Evropské nařízení DORA (Digital Operational Resilience Act) zavádí nový standard pro řízení ICT rizik. Od významných finančních subjektů požaduje, aby pravidelně prováděly Threat-Led Penetration Testing (TLPT), inteligenčně řízené testy na základě vedené na základě hrozeb, které simulují schopnosti pokročilých organizovaných kybernetických útočníků (APT).
Cílem není jen nalézt zranitelnosti, ale ověřit schopnost celé organizace odhalit, reagovat a obnovit provoz po útoku, který odpovídá reálnému a koordinovanému scénáři.
Instituce, které podléhají regulaci DORA, budou muset splňovat požadavky jak na frekvenci testování, tak na jeho dokumentaci a reportování vůči příslušnému dozorovému orgánu (např. ČNB, ECB). Fáze aktivního red-team testování musí trvat minimálně 12 týdnů. Tato doba je nezbytná k napodobení skrytých aktérů hrozeb.
Pokud by instituce chtěla využít vlastní interní red team musí získat chválení regulátora a zajistit organizační nezávislost interního týmu (zamezit střetu zájmů). Operativní informace o hrozbách pro scénář musí dodat externí poskytovatel.
BDO poskytuje TLPT služby v souladu se specifickými požadavky evropských regulátorů (např. ECB, EBA, ESMA) i osvědčené metodiky typu TIBER-EU, CBEST nebo iCAST. Naše metodologie kombinuje přístup red teamingu, znalost regulatorního rámce a hluboké technické know-how – včetně scénářů, které reflektují sektorové hrozby a digitální útoky v evropském finančním prostoru.
Autor: Marek Kovalčík
Cílem není jen nalézt zranitelnosti, ale ověřit schopnost celé organizace odhalit, reagovat a obnovit provoz po útoku, který odpovídá reálnému a koordinovanému scénáři.
Co je Threat-Led Penetration Testing a proč nestačí běžné testy?
Na rozdíl od standardního penetračního testu TLPT:- simuluje útok v celé jeho komplexitě, včetně průniku, laterálního pohybu, eskalace oprávnění, persistence a exfiltrace dat;
- je řízen podle aktuálních hrozeb (threat intelligence) a specifických sektorových scénářů;
- zahrnuje koordinační fázi s definovaným rozsahem, pravidly zásahu, identifikací kritických systémů a stanovením cílů testu.
Jaké požadavky stanovuje DORA v souvislosti s TLPT?
- testování musí být prováděno na základě aktuálního profilu hrozeb, nikoli jako univerzální scénář;
- test se musí týkat kritických funkcí a systémů, jejichž výpadek by mohl ohrozit stabilitu služeb;
- organizace musí zapojit externí, nezávislé a kvalifikované testery;
- výsledky musí vést k implementaci nápravných opatření a případnému retestování.
Instituce, které podléhají regulaci DORA, budou muset splňovat požadavky jak na frekvenci testování, tak na jeho dokumentaci a reportování vůči příslušnému dozorovému orgánu (např. ČNB, ECB). Fáze aktivního red-team testování musí trvat minimálně 12 týdnů. Tato doba je nezbytná k napodobení skrytých aktérů hrozeb.
Jaké jsou požadavky na testovací týmy?
DORA klade důraz i na kvalitu a kvalifikaci subjektů provádějících pokročilé testy. Testeři musejí splňovat přísná kritéria, např.:- musí jít o renomované odborníky, s prokázanými technickými a organizačními schopnostmi a specifickými znalostmi;
- testeři musejí být certifikováni a absolvovat nezávislé audity či potvrzení o řádném řízení rizik při testování;
- musejí mít adekvátní pojištění odpovědnosti pro případ způsobených škod.
Pokud by instituce chtěla využít vlastní interní red team musí získat chválení regulátora a zajistit organizační nezávislost interního týmu (zamezit střetu zájmů). Operativní informace o hrozbách pro scénář musí dodat externí poskytovatel.
Jak testování probíhá v praxi?
- Reconnaissance: identifikace cílové aplikace a připojení k interní síti. Shromažďování informací o cílovém systému, jako jsou IP adresy, záznamy DNS a další metadata.
- Footprinting: analýza dostupných informací o aplikaci a přidružených systémech. Určení dostupných služeb, verzí a dalších informací.
- Sniffing: odposlouchávání a sběr přenášených dat za účelem identifikace zranitelností vedoucích k úniku dat.
- Skenování: skenování sítě pro identifikaci aktivních hostů a portů. Skenování konkrétních aplikačních služeb, jako jsou API, GUI.
- Enumerace: identifikace uživatelských účtů a skupin v systému. Určení dostupných funkcí a oprávnění v aplikaci.
- Analýza zranitelností: skenování a analýza identifikovaných zranitelností v aplikaci. Hodnocení zabezpečení operačního systému, databáze a dalších komponent. Budeme používat nástroje jako qualys, nessus, burp suite a další standardní automatické a manuální nástroje pro identifikaci zranitelností.
- Exploitace: pokus o využití identifikovaných zranitelností k získání neoprávněného přístupu nebo úniku informací. Simulace útoků na prostředí aplikace.
- Post-exploitace: pokračování průzkumu prostředí po získání přístupu. Shromažďování dalších informací a pokusy o eskalaci oprávnění.
- Reporting: sestavení podrobné zprávy obsahující identifikované slabiny, doporučení pro zlepšení a důkazy provedených testů. Doručení výsledků zprávy odpovědným osobám v organizaci.
- Cleanup: v případě úspěšného přístupu přijímání opatření k minimalizaci možných důsledků. Smazání stop testování a obnovení systému do jeho původního stavu.
Proč spolupracovat s BDO?
BDO poskytuje TLPT služby v souladu se specifickými požadavky evropských regulátorů (např. ECB, EBA, ESMA) i osvědčené metodiky typu TIBER-EU, CBEST nebo iCAST. Naše metodologie kombinuje přístup red teamingu, znalost regulatorního rámce a hluboké technické know-how – včetně scénářů, které reflektují sektorové hrozby a digitální útoky v evropském finančním prostoru.- Certifikovaný red team s expertní praxí
- Znalost DORA, NIS2 i TIBER-EU
- Nezávislost a důvěryhodnost
Autor: Marek Kovalčík