
Martin Hořický
Evropské nařízení DORA (Digital Operational Resilience Act) zavádí nový standard pro řízení ICT rizik. Od významných finančních subjektů požaduje, aby pravidelně prováděly Threat-Led Penetration Testing (TLPT), inteligenčně řízené testy vedené na základě hrozeb, které simulují schopnosti pokročilých organizovaných kybernetických útočníků (APT). Cílem není jen nalézt zranitelnosti, ale ověřit schopnost celé organizace odhalit, reagovat a obnovit provoz po útoku, který odpovídá reálnému a koordinovanému scénáři.
Na rozdíl od standardního penetračního testu TLPT:
Z technického pohledu vyžaduje TLPT detailní znalosti útočných vektorů a schopnost napodobit metody reálných útočníků, kteří využívají zero-day zranitelnosti, sociální inženýrství, obfuskaci kódu nebo útoky na dodavatelské řetězce.
DORA klade důraz i na kvalitu a kvalifikaci subjektů provádějících pokročilé testy. Testeři musejí splňovat přísná kritéria, např.:
Pokud by instituce chtěla využít vlastní interní red team, musí získat schválení regulátora a zajistit organizační nezávislost interního týmu (zamezit střetu zájmů). Operativní informace o hrozbách pro scénář musí dodat externí poskytovatel.
Testování musí být prováděno na základě aktuálního profilu hrozeb, nikoli jako univerzální scénář.
Test se musí týkat kritických funkcí a systémů, jejichž výpadek by mohl ohrozit stabilitu služeb.
Organizace musí zapojit externí, nezávislé a kvalifikované testery.
Výsledky musí vést k implementaci nápravných opatření a případnému retestování.
Parametr | Penetrační testování | Threat-Led Penetration Testing (TLPT) |
---|---|---|
Cíl testu | Identifikace zranitelností, špatné konfigurace, chyby v systémech | Simulace reálného útoku (APT-like), test odolnosti obranných mechanismů |
Frekvence | Min. 1x ročně u systémů podporujících klíčové/důležité funkce | Min. 1x za 3 roky (pro vybrané subjekty dle rizikového profilu) |
Vedení testu | Interní nebo externí tým; musí být nezávislý | Externí tým nebo výjimečně interní red team; musí mít odborné certifikace |
Založeno na hrozbách (TI – Threat Intel aka OSINT) | Není povinné | Ano – scénář musí být postaven na aktuální hrozbě relevantní dané instituci |
Prostředí | Obvykle testovací nebo staging | Produkční systémy – testuje se odolnost v reálném provozu |
Schválení rozsahu | Interně řízeno | Rozsah schvaluje příslušný regulátor |
Zaměření | Testování komponent (aplikace, sítě, konfigurační slabiny) | End-to-end simulace – zahrnuje úvodní průnik, laterální pohyb, exfiltrace, detekci |
Zohlednění třetích stran | Nepovinné, často vynecháváno | Povinné, pokud jsou součástí kritické funkce |
Nápravná opatření | Povinnost oprav zjištěných zranitelností, interní verifikace | Povinné vypracování nápravných plánů + verifikace a reporting dohledu |
Reporting dohledu | Ne – interní dokumentace | Ano – výsledky, plány nápravy a důkaz o souladu se DORA posílány regulátorovi |
Certifikace testu | Nevyžaduje se | Ano – regulátor vydává osvědčení o souladu testu s DORA |
Metodický rámec | Nedefinovaný, může vycházet z OSSTMM, OWASP atd. | Musí odpovídat rámcům jako TIBER-EU |
Přínos | Identifikuje technické slabiny | Testuje i schopnost detekce, reakce a odolnosti proti sofistikovanému útočníkovi |
Identifikace cílové aplikace a připojení k interní síti. Shromažďování informací o cílovém systému, jako jsou IP adresy, záznamy DNS a další metadata.
Analýza dostupných informací o aplikaci a přidružených systémech. Určení dostupných služeb, verzí a dalších informací.
Odposlouchávání a sběr přenášených dat za účelem identifikace zranitelností vedoucích k úniku dat.
Skenování sítě pro identifikaci aktivních hostů a portů. Skenování konkrétních aplikačních služeb, jako jsou API, GUI.
Identifikace uživatelských účtů a skupin v systému. Určení dostupných funkcí a oprávnění v aplikaci.
Hodnocení zabezpečení operačního systému, databáze a dalších komponent. Využití standardních automatických a manuálních nástrojů pro identifikaci zranitelností v aplikaci.
Pokus o využití identifikovaných zranitelností k získání neoprávněného přístupu nebo úniku informací. Simulace útoků na prostředí aplikace.
Pokračování průzkumu prostředí po získání přístupu. Shromažďování dalších informací a pokusy o eskalaci oprávnění.
Sestavení podrobné zprávy obsahující identifikované slabiny, doporučení pro zlepšení a důkazy provedených testů. Doručení výsledků zprávy odpovědným osobám v organizaci.
V případě úspěšného přístupu přijímání opatření k minimalizaci možných důsledků. Smazání stop testování a obnovení systému do jeho původního stavu.
BDO poskytuje TLPT služby v souladu se specifickými požadavky evropských regulátorů (např. ECB, EBA, ESMA) i osvědčené metodiky typu TIBER-EU, CBEST nebo iCAST.
Naše metodologie kombinuje přístup red teamingu, znalost regulatorního rámce a hluboké technické know-how – včetně scénářů, které reflektují sektorové hrozby a digitální útoky v evropském finančním prostoru.
Rozumíme regulatorním rámcům a dokážeme TLPT test přizpůsobit tomu, co požaduje legislativa i sektorový dohled. Pomáháme s celkovou strategií kybernetické odolnosti.
Jako nezávislá poradenská firma nemáme vlastní technologie a nabízíme skutečně objektivní hodnocení. Spolupráce s BDO je pro regulátory i klienty jasným signálem kvality a důvěry.
Naši specialisté vlastní certifikace OSCP, CRTO, eCPPT, BSCP, CEH, CRT, CPSA, CISSP, CCISO a další. Mají zkušenosti s testováním velkých bank, pojišťoven i ICT poskytovatelů.