Threat-Led Penetration Testing (TLPT) v souladu s regulací DORA

Pokročilé red-teaming testy pro regulované finanční instituce 

Evropské nařízení DORA (Digital Operational Resilience Act) zavádí nový standard pro řízení ICT rizik. Od významných finančních subjektů požaduje, aby pravidelně prováděly Threat-Led Penetration Testing (TLPT), inteligenčně řízené testy vedené na základě hrozeb, které simulují schopnosti pokročilých organizovaných kybernetických útočníků (APT). Cílem není jen nalézt zranitelnosti, ale ověřit schopnost celé organizace odhalit, reagovat a obnovit provoz po útoku, který odpovídá reálnému a koordinovanému scénáři.


Co je Threat-Led Penetration Testing a proč nestačí běžné testy?

Na rozdíl od standardního penetračního testu TLPT:

  • Simuluje útok v celé jeho komplexitě, včetně průniku, laterálního pohybu, eskalace oprávnění, persistence a exfiltrace dat,
  • Je řízen podle aktuálních hrozeb (threat intelligence) a specifických sektorových scénářů,
  • Zahrnuje koordinační fázi s definovaným rozsahem, pravidly zásahu, identifikací kritických systémů a stanovením cílů testu.

Z technického pohledu vyžaduje TLPT detailní znalosti útočných vektorů a schopnost napodobit metody reálných útočníků, kteří využívají zero-day zranitelnosti, sociální inženýrství, obfuskaci kódu nebo útoky na dodavatelské řetězce.

Jaké požadavky stanovuje DORA v souvislosti s TLPT?

01

Testování musí být prováděno na základě aktuálního profilu hrozeb, nikoli jako univerzální scénář.

02

Test se musí týkat kritických funkcí a systémů, jejichž výpadek by mohl ohrozit stabilitu služeb.

03

Organizace musí zapojit externí, nezávislé a kvalifikované testery.

04

Výsledky musí vést k implementaci nápravných opatření a případnému retestování.

Jaké jsou požadavky na testovací týmy?

DORA klade důraz i na kvalitu a kvalifikaci subjektů provádějících pokročilé testy. Testeři musejí splňovat přísná kritéria, např.:

  • Musí jít o renomované odborníky, s prokázanými technickými a organizačními schopnostmi a specifickými znalostmi,
  • Testeři musejí být certifikováni a absolvovat nezávislé audity či potvrzení o řádném řízení rizik při testování,
  • Musejí mít adekvátní pojištění odpovědnosti pro případ způsobených škod.

Pokud by instituce chtěla využít vlastní interní red team, musí získat schválení regulátora a zajistit organizační nezávislost interního týmu (zamezit střetu zájmů). Operativní informace o hrozbách pro scénář musí dodat externí poskytovatel.

Jak testování probíhá v praxi?

Ikona

Reconnaissance

Identifikace cílové aplikace a připojení k interní síti. Shromažďování informací o cílovém systému, jako jsou IP adresy, záznamy DNS a další metadata.

Ikona

Footprinting

Analýza dostupných informací o aplikaci a přidružených systémech. Určení dostupných služeb, verzí a dalších informací.

Ikona

Sniffing

Odposlouchávání a sběr přenášených dat za účelem identifikace zranitelností vedoucích k úniku dat.

Ikona

Skenování

Skenování sítě pro identifikaci aktivních hostů a portů. Skenování konkrétních aplikačních služeb, jako jsou API, GUI.

Ikona

Enumerace

Identifikace uživatelských účtů a skupin v systému. Určení dostupných funkcí a oprávnění v aplikaci.

Ikona

Skenování a analýza zranitelností

Hodnocení zabezpečení operačního systému, databáze a dalších komponent. Využití standardních automatických a manuálních nástrojů pro identifikaci zranitelností v aplikaci.

Ikona

Exploatace

Pokus o využití identifikovaných zranitelností k získání neoprávněného přístupu nebo úniku informací. Simulace útoků na prostředí aplikace.

Ikona

Post-exploitace

Pokračování průzkumu prostředí po získání přístupu. Shromažďování dalších informací a pokusy o eskalaci oprávnění.

Ikona

Reporting

Sestavení podrobné zprávy obsahující identifikované slabiny, doporučení pro zlepšení a důkazy provedených testů. Doručení výsledků zprávy odpovědným osobám v organizaci.

Ikona

Cleanup

V případě úspěšného přístupu přijímání opatření k minimalizaci možných důsledků. Smazání stop testování a obnovení systému do jeho původního stavu.

Proč spolupracovat s BDO?

BDO poskytuje TLPT služby v souladu se specifickými požadavky evropských regulátorů (např. ECB, EBA, ESMA) i osvědčené metodiky typu TIBER-EU, CBEST nebo iCAST. 

Naše metodologie kombinuje přístup red teamingu, znalost regulatorního rámce a hluboké technické know-how – včetně scénářů, které reflektují sektorové hrozby a digitální útoky v evropském finančním prostoru.

  • Certifikovaný red team s expertní praxí

Naši specialisté vlastní certifikace OSCP, CRTO, eCPPT, BSCP, CEH, CRT, CPSA, CISSP, CCISO a další. Mají zkušenosti s testováním velkých bank, pojišťoven i ICT poskytovatelů.


  • Znalost DORA, NIS2 i TIBER-EU

Rozumíme regulatorním rámcům a dokážeme TLPT test přizpůsobit tomu, co požaduje legislativa i sektorový dohled. Pomáháme s celkovou strategií kybernetické odolnosti.

  • Nezávislost a důvěryhodnost

Jako nezávislá poradenská firma nemáme vlastní technologie a nabízíme skutečně objektivní hodnocení. Spolupráce s BDO je pro regulátory i klienty jasným signálem kvality a důvěry.

Hlavní kontaktní osoby

Martin Hořický

Martin Hořický

Partner • Digital Services
View bio
kovalcik

Marek Kovalčík

Manager • Digital Services
View bio