Testy penetracyjne ukierunkowane na zagrożenia

Ćwiczenie Red Team dla instytucji finansowych

Testy penetracyjne ukierunkowane na zagrożenia (Threat-Led Penetration Testing, TLPT) to zaawansowany rodzaj ćwiczeń Red Team, oferowany przez Alter Solutions. Pomaga on instytucjom finansowym ocenić i wzmocnić ich odporność na cyberzagrożenia oraz zapewnić zgodność z unijnym rozporządzeniem DORA.

 

Porozmawiaj z ekspertem

Pentesterzy i Red Teamerzy w trakcie przeprowadzania testu penetracyjnego opartego na zagrożeniach dla instytucji finansowej

Alter Solutions jest kwalifikowanym Dostawcą Audytu Bezpieczeństwa Systemów Informacyjnych, certyfikatem wydanym przez Francuską Narodową Agencję Cyberbezpieczeństwa (ANSSI), jedną z najbardziej prestiżowych władz ds. cyberbezpieczeństwa w Europie.

Certyfikat ten potwierdza kompetencje i niezawodność naszych audytorów do przeprowadzania audytów bezpieczeństwa w różnych zakresach:

  • Audyt organizacyjny i fizyczny
  • Audyt architektury
  • Audyt konfiguracji
  • Audyt kodu
  • Testowanie penetracyjne / Pentesting
Kwalifikacja PASSI to wiza bezpieczeństwa wydana przez ANSSI (Francuską Narodową Agencję Cyberbezpieczeństwa)

Czym jest TLPT?

Audytor bezpieczeństwa analizujący system i procesy firmy

Ukierunkowane na zagrożenia testy penetracyjne (Threat-Led Penetration Testing, TLPT) to specjalnie opracowane, szeroko zakrojone ćwiczenie Red Team przeznaczone dla sektora finansowego. Symuluje ono rzeczywisty atak na zasoby, systemy i procesy organizacji, uwzględniając aktualny krajobraz zagrożeń. Jego celem jest ocena stanu bezpieczeństwa cybernetycznego oraz odporności kluczowych instytucji finansowych.


Te podmioty są bardziej narażone na cyberataki, których celem jest spowodowanie systemowej awarii. W związku z tym potrzebują bardziej zaawansowanego rodzaju audytu bezpieczeństwa, który różni się od standardowych praktyk stosowanych w innych sektorach.


Zgodnie z unijną regulacją Digital Operational Resilience Act (DORA), TLPT jest wymagane co najmniej raz na 3 lata. Regulacja ta dotyczy wielu podmiotów finansowych, takich jak instytucje kredytowe i płatnicze. Testy TLPT są zgodne z ramami TIBER-EU, stworzonymi przez Europejski Bank Centralny, które zapewniają wytyczne dotyczące etycznych ćwiczeń Red Team opartych na analizie zagrożeń.

„Testy penetracyjne pod kątem wyszukiwania zagrożeń (TLPT) oznaczają ramy naśladujące taktykę, techniki i procedury stosowane w rzeczywistości przez agresorów uznanych za stanowiących rzeczywiste cyberzagrożenie, które zapewniają kontrolowane, dostosowane do konkretnych zagrożeń, oparte na analizie zagrożeń (red team) testy działających na bieżąco krytycznych systemów produkcji podmiotu finansowego.”
– Artykuł 3 Dora punkt 17 (definicje)

Główni interesariusze TLPT

Zespół Cyber TLPT

Wewnętrzny zespół w ramach organu TLPT (regulatora), który nadzoruje testy i zapewnia ich zgodność z zasadami TLPT.

Zespół Kontrolny

Wewnętrzny zespół instytucji finansowej zarządzający procesem TLPT od wewnątrz.

Blue Team

Wewnętrzny zespół zajmujący się obroną cyberbezpieczeństwa, odpowiedzialny za ochronę instytucji finansowej przed zagrożeniami cybernetycznymi. Zespół ten nie może być świadomy, że test TLPT jest przeprowadzany.

Dostawca Informacji o Zagrożeniach (Threat Intelligence Provider)

Zewnętrzni eksperci odpowiedzialni za gromadzenie i analizowanie danych oraz scenariuszy dotyczących zagrożeń, opartych na wiarygodnych źródłach.

Red Team

Testerzy – działający zewnętrznie lub wewnętrznie wobec instytucji finansowej – którzy faktycznie przeprowadzają test TLPT.

Pięć etapów TLPT

Regulacja DORA określa pięć głównych kroków w procesie testowania, które muszą zostać zrealizowane:

#1

Przygotowanie

Klient musi wykonać szereg zadań przed skontaktowaniem się z dostawcą usług TLPT, takich jak zdefiniowanie kanałów komunikacji w zespole kontrolnym, wybór dostawcy informacji o zagrożeniach, przygotowanie dokumentu specyfikacji zakresu i inne. Następnie, jeśli firma zdecyduje się polegać na zewnętrznych testerach, wspólnie definiują cele i analizują środki zarządzania ryzykiem, zanim przejdą do kolejnych etapów.

#2

Inteligencja zagrożeń

Zespół Alter Solutions stara się zebrać jak najwięcej informacji na temat firmy, wybranego celu/zakresu oraz identyfikuje zagrożenia cybernetyczne i podatności, które mogą potencjalnie wpłynąć na podmiot finansowy. Następnie proponują klientowi różne scenariusze ataków – co najmniej trzy z nich powinny zostać wybrane, aby przejść do kolejnego etapu. Ten etap może trwać od jednego do dwóch miesięcy.

#3

Testy Red Team

Jest to właściwa faza ataku, w której TLPT jest przeprowadzane przez co najmniej 12 tygodni, w zależności od skali, zakresu i złożoności organizacji.

Wcześniej zatwierdzone scenariusze ataków mogą być realizowane sekwencyjnie lub jednocześnie.

#4

Zakończenie

W ciągu 4 tygodni od zakończenia fazy testów Red Team, dostawca testów musi dostarczyć klientowi szczegółowy raport z ćwiczeń. Następnie, w ciągu 10 tygodni, musi odbyć się ćwiczenie powtórkowe, w którym zarówno testerzy, jak i Zespół Blue Team klienta przeanalizują działania ofensywne i defensywne TLPT w celach edukacyjnych. Na koniec wszystkie strony zaangażowane w proces muszą wymienić się opiniami na temat procesu TLPT, a podmiot finansowy musi złożyć oficjalny raport podsumowujący wyniki TLPT.

#5

Plan naprawczy

W ciągu 8 tygodni od oficjalnego powiadomienia o zakończeniu, podmiot finansowy musi przedstawić władzy TLPT plan naprawczy, zawierający opis zidentyfikowanych podatności, proponowane środki naprawcze, analizę przyczyn źródłowych, osoby odpowiedzialne za każde z działań w organizacji oraz ryzyko związane z brakiem wdrożenia tego planu.

Ekspert ds. analizy zagrożeń pracujący nad raportem Targeted Threat Intelligence Report

Zapoznaj się z regulacją DORA tutaj, aby przeczytać szczegóły poszczególnych etapów TLPT

Kto jest zobowiązany do przeprowadzenia TLPT?

Chociaż DORA dotyczy całego sektora finansowego, TLPT są obowiązkowe tylko dla instytucji finansowych, które posiadają:
Usługi/aktywności, które mają wpływ na sektor finansowy
Obawy dotyczące stabilności finansowej na poziomie krajowym lub europejskim
Specyficzny profil ryzyka związany z poziomem dojrzałości oraz zaangażowanymi cechami technologicznymi
Obejmuje to wszystkie globalnie systemowo istotne instytucje finansowe*, w tym:
  • Instytucje kredytowe
  • Instytucje płatnicze
  • Instytucje pieniądza elektronicznego
  • Centralne depozyty papierów wartościowych
  • Centralni kontrahenci
  • Systemy obrotu
  • Przedsiębiorstwa ubezpieczeniowe i reasekuracyjne

 

*Instytucje spełniające określone kryteria zidentyfikowane w regulacji DORA.

Członek zespołu bezpieczeństwa instytucji finansowej monitorujący ruch sieciowy

Zasady TLPT

Pentester przygotowujący początkowe wtargnięcie w ramach testu penetracyjnego opartego na zagrożeniach
TLPT musi spełniać kilka wymagań określonych w regulacji DORA, takich jak:
  • Musi być przeprowadzane co najmniej co 3 lata.
  • Musi obejmować kilka lub wszystkie krytyczne lub istotne funkcje instytucji finansowej.
  • Musi być przeprowadzane na żywych systemach produkcyjnych.
  • Musi obejmować całą powierzchnię ataku: powierzchnię fizyczną (włamania lokalne), powierzchnię ludzką (zagrożenia skierowane na ludzi, takie jak inżynieria społeczna) oraz powierzchnię cyfrową (wszystkie zasoby cyfrowe, które mogą zostać dotknięte cyberatakami).
  • Musi stosować skuteczne środki zarządzania ryzykiem w celu złagodzenia potencjalnego wpływu na dane, zasoby, usługi lub operacje

Znaczenie testów penetracyjnych kierowanych zagrożeniami (TLPT)

_-2-1 _-2
Maksymalizacja odporności cybernetycznej

Organizacje uzyskują realistyczną ocenę swojej zdolności do reagowania na cyberzagrożenia, co umożliwia im zajęcie się konkretnymi słabymi punktami i dostosowanie strategii bezpieczeństwa do rzeczywistych metod stosowanych przez atakujących.

Group 615-1 Group 615
Zwiększenie ochrony danych i zaufania klientów

Obejmując wszystkie słabe punkty w swoich strategiach bezpieczeństwa, instytucje finansowe są w stanie lepiej chronić dane klientów, a tym samym wzmacniać zaufanie.

Group 640-1 Group 640-2
Zapewnienie zgodności z przepisami DORA

Rozporządzenie DORA wymaga od krytycznych podmiotów finansowych przeprowadzania TLPT, więc organizacja, której się to udaje, wyróżnia się zaangażowaniem i aktywnym udziałem w zwalczaniu cyberprzestępczości i ochronie globalnej infrastruktury finansowej.

Group 646-3 Group 646-1
Unikanie szkód finansowych i wizerunkowych

Niezgodność z wymogami DORA może prowadzić do znacznych kar regulacyjnych i grzywien, nie wspominając o wszystkich szkodach finansowych i reputacyjnych, które mogą wyniknąć z naruszenia danych lub cyberataku.

Group 642-1 Group 642-2
Promowanie uczenia się zespołów ds. bezpieczeństwa

Wewnętrzne zespoły ds. bezpieczeństwa (Blue teams) mogą wiele się nauczyć dzięki ćwiczeniom Red Teaming, takim jak TLPT, i poprawić swoje możliwości zarządzania podatnościami i reagowania na incydenty w przyszłości.

Group 612 Group 612-1
Zabezpieczenie globalnego ekosystemu finansowego

Jeśli wszystkie globalne instytucje finansowe o znaczeniu systemowym poprawią swój stan bezpieczeństwa, wówczas cały sektor finansowy będzie chroniony tak dobrze, jak to tylko możliwe.

Jesteśmy certyfikowani

Inne usługi audytu i pentestu cyberbezpieczeństwa

Dlaczego Alter Solutions?

Group 639-1 Group 639
18 lat doświadczenia

Alter Solutions zostało założone w Paryżu w 2006 roku i od tego czasu koncentruje się na transformacji cyfrowej. Działamy w 8 krajach w Europie, Ameryce i Afryce, a od ponad 10 lat jesteśmy partnerami ds. bezpieczeństwa dla firm z sektora produkcji, usług, finansów, ubezpieczeń, transportu i technologii.

Group 640-May-02-2024-02-48-12-6081-PM Group 640-4
Elastyczność i podejście zorientowane na klienta

Oferujemy poziom usług dostosowany do potrzeb klienta, w tym ochronę 24/7. Posiadamy solidne doświadczenie w różnych sektorach i technologiach, a nasze podejście do usług IT jest neutralne technologicznie – liczy się to, co jest najlepsze dla każdego klienta.

Group 616-1 Group 616
Prywatność jako kluczowa wartość

Dane Twoje i Twoich klientów są u nas bezpieczne. Nasi eksperci działają w obrębie Unii Europejskiej (UE), co oznacza, że w pełni przestrzegamy ogólnego rozporządzenia o ochronie danych osobowych (RODO).

Group 638 Group 638-1
Kluczowe certyfikaty

Posiadamy odpowiednie certyfikaty bezpieczeństwa, takie jak PASSI, ISO 27001 i CSIRT. Nasi eksperci są również certyfikowani w zakresie OSCP, OSCE, GXPN i CRTM.

Nasze artykuły

Nasze Case Studies

Najczęściej zadawane pytania

Mamy ponad 10-letnie doświadczenie w przeprowadzaniu różnego rodzaju pentestów i ćwiczeń red teaming dla sektora bankowego, finansowego i ubezpieczeniowego. Mamy dogłębne zrozumienie ram TIBER-EU i uzupełniamy to dużą wiedzą na temat defensywnych podejść do cyberbezpieczeństwa.

Nasze bogate doświadczenie pozwala nam również zminimalizować zakłócenia w działaniu podczas przeprowadzania ćwiczeń TLPT, ponieważ znamy ryzyko związane z badaniem określonych luk w zabezpieczeniach i utrzymujemy otwartą linię komunikacji z klientem, aby zdecydować, co zrobić w takich okolicznościach.

Tak. Aby chronić dane klientów, Alter Solutions gwarantuje następujące środki:

  1. Korzystanie z wzmocnione laptopów, dzięki czemu w przypadku kradzieży lub włamania dane, które posiadamy na temat naszych klientów, nie będą dostępne.
  2. Korzystanie z szyfrowanych kanałów komunikacji dla każdej wymiany, która może być krytyczna. Na przykład: informacje zebrane podczas fazy analizy zagrożeń; raport końcowy z wykrytymi lukami; dane osobowe użytkowników.
  3. Usunięcie wszystkich danych klienta po zakończeniu ćwiczenia TLPT. Wysyłamy klientowi dokument poświadczający, że usunęliśmy wszystkie informacje zebrane podczas procesu testowania.

Różnią się one znacznie w zależności od ćwiczenia, w zależności od tego, co zostanie znalezione podczas fazy analizy zagrożeń. Kilka typowych strategii, które można wykorzystać do zainicjowania testu penetracyjnego opartego na zagrożeniach, to inżynieria społeczna (np. ataki phishingowe), włamania fizyczne lub wykorzystanie luk technicznych.

Nie w sposobie jego przeprowadzania, a jedynie w czasie spędzonym na etapie analizy zagrożeń. Należy pamiętać, że TLPT został zaprojektowany specjalnie dla krytycznych instytucji finansowych, więc nigdy nie będzie musiał być dostosowywany do małych lub średnich firm. Jeśli podmioty takie jak te szukają kompleksowego audytu bezpieczeństwa, to konwencjonalne podejścia Red Teaming lub Pentesting są bardziej odpowiednie.

Przede wszystkim początkowe kroki fazy przygotowawczej, w której klient musi wybrać dostawcę analizy zagrożeń i testerów (wewnętrznych, zewnętrznych lub obu), zdefiniować kanały i procesy komunikacji oraz przygotować dokument specyfikacji zakresu.

Ostatecznie za plan naprawczy również odpowiada instytucja finansowa - dostawca TLPT po prostu dostarcza raport z testów wraz z zaleceniami dotyczącymi usunięcia luk technicznych, ale to klient decyduje, jak zastosować je w praktyce.

Tak, ale członkowie przypisani do każdego zespołu muszą być różni i działać niezależnie. Jeśli instytucja finansowa korzysta z wewnętrznych testerów, dostawca analizy zagrożeń musi być zewnętrzny.

Skontaktuj się z nami jeszcze dziś!

Wypełnij nasz formularz kontaktowy, a jeden z naszych Kierowników Biznesowych skontaktuje się z Tobą w ciągu 24 godzin.

 

Alternatywnie, możesz napisać do nas e-maila z większą ilością informacji dotyczących Twojego projektu i wymagań.

 

hello.warsaw@alter-solutions.com