Penetračné testovanie vedené hrozbou (TLPT) v súlade s predpismi DORA

Penetračné testovanie vedené hrozbou (TLPT) v súlade s predpismi DORA

Pokročilé red-teaming testy pre regulované finančné inštitúcie 

 

Európska DORA (Digital Operational Resilience Act) zavádza nový štandard pre riadenie rizík v oblasti IKT. Vyžaduje, aby významné finančné subjekty pravidelne vykonávali Threat-Led Penetration Testing (TLPT), teda testy založené na inteligencii a hrozbách, ktoré simulujú schopnosti pokročilých organizovaných kybernetických útočníkov (APT).

Cieľom nie je len nájsť zraniteľnosti, ale overiť schopnosť celej organizácie detekovať, reagovať a obnoviť operácie po útoku, ktorý zodpovedá realistickému a koordinovanému scenáru.


Čo je penetračné testovanie vedené hrozbou a prečo rutinné testy nestačia?

Na rozdiel od štandardného penetračného testu TLPT:

  • Simuluje útok vo všetkej jeho zložitosti, vrátane penetrácie, bočného pohybu, eskalácie privilégií, perzistencie a exfiltrácie dát.
  • Je riadený podľa aktuálnych hrozieb (spravodajstvo o hrozbách) a sektorovo špecifických scenárov.
  • Zahŕňa koordinačnú fázu s definovaným rozsahom, pravidlami zásahu, identifikáciou kritických systémov a určením cieľov testovania.

Z technického hľadiska TLPT vyžaduje podrobné znalosti vektorov útoku a schopnosť napodobniť metódy skutočných útočníkov, ktorí zneužívajú zero-day zraniteľnosti, sociálne inžinierstvo, zahmlievanie kódu alebo útoky na dodávateľský reťazec. 


Aké sú požiadavky na testovacie tímy? 

DORA tiež zdôrazňuje kvalitu a kvalifikáciu  subjektov vykonávajúcich pokročilé testy. Testeri musia spĺňať prísne kritériá, napr.

  • Musia byť renomovaní profesionáli s overenými technickými a organizačnými zručnosťami a špecifickými znalosťami 
  • Testeri musia byť certifikovaní  a podstúpiť nezávislé audity alebo potvrdenie správneho riadenia rizík pri testovaní 
  • Musia mať primerané poistenie zodpovednosti v prípade vzniku škôd. 

Ak chce inštitúcia používať vlastný interný red team,  musí získať schválenie regulátora a zabezpečiť organizačnú nezávislosť interného tímu (vyhnúť sa konfliktom záujmov). Operačné spravodajstvo o hrozbách pre daný scenár musí  poskytnúť poskytovateľ tretej strany.

Aké požiadavky stanovuje DORA v súvislosti s TLPT?

01

Testovanie musí byť vykonané na základe aktuálneho profilu hrozieb, nie ako univerzálny scenár.

02

Test musí zahŕňať kritické funkcie a systémy, ktorých zlyhanie by mohlo ohroziť stabilitu služieb.

03

Organizácia musí zapojiť externých, nezávislých a kvalifikovaných testerov.

04

Výsledky musia viesť k zavedeniu nápravných opatrení a prípadnému opätovnému testovaniu.

Inštitúcie, ktoré podliehajú regulácii DORA, musia spĺňať požiadavky na frekvenciu testovania, ako aj jeho dokumentáciu a podávanie správ príslušnému dozornému orgánu (napr. ČNB, ECB). Fáza aktívneho red-team testovania musí trvať minimálne 12 týždňov. Tento čas je potrebný na napodobnenie skrytých aktérov hrozieb.

Rozdiely medzi bežným penetračným testovaním a TLPT

Parameter Penetračné testovanie Penetračné testovanie vedené hrozbou (TLPT)
Cieľ testu Identifikácia zraniteľností, nesprávnych konfigurácií, chýb v systémoch Simulácia skutočného útoku (podobného APT), test odolnosti obranných mechanizmov
Frekvencia Min. 1× ročne pre systémy podporujúce kľúčové/dôležité funkcie Min. 1× za 3 roky (pre vybrané subjekty podľa profilu rizika)
Testovanie Interný alebo externý tím; musí byť nezávislý Externý tím alebo výnimočne interný červený tím; musí mať profesionálne certifikáty
Threat Based (TI – Threat Intel / OSINT) Nie je povinné Áno – scenár musí byť založený na aktuálnej hrozbe relevantnej pre inštitúciu
Prostredie Zvyčajne testovacie alebo staging prostredie Produkčné systémy – testovaná reálna odolnosť
Schválenie rozsahu Interné riadenie Rozsah je schválený príslušným regulátorom
Zameranie Testovanie komponentov (aplikácie, siete, slabiny konfigurácie) Simulácia od začiatku do konca – zahŕňa počiatočný prienik, bočný pohyb, exfiltráciu a detekciu
Posúdenie treťou stranou Voliteľné, často vynechávané Povinné, ak je súčasťou kritickej funkcie
Nápravné opatrenia Povinnosť opraviť identifikované zraniteľnosti, interné overovanie Povinné vypracovanie nápravných plánov + overovanie a hlásenie dohľadu
Dozorné hlásenie Nie – interná dokumentácia Áno – výsledky, plány nápravy a dôkazy o súlade s DORA zaslané regulátorovi
Certifikácia testov Nie je povinné Áno – regulátor vydáva certifikát o súlade testu s DORA
Metodologický rámec Nedefinované, môže byť založené na OSSTMM, OWASP a podobne Musí dodržiavať rámce ako TIBER-EU
Výhody Identifikuje technické slabiny Testuje aj schopnosť odhaliť, reagovať a odolať sofistikovanému útočníkovi

Ako funguje testovanie v praxi?

Ikona

Prieskum

Identifikácia cieľovej aplikácie a pripojenie k internej sieti. Zber informácií o cieľovom systéme, ako sú IP adresy, DNS záznamy a ďalšie metadáta.

Ikona

Footprinting

Analýza dostupných informácií o aplikácii a súvisiacich systémoch. Identifikácia dostupných služieb, verzií a ďalších relevantných údajov.

Ikona

Sniffing

Odpočúvanie a zber prenášaných dát s cieľom identifikovať zraniteľnosti vedúce k úniku dát.

Ikona

Skenovanie

Prehľadanie siete na identifikáciu aktívnych hostiteľov a portov. Skenovanie špecifických aplikačných služieb, ako sú API a GUI.

Ikona

Enumerácia

Identifikácia používateľských účtov a skupín v systéme. Špecifikovanie dostupných funkcií a oprávnení v aplikácii.

Ikona

Analýza zraniteľností

Skenovanie a analýza identifikovaných zraniteľností v aplikácii. Hodnotenie bezpečnosti operačného systému, databázy a ďalších komponentov. Použitie nástrojov ako Qualys, Nessus, Burp Suite a ďalších štandardných automatických aj manuálnych nástrojov.

Ikona

Zneužitie

Pokus o zneužitie identifikovaných zraniteľností na získanie neoprávneného prístupu alebo únik informácií. Simulácia útokov na aplikačné prostredie.

Ikona

Po exploatácii

Pokračovanie v prieskume prostredia po získaní prístupu. Zhromažďovanie ďalších informácií a pokusy o zvýšenie oprávnení.

Ikona

Reportovanie

Zostavenie podrobnej správy obsahujúcej identifikované slabiny, odporúčania na zlepšenie a dôkazy o vykonaných testoch. Doručenie výsledkov zodpovedným osobám v organizácii.

Ikona

Čistenie

V prípade úspešného prístupu prijatie opatrení na minimalizáciu možných následkov. Odstránenie testovacích stôp a obnovenie systému do pôvodného stavu.

Prečo spolupracovať s BDO?

BDO poskytuje TLPT služby v súlade so špecifickými požiadavkami európskych regulátorov (napr. ECB, EBA, ESMA), ako aj s overenými metodológiami typu TIBER-EU, CBEST alebo iCAST.

Naša metodológia kombinuje prístup red teamingu, znalosť regulačného rámca a hlboké technické know-how – vrátane scenárov, ktoré reflektujú sektorové hrozby a digitálne útoky v európskom finančnom priestore.

  • Znalosť DORA, NIS2 a TIBER-EU

Rozumieme regulačným rámcom a vieme TLPT test prispôsobiť požiadavkám legislatívy aj sektorového dohľadu. Pomáhame s celkovou stratégiou kybernetickej odolnosti.

  • Nezávislosť a dôveryhodnosť

Ako nezávislá konzultačná firma nemáme vlastné technológie a poskytujeme skutočne objektívne hodnotenie. Spolupráca s BDO je jasným signálom kvality a dôvery pre regulátorov aj klientov.

  • Certifikovaný červený tím s odbornou praxou

Naši špecialisti sú držiteľmi certifikácií OSCP, CRTO, eCPPT, BSCP, CEH, CRT, CPSA, CISSP, CCISO a ďalších. Majú skúsenosti s testovaním veľkých bánk, poisťovní aj poskytovateľov IKT služieb.

OSCP eCPPT RedTeam PenTest CEH CREST CISO CISSP

Hlavné kontaktné osoby

Martin Horičký
Martin Horičký
Partner • Digital Services
i View bio
Marek Kovalčík
Chief Information Security Officer • Digital Services
i View bio