Martin Hořický
Partner • Digital Services
Pokročilé red-teaming testy pro regulované finanční instituce
Evropské nařízení DORA (Digital Operational Resilience Act) zavádí nový standard pro řízení ICT rizik. Od významných finančních subjektů požaduje, aby pravidelně prováděly Threat-Led Penetration Testing (TLPT), inteligenčně řízené testy vedené na základě hrozeb, které simulují schopnosti pokročilých organizovaných kybernetických útočníků (APT). Cílem není jen nalézt zranitelnosti, ale ověřit schopnost celé organizace odhalit, reagovat a obnovit provoz po útoku, který odpovídá reálnému a koordinovanému scénáři.
Co je Threat-Led Penetration Testing a proč nestačí běžné testy?
Na rozdíl od standardního penetračního testu TLPT:
- Simuluje útok v celé jeho komplexitě, včetně průniku, laterálního pohybu, eskalace oprávnění, persistence a exfiltrace dat,
- Je řízen podle aktuálních hrozeb (threat intelligence) a specifických sektorových scénářů,
- Zahrnuje koordinační fázi s definovaným rozsahem, pravidly zásahu, identifikací kritických systémů a stanovením cílů testu.
Z technického pohledu vyžaduje TLPT detailní znalosti útočných vektorů a schopnost napodobit metody reálných útočníků, kteří využívají zero-day zranitelnosti, sociální inženýrství, obfuskaci kódu nebo útoky na dodavatelské řetězce.
Jaké jsou požadavky na testovací týmy?
DORA klade důraz i na kvalitu a kvalifikaci subjektů provádějících pokročilé testy. Testeři musejí splňovat přísná kritéria, např.:
- Musí jít o renomované odborníky, s prokázanými technickými a organizačními schopnostmi a specifickými znalostmi,
- Testeři musejí být certifikováni a absolvovat nezávislé audity či potvrzení o řádném řízení rizik při testování,
- Musejí mít adekvátní pojištění odpovědnosti pro případ způsobených škod.
Pokud by instituce chtěla využít vlastní interní red team, musí získat schválení regulátora a zajistit organizační nezávislost interního týmu (zamezit střetu zájmů). Operativní informace o hrozbách pro scénář musí dodat externí poskytovatel.
Jaké požadavky stanovuje DORA v souvislosti s TLPT?
01
Testování musí být prováděno na základě aktuálního profilu hrozeb, nikoli jako univerzální scénář.
02
Test se musí týkat kritických funkcí a systémů, jejichž výpadek by mohl ohrozit stabilitu služeb.
03
Organizace musí zapojit externí, nezávislé a kvalifikované testery.
04
Výsledky musí vést k implementaci nápravných opatření a případnému retestování.
Rozdíly mezi běžným penetračním testováním a TLPT:
| Parametr | Penetrační testování | Threat-Led Penetration Testing (TLPT) |
|---|---|---|
| Cíl testu | Identifikace zranitelností, špatné konfigurace, chyby v systémech | Simulace reálného útoku (APT-like), test odolnosti obranných mechanismů |
| Frekvence | Min. 1x ročně u systémů podporujících klíčové/důležité funkce | Min. 1x za 3 roky (pro vybrané subjekty dle rizikového profilu) |
| Vedení testu | Interní nebo externí tým; musí být nezávislý | Externí tým nebo výjimečně interní red team; musí mít odborné certifikace |
| Založeno na hrozbách (TI – Threat Intel aka OSINT) | Není povinné | Ano – scénář musí být postaven na aktuální hrozbě relevantní dané instituci |
| Prostředí | Obvykle testovací nebo staging | Produkční systémy – testuje se odolnost v reálném provozu |
| Schválení rozsahu | Interně řízeno | Rozsah schvaluje příslušný regulátor |
| Zaměření | Testování komponent (aplikace, sítě, konfigurační slabiny) | End-to-end simulace – zahrnuje úvodní průnik, laterální pohyb, exfiltrace, detekci |
| Zohlednění třetích stran | Nepovinné, často vynecháváno | Povinné, pokud jsou součástí kritické funkce |
| Nápravná opatření | Povinnost oprav zjištěných zranitelností, interní verifikace | Povinné vypracování nápravných plánů + verifikace a reporting dohledu |
| Reporting dohledu | Ne – interní dokumentace | Ano – výsledky, plány nápravy a důkaz o souladu se DORA posílány regulátorovi |
| Certifikace testu | Nevyžaduje se | Ano – regulátor vydává osvědčení o souladu testu s DORA |
| Metodický rámec | Nedefinovaný, může vycházet z OSSTMM, OWASP atd. | Musí odpovídat rámcům jako TIBER-EU |
| Přínos | Identifikuje technické slabiny | Testuje i schopnost detekce, reakce a odolnosti proti sofistikovanému útočníkovi |
Jak testování probíhá v praxi?
Reconnaissance
Identifikace cílové aplikace a připojení k interní síti. Shromažďování informací o cílovém systému, jako jsou IP adresy, záznamy DNS a další metadata.
Footprinting
Analýza dostupných informací o aplikaci a přidružených systémech. Určení dostupných služeb, verzí a dalších informací.
Sniffing
Odposlouchávání a sběr přenášených dat za účelem identifikace zranitelností vedoucích k úniku dat.
Skenování
Skenování sítě pro identifikaci aktivních hostů a portů. Skenování konkrétních aplikačních služeb, jako jsou API, GUI.
Enumerace
Identifikace uživatelských účtů a skupin v systému. Určení dostupných funkcí a oprávnění v aplikaci.
Skenování a analýza zranitelností
Hodnocení zabezpečení operačního systému, databáze a dalších komponent. Využití standardních automatických a manuálních nástrojů pro identifikaci zranitelností v aplikaci.
Exploatace
Pokus o využití identifikovaných zranitelností k získání neoprávněného přístupu nebo úniku informací. Simulace útoků na prostředí aplikace.
Post-exploitace
Pokračování průzkumu prostředí po získání přístupu. Shromažďování dalších informací a pokusy o eskalaci oprávnění.
Reporting
Sestavení podrobné zprávy obsahující identifikované slabiny, doporučení pro zlepšení a důkazy provedených testů. Doručení výsledků zprávy odpovědným osobám v organizaci.
Cleanup
V případě úspěšného přístupu přijímání opatření k minimalizaci možných důsledků. Smazání stop testování a obnovení systému do jeho původního stavu.
Proč spolupracovat s BDO?
BDO poskytuje TLPT služby v souladu se specifickými požadavky evropských regulátorů (např. ECB, EBA, ESMA) i osvědčené metodiky typu TIBER-EU, CBEST nebo iCAST.
Naše metodologie kombinuje přístup red teamingu, znalost regulatorního rámce a hluboké technické know-how – včetně scénářů, které reflektují sektorové hrozby a digitální útoky v evropském finančním prostoru.
- Znalost DORA, NIS2 i TIBER-EU
Rozumíme regulatorním rámcům a dokážeme TLPT test přizpůsobit tomu, co požaduje legislativa i sektorový dohled. Pomáháme s celkovou strategií kybernetické odolnosti.
- Nezávislost a důvěryhodnost
Jako nezávislá poradenská firma nemáme vlastní technologie a nabízíme skutečně objektivní hodnocení. Spolupráce s BDO je pro regulátory i klienty jasným signálem kvality a důvěry.
- Certifikovaný red team s expertní praxí
Naši specialisté vlastní certifikace OSCP, CRTO, eCPPT, BSCP, CEH, CRT, CPSA, CISSP, CCISO a další. Mají zkušenosti s testováním velkých bank, pojišťoven i ICT poskytovatelů.
