O que aconteceria se uma instituição bancária globalmente crítica falhasse devido a um incidente de cibersegurança? É provável que todo o ecossistema financeiro fosse afetado e se instalasse uma crise.

 

Prevenir um cenário como este é o objetivo da Lei de Resiliência Operacional Digital (DORA), que se foca em elevar a postura de cibersegurança e a resiliência do setor financeiro na Europa através de uma série de medidas, uma das quais é a implementação de Testes de Penetração baseados em ameaças (TLPT – Threat-Led Penetration Tests) periódicos.


Grandes bancos, companhias de seguros, empresas de investimento, prestadores de serviços de pagamento e outras instituições financeiras cruciais devem estar plenamente conscientes do que são os TLPT, como devem ser realizados e como podem ser aproveitados para abordar vulnerabilidades técnicas. Vamos analisar os detalhes.

 

 

Antes de mais: o que é a DORA?

A Lei de Resiliência Operacional Digital é um regulamento da União Europeia (UE) que visa reforçar a segurança informática das entidades financeiras e garantir que o setor financeiro na Europa seja capaz de manter a resiliência em caso de uma grave perturbação operacional.


A DORA entrou em vigor a 16 de janeiro de 2023 e aplica-se a partir de 17 de janeiro de 2025. Abrange 20 tipos diferentes de entidades financeiras e prestadores de serviços de TIC (Tecnologias de Informação e Comunicação) terceiros.

 

Ler mais sobre a DORA e a Diretiva NIS 2 neste artigo.

 

 

O que é o TLPT?

O Teste de Penetração baseado em ameaças é um exercício de Red Team em larga escala, especificamente concebido para o setor financeiro, que simula um ataque abrangente aos ativos, sistemas e processos de uma organização, de modo a identificar e ajudar a corrigir vulnerabilidades de segurança. Este teste conduz, em última análise, à melhoria da resiliência em cibersegurança de entidades financeiras críticas, cuja perturbação pode causar uma falha sistémica global.


A informação mais relevante sobre o TLPT está resumida na tabela abaixo:

 

 

Teste de Penetração baseado em ameaças (TLPT) da DORA

Alvos

Obrigatório para instituições financeiras sistémicas a nível global* como:

  • Instituições de crédito
  • Instituições de pagamento
  • Instituições de moeda eletrónica
  • Centrais de valores mobiliários
  • Contrapartes centrais
  • Plataformas de negociação
  • Empresas de seguros e resseguros

*Instituições que cumprem critérios específicos definidos pela DORA.

Âmbito

Toda a superfície de ataque: superfície física, humana e digital. Deve cobrir vários ou todos os sistemas críticos ou importantes em funcionamento de uma entidade financeira

Intervenientes
  • Equipa Cyber TLPT (autoridade/regulador que supervisiona o teste)
  • Equipa de Controlo (equipa interna que gere o processo)
  • Blue Team (equipa interna de segurança defensiva)
  • Fornecedor de Inteligência de Ameaças (especialistas externos em inteligência de ameaças)
  • Red Team (testers especialistas externos e/ou internos)

Fases
  1. Preparação
  2. Inteligência de Ameaças
  3. Teste Red Team
  4. Encerramento (incluindo exercício de reprodução)
  5. Plano de remediação

Framework

Compatível com TIBER-EU

Duração

6 – 12 meses

Resultados

Existem quatro principais entregáveis:

  • Relatório de Inteligência de Ameaças: pelo fornecedor de inteligência de ameaças, na fase 2.
  • Relatório de teste Red Team: pelos testers/Red Team, na fase 4.
  • Exercício de reprodução: por ambas as equipas Red Team e Blue Team, na fase 4.
  • Plano de remediação: pela entidade financeira, na fase 5.

Frequência

Pelo menos a cada 3 anos

 

 

O que faria um ciberatacante? Técnicas TLPT da Alter Solutions

A fase de inteligência de ameaças

O nosso Lead Pentester e Lead Red Teamer, Yann Gascuel, explica como é realizado um exercício de Red Teaming mais avançado como o TLPT, após o objetivo e âmbito terem sido definidos com o cliente na fase de preparação. "A ideia é imitar o que um atacante real faria. Começamos com a fase de inteligência de ameaças, onde tentamos obter o máximo de informação possível, aprender que tecnologias são utilizadas pela empresa e quem são os utilizadores com mais privilégios – qualquer coisa que possa ser usada para phishing", explica.


Os recém-chegados à empresa são geralmente alvos fáceis, porque ainda não estão totalmente conscientes dos protocolos de segurança. "É por isso que também usamos o LinkedIn como fonte de inteligência de ameaças, para obter informações sobre funcionários que possam ser alvos vulneráveis. Além disso, utilizamos algumas ferramentas específicas que analisam registos DNS, e também procuramos evidências de fugas de dados", acrescenta o nosso Lead Pentester.


Após recolher toda esta informação, os nossos especialistas preparam um relatório de Inteligência de Ameaças (TTI – Targeted Threat Intelligence report), com um resumo do que foi aprendido sobre o alvo e com cenários de ameaça para o teste real. “É aqui que perguntamos o que um atacante tentaria fazer. Ele/ela provavelmente tentará equilibrar o risco de ser preso com o aumento das hipóteses de sucesso do ataque, por isso tentamos pensar assim e delinear diferentes cenários de ataque."

 

O teste Red Team

Dependendo do que é encontrado durante a fase de inteligência de ameaças e dos cenários de ataque planeados, as técnicas aplicadas para iniciar um TLPT variam muito. Mas o nosso Lead Red Teamer fornece alguns exemplos: "Como intrusão inicial podemos utilizar phishing ou realizar uma intrusão física. Quando estamos dentro do sistema, o curso de ação também dependerá do que encontramos. Pode envolver a exploração de vulnerabilidades técnicas, combinando isso com engenharia social ou até mesmo o uso de keyloggers [um tipo de tecnologia de vigilância que regista tudo o que um utilizador digita num teclado]".


Durante todo o exercício, a Blue Team do cliente não está ciente de que um TLPT está a decorrer, o que significa que também estão a ser testadas as suas capacidades defensivas. De acordo com o framework TIBER-EU, detetar a Red Team é considerado um objetivo definido para a Blue Team, e não uma falha do lado ofensivo.


Outra coisa importante a ter em mente em relação à fase de teste é que a forma como a Red Team da Alter Solutions opera está em conformidade com as leis de proteção de dados como o RGPD. "Utilizamos computadores portáteis com ‘hardening’ e encriptados, por isso se alguém o roubar, não conseguirá aceder aos dados que temos sobre os nossos clientes", atesta o nosso especialista. "Também usamos canais de comunicação encriptados para todas as trocas que possam ser críticas. Após o fim do exercício, apagamos todos os dados que temos e enviamos ao cliente um documento a certificar que o fizemos", acrescenta.


De acordo com a DORA, a fase de teste tem de durar, pelo menos, 12 semanas – tudo depende da escala, âmbito e complexidade do exercício TLPT planeado para essa organização específica.

 

O(s) segredo(s) para minimizar a disrupção do negócio

Essa é a questão de um milhão de euros em qualquer exercício de Red Team: como é que a equipa de teste equilibra a simulação realista de ameaças com a mínima disrupção operacional? O nosso Lead Pentester revela o segredo: "É uma combinação de experiência e comunicação. Quando estamos a realizar um ataque, temos experiência para saber que vulnerabilidades podem ser arriscadas de explorar e se podem causar algum tipo de falha – sabemos, por exemplo, quando um tipo específico de servidores antigos não suporta um ataque. Isso vem com a experiência, por isso quando identificamos um risco como esse comunicamos com o cliente e decidimos juntos se devemos fazê-lo ou não".


Na verdade, durante o próprio exercício TLPT, este é o único cenário onde podem ocorrer interações Red Team-cliente. "Há poucas ou nenhumas interações com o cliente durante este período. Só acontece se detetarmos riscos que possam causar alguma disrupção. Nesse caso, contactamos o cliente para mantê-los informados, mas caso contrário não é estabelecida nenhuma comunicação."

 

A fase de encerramento

Após a conclusão do exercício, dentro de quatro semanas iremos escrever e entregar ao cliente o relatório oficial do teste Red Team. "É aí que descrevemos os ataques que foram realizados, os sucessos, as falhas, o que foi detetado e outros detalhes. Isso é muito útil para o cliente saber quais são os pontos fracos da organização e o que precisa de ser abordado", salienta Gascuel.


O passo final da nossa colaboração no processo TLPT é realizar um exercício de reprodução onde as Red e Blue teams trabalham em conjunto para rever as ações ofensivas e defensivas tomadas durante o exercício. "Todos têm a ganhar: a Blue Team aprende o que fazer num cenário de ataque real, e os nossos testers aprendem como podem ser detetados numa situação como essa, para que possam ser mais difíceis de detetar num próximo exercício."

 

 

O que se segue e o que há a ganhar?

O passo final do processo TLPT é, segundo a DORA, da responsabilidade da entidade financeira. Consiste em escrever um plano de remediação com uma descrição das vulnerabilidades identificadas, medidas de remediação propostas, uma análise da causa raiz, entre outras coisas.


Se esse plano for corretamente implementado, então os benefícios para essa organização específica (e para o setor financeiro como um todo) são claros:

  • A ciber-resiliência é aumentada
    A entidade financeira é capaz de corrigir vulnerabilidades na sua infraestrutura, sistemas e processos antes que os ciberatacantes tenham a oportunidade de tirar proveito delas.

  • Os dados dos clientes ficam mais protegidos
    Com menos pontos fracos para os atores maliciosos explorarem, os dados dos clientes das instituições financeiras estão mais bem protegidos e, consequentemente, os níveis de confiança dos clientes aumentam.

  • A conformidade com a DORA é assegurada
    Realizar TLPT periódicos é um passo crucial não só para proteger o ecossistema financeiro global, mas também para evitar penalizações e multas, bem como danos financeiros e reputacionais que possam advir de um ciberataque prejudicial.

  • As equipas de segurança continuam a desenvolver competências
    Especialmente durante o exercício de reprodução, a Blue team tem a oportunidade de rever cada detalhe do exercício TLPT e aprender como parar a Red Team ou potenciais atacantes reais.

 

 

Conclusão

O Teste de Penetração baseado em ameaças da DORA é um passo em frente na forma como as instituições financeiras abordam a avaliação de cibersegurança. É também o mais próximo que já estivemos de garantir os mais elevados níveis de proteção nos setores bancário e financeiro, especialmente na Europa.


Este exercício de Red Team em larga escala requer planeamento meticuloso, coordenação entre múltiplos intervenientes e colaboração com parceiros experientes em cibersegurança, que podem ajudar em cada passo do processo. Os nossos pentesters e red teamers podem contribuir não só com a sua experiência em trabalhar com múltiplas instituições financeiras ao longo dos anos, mas também com a forma como interagem com o cliente, estabelecem canais claros de comunicação e gerem riscos.


Os benefícios de realizar TLPT são claros: devem ser vistos não apenas como um exercício de conformidade, mas também como uma oportunidade para fortalecer a ciber-resiliência das entidades financeiras, melhorar a gestão de vulnerabilidades, as capacidades de deteção e resposta, contribuindo em última análise para um ecossistema financeiro mais seguro e estável.
Lead Red Teamer a meio da realização de um teste de penetração baseado em ameaças para uma instituição financeira
O nosso serviço TLPT
Como funciona este exercício de Red Team em larga escala e como pode ajudar as entidades financeiras a melhorarem a sua postura de cibersegurança?
Descobrir mais
Partilha este artigo