Co by się stało, gdyby globalnie krytyczna instytucja bankowa upadła z powodu incydentu z zakresu cyberbezpieczeństwa? Prawdopodobnie cały ekosystem finansowy zostałby dotknięty, a kryzys zostałby zainicjowany. 

 

Zapobieganie takiemu scenariuszowi jest celem Rozporządzenia w sprawie Cyfrowej Odporności Operacyjnej (DORA), które koncentruje się na podniesieniu poziomu cyberbezpieczeństwa oraz odporności sektora finansowego w Europie poprzez szereg środków, z których jednym z kluczowych jest wdrożenie cyklicznych testów penetracyjnych opartych na zagrożeniu (TLPT)


Duże banki, firmy ubezpieczeniowe, firmy inwestycyjne, dostawcy usług płatniczych oraz inne istotne instytucje finansowe muszą być w pełni świadome tego, czym są testy TLPT, jak powinny być przeprowadzane oraz jak mogą zostać wykorzystane do usunięcia podatności technicznych. Przejdźmy przez szczegóły.

 

 

Zaczynając od podstaw: czym jest DORA?

Digital Operational Resilience Act to rozporządzenie Unii Europejskiej (UE), które ma na celu wzmocnienie bezpieczeństwa informatycznego podmiotów finansowych i zapewnienie, że sektor finansowy w Europie jest w stanie zachować odporność w przypadku poważnych zakłóceń operacyjnych.


DORA została uchwalona 16 stycznia 2023 roku i zacznie obowiązywać od 17 stycznia 2025 roku. Obejmuje 20 różnych typów instytucji finansowych oraz dostawców usług ICT zewnętrznych.

 

Więcej informacji na temat DORA i Dyrektywy NIS 2 znajdziesz w tym artykule.

 

 

Czym jest TLPT?

Threat-Led Penetration Testing to zakrojone na szeroką skalę ćwiczenie Red Team, opisane przez DORA jako zaprojektowane specjalnie dla sektora finansowego, które symuluje kompleksowy atak na aktywa, systemy i procesy organizacji w celu zidentyfikowania i naprawienia luk w zabezpieczeniach. Test ten ostatecznie prowadzi do poprawy odporności cyberbezpieczeństwa krytycznych podmiotów finansowych, których zakłócenie może spowodować globalną awarię systemową.


Najważniejsze informacje na temat TLPT podsumowano w poniższej tabeli:

 

 

Testy penetracyjne oparte na zagrożeniach (TLPT) zgodne z DORA

Target

Obowiązkowe dla globalnych instytucji finansowych o znaczeniu systemowym*, takich jak:

  • Instytucje kredytowe
  • Instytucje płatnicze
  • Instytucje pieniądza elektronicznego
  • Centralne depozyty papierów wartościowych
  • Kontrahenci centralni
  • Systemy obrotu
  • Zakłady ubezpieczeń i zakłady reasekuracji

*Instytucje spełniające określone kryteria zdefiniowane przez DORA.

Zakres

Cała powierzchnia ataku: fizyczna, ludzka i cyfrowa. Powinna ona obejmować kilka lub wszystkie krytyczne lub ważne systemy produkcyjne podmiotu finansowego.

Zainteresowane strony
  • TLPT Cyber Team (organ/regulator nadzorujący test)
  • Zespół kontrolny (wewnętrzny zespół zarządzający procesem)
  • Blue Team (wewnętrzny zespół bezpieczeństwa defensywnego)
  • Threat Intelligence Provider (zewnętrzni eksperci ds. analizy zagrożeń)
  • Red Team (zewnętrzni i/lub wewnętrzni testerzy-eksperci)

Etapy
  1. Przygotowanie
  2. Rozpoznanie zagrożenia
  3. Test Red Team
  4. Zamknięcie (w tym ćwiczenie powtórkowe)
  5. Plan naprawczy

Framework

Zgodny z TIBER-EU

Ramy czasowe

6-12 miesięcy

Rezultaty

Są cztery główne rezultaty:

  • Raport Targeted Threat Intelligence (TTI): przez dostawcę analizy zagrożeń, w fazie 2.
  • Raport z testu Red Team: przez testerów/Red Team, w fazie 4.
  • Ćwiczenie powtórkowe: zarówno przez Red Team, jak i Blue Team, w fazie 4.
  • Plan naprawczy: przez podmiot finansowy, w fazie 5.

Częstotliwość

Co najmniej raz na 3 lata

 

 

Co zrobiłby cyberatakujący? Techniki TLPT stosowane przez Alter Solutions

Faza wywiadu zagrożeń

Nasz główny pentester i lider zespołu Red Team, Yann Gascuel, wyjaśnia, jak przeprowadza się zaawansowane ćwiczenie Red Teaming, takie jak TLPT (Threat-Led Penetration Testing), po zdefiniowaniu celów i zakresu z klientem w fazie przygotowawczej. „Chodzi o naśladowanie tego, co zrobiłby rzeczywisty atakujący. Zaczynamy od fazy wywiadu zagrożeń, podczas której staramy się zdobyć jak najwięcej informacji, dowiedzieć się, jakie technologie są używane przez firmę, kim są użytkownicy z największymi uprawnieniami – wszystko, co może zostać wykorzystane do przeprowadzenia phishingu” – wyjaśnia.


Nowi pracownicy często również są łatwymi celami, ponieważ nie są jeszcze w pełni świadomi protokołów bezpieczeństwa. „Dlatego wykorzystujemy również LinkedIn jako źródło informacji, aby uzyskać dane o pracownikach, którzy mogą być podatnymi celami. Ponadto używamy specjalistycznych narzędzi do analizy rekordów DNS i sprawdzamy dowody na wycieki danych” – dodaje nasz główny pentester.


Po zgromadzeniu wszystkich tych informacji nasi eksperci przygotowują raport Targeted Threat Intelligence (TTI), podsumowujący zdobytą wiedzę na temat celu i tworzący scenariusze zagrożeń do rzeczywistego testu. „Wtedy zadajemy sobie pytanie, co próbowałby zrobić atakujący. Prawdopodobnie spróbuje zrównoważyć ryzyko aresztowania z większymi szansami na powodzenie ataku, więc staramy się myśleć w ten sposób i opracowujemy różne potencjalne scenariusze ataku.”

 

Test Red Team

W zależności od tego, co zostanie odkryte podczas fazy analizy zagrożeń i jakie scenariusze ataków są zaplanowane, techniki stosowane do inicjowania TLPT (Testu Penetracyjnego i Testu Obciążeniowego) mogą się znacznie różnić. Nasz główny specjalista Red Teamu podaje kilka przykładów: „Jako początkowy sposób intruzji możemy wykorzystać phishing lub przeprowadzić fizyczną infiltrację. Po dostaniu się do systemu, dalszy przebieg działań zależy również od tego, co znajdziemy. Może to obejmować badanie luk technicznych, łączenie tego z inżynierią społeczną lub nawet użycie keyloggerów [rodzaj technologii nadzoru, która rejestruje wszystko, co użytkownik wpisuje na klawiaturze]”.


Podczas całego ćwiczenia, Zespół Blue Klienta nie ma świadomości, że przeprowadzany jest TLPT, co oznacza, że są oni również testowani pod kątem swoich zdolności obronnych. Zgodnie z ramami TIBER-EU, wykrycie Red Teamu stanowi cel wyznaczony dla Zespołu Blue, a nie porażkę strony ofensywnej.


Inną ważną rzeczą, którą należy mieć na uwadze w fazie testowania, jest to, że sposób działania Red Teamu firmy Alter Solutions jest zgodny z przepisami o ochronie danych, takimi jak RODO. „Używamy wzmocnionych i zaszyfrowanych laptopów, więc jeśli ktoś je ukradnie, nie będzie w stanie uzyskać dostępu do danych naszych klientów”, weryfikuje nasz ekspert. „Korzystamy także z zaszyfrowanych kanałów komunikacyjnych do każdego krytycznego wymiany informacji, a po zakończeniu ćwiczenia usuwamy wszystkie dane, które posiadamy, i wysyłamy klientowi dokument potwierdzający, że to zrobiliśmy”, dodaje.


Zgodnie z DORA, faza testowania musi trwać co najmniej 12 tygodni – wszystko zależy od skali, zakresu i złożoności ćwiczenia TLPT zaplanowanego dla danej organizacji.

 

Sekrety zapewniające minimalne zakłócenia działalności

To pytanie za milion dolarów w każdym ćwiczeniu Red Team: jak zespół testujący równoważy realistyczną symulację zagrożenia z minimalnym zakłóceniem działalności operacyjnej? Nasz główny pentester ujawnia sekret: „To połączenie doświadczenia i komunikacji. Kiedy przeprowadzamy atak, mamy doświadczenie, które pozwala nam wiedzieć, które luki mogą być ryzykowne do zbadania i czy mogą spowodować awarię – na przykład wiemy, kiedy określony typ starych serwerów nie obsługuje ataku. To przychodzi z doświadczeniem, więc kiedy identyfikujemy takie ryzyko, komunikujemy się z klientem i razem decydujemy, czy powinniśmy to zrobić, czy nie”.


W rzeczywistości, podczas samego ćwiczenia TLPT, to jedyny scenariusz, w którym mogą wystąpić interakcje między Red Teamem a klientem. „Podczas tego okresu nie ma lub jest bardzo mało interakcji z klientem. Dzieje się to tylko wtedy, gdy wykryjemy ryzyko, które może spowodować zakłócenia. W takim przypadku kontaktujemy się z klientem, aby go poinformować, ale w przeciwnym razie nie ma żadnej komunikacji”.

 

Faza zamknięcia

Po zakończeniu ćwiczenia, w ciągu czterech tygodni przygotujemy i dostarczymy klientowi oficjalny raport z testu Red Team. „To tutaj opisujemy przeprowadzone ataki, sukcesy, porażki, to, co zostało wykryte, i inne szczegóły. To bardzo pomocne dla klienta, aby wiedział, jakie są słabości organizacji i co należy poprawić” – podkreśla Gascuel.


Ostatnim etapem naszej współpracy w procesie TLPT jest przeprowadzenie ćwiczenia powtórkowego, w którym zespoły Red i Blue współpracują ściśle, aby omówić działania ofensywne i defensywne podjęte podczas ćwiczenia. „Wszyscy na tym zyskują: Zespół Blue uczy się, co robić w prawdziwym scenariuszu ataku, a nasi testerzy uczą się, jak mogą zostać wykryci w takiej sytuacji, aby w przyszłych ćwiczeniach byli trudniejsi do wykrycia”.

 

 

Co dalej i co można zyskać?

Ostatni etap procesu TLPT, zgodnie z DORA, leży w gestii instytucji finansowej. Polega on na opracowaniu planu naprawczego, który zawiera opis zidentyfikowanych luk, zaproponowane środki naprawcze, analizę przyczyn źródłowych i inne elementy.


Jeśli plan ten zostanie prawidłowo wdrożony, korzyści dla danej organizacji (a także dla całego sektora finansowego) są oczywiste:

  • Zwiększona odporność cybernetyczna
    Instytucja finansowa jest w stanie naprawić luki w swojej infrastrukturze, systemach i procesach, zanim cyberprzestępcy będą mieli szansę je wykorzystać.

  • Dane klientów są lepiej chronione
    Mniejsza liczba słabych punktów, które mogłyby zostać wykorzystane przez osoby o złych intencjach, sprawia, że dane klientów instytucji finansowych są lepiej chronione, a co za tym idzie, poziom zaufania klientów wzrasta.

  • Zgodność z DORA jest zapewniona
    Przeprowadzanie okresowych TLPT to kluczowy krok nie tylko w kierunku ochrony globalnego ekosystemu finansowego, ale także unikania kar regulacyjnych i grzywien, a także szkód finansowych i reputacyjnych, które mogą wyniknąć z szkodliwego cyberataku.

  • Zespoły bezpieczeństwa rozwijają swoje umiejętności
    Szczególnie podczas ćwiczenia Purple Team, Zespół Blue ma szansę przeanalizować każdy szczegół ćwiczenia TLPT i nauczyć się, jak powstrzymać Zespół Red lub potencjalnych rzeczywistych atakujących.

 

 

Wnioski

Testowanie penetracyjne prowadzone metodą zagrożeń (TLPT) zgodne z DORA to krok naprzód w podejściu instytucji finansowych do oceny bezpieczeństwa cybernetycznego. To także najbliższy moment, w którym jesteśmy w stanie zapewnić najwyższy poziom ochrony w sektorze bankowym i finansowym, szczególnie w Europie.


Ćwiczenia Red Team na dużą skalę wymagają starannego planowania, koordynacji między wieloma interesariuszami oraz współpracy z doświadczonymi partnerami ds. cyberbezpieczeństwa, którzy pomogą na każdym etapie. Nasi pentesterzy i członkowie Red Teamu mogą wnosić nie tylko swoje doświadczenie w pracy z wieloma instytucjami finansowymi na przestrzeni lat, ale także sposób, w jaki komunikują się z klientem, ustanawiają jasne kanały komunikacyjne i zarządzają ryzykiem.


Korzyści z przeprowadzania TLPT są niezwykle jasne: należy traktować je nie tylko jako ćwiczenie zgodności, ale także jako okazję do wzmocnienia odporności cybernetycznej podmiotów finansowych, poprawy zarządzania lukami, zdolności wykrywania i reagowania, co ostatecznie przyczynia się do bardziej bezpiecznego i stabilnego ekosystemu finansowego.
Wiodący Red Teamer w trakcie przeprowadzania testu penetracyjnego opartego na zagrożeniach dla instytucji finansowej
Nasza usługa TLPT
Dowiedz się, jak działa to zakrojone na szeroką skalę ćwiczenie Red Team i jak może ono pomóc podmiotom finansowym w ocenie i poprawie ich odporności na cyberzagrożenia.
Dowiedz się więcej
Udostępnij ten artykuł