możemy również spodziewać się wykorzystania sztucznej inteligencji (AI) do analizy danych o zagrożeniach, identyfikacji anomalii i przewidywania potencjalnych ataków.
- Współdziałanie między jurysdykcjami: DORA podkreśla ważność współpracy między organami regulacyjnymi w różnych jurysdykcjach, szczególnie w przypadku organizacji międzynarodowych. W przyszłości możemy spodziewać się rozwoju międzynarodowych standardów i ram dotyczących TLPT, a także wzmożonej współpracy między organami regulacyjnymi w zakresie wymiany informacji o zagrożeniach i najlepszych praktykach.
- Nacisk na ciągłość działania: Należy podkreślić znaczenie minimalizacji wpływu na działalność organizacji. W przyszłości możemy spodziewać się rozwoju technik TLPT, które będą w stanie przetestować cyberodporność organizacji bez zakłócania jej podstawowych funkcji. Może to obejmować stosowanie bardziej wyrafinowanych narzędzi i technik symulacji, a także ściślejszą współpracę z Blue Teamami w celu zapewnienia płynnego przebiegu testów. TLPT nie powinno być traktowane jako jednorazowe wydarzenie, ale jako integralny element ciągłego procesu zarządzania cyberbezpieczeństwem. Regularne testowanie i doskonalenie zabezpieczeń jest niezbędne dla utrzymania wysokiego poziomu ochrony.
Najczęściej zadawane pytania
Testy TLPT są kluczowym narzędziem dla organizacji, które chcą zwiększyć swoją odporność cyfrową, jednocześnie spełniając nowe wymogi regulacyjne. Proces ich wdrażania wiąże się z określonymi etapami i wyzwaniami, które należy zrozumieć, aby skutecznie zarządzać ryzykiem.