A cibersegurança deve ser uma prioridade para as empresas do setor financeiro, devido à sua criticidade e ao impacto potencial de incidentes de segurança, tanto para os clientes como para o setor como um todo.

 

As organizações europeias que se enquadram nesses critérios não podem ignorar o Threat Intelligence-based Ethical Red Teaming (TIBER-EU), um framework de referência criado pelo Banco Central Europeu (BCE) que define como os testes Red Team devem ser realizados.

 

Vamos explorar os principais aspetos deste framework.

 

 

O que é o TIBER-EU?

De forma simples, o TIBER-EU fornece orientações sobre como replicar as técnicas e procedimentos de atacantes reais, com base em inteligência de ameaças, para testar e melhorar a ciber-resiliência das organizações. Um teste Red Team bem realizado deve revelar os pontos fortes e fracos de uma entidade, conduzindo a medidas corretivas específicas e eficazes.


O TIBER-EU pode ser adotado a nível nacional ou por instituições e autoridades da UE. A participação das entidades no processo de testes TIBER-EU pode ser voluntária ou obrigatória, dependendo do seu tamanho, complexidade e alcance. Apesar de ter sido desenvolvido com o setor financeiro em mente, este framework também pode ser aplicado a outros setores (ex.: telecomunicações), o que o torna agnóstico em relação a entidades e setores.

 

 

Quem está envolvido?

A implementação do TIBER-EU é um processo com vários intervenientes que envolve diretamente:

  • Entidades obrigadas a realizar testes TIBER-EU
    Bancos, agências de notação de crédito, bolsas de valores, companhias de seguros ou qualquer outro prestador de serviços financeiros críticos.

  • Autoridades responsáveis pela supervisão dos testes
    Bancos centrais, autoridades de supervisão, agências de inteligência, ministérios relevantes, entre outros.

  • Fornecedores de serviços de Inteligência de Ameaças e Red Team
    Prestadores independentes que realizam os testes.

 

 

6 objetivos principais

De acordo com o BCE, o TIBER-EU procura alcançar os seguintes objetivos:

  1. Reforçar a ciber-resiliência das entidades e do setor financeiro como um todo.
  2. Uniformizar o modo como as entidades realizam testes Red Team baseados em inteligência em toda a União Europeia (UE).
  3. Orientar as autoridades sobre como estabelecer, implementar e gerir testes Red Team a nível nacional ou europeu.
  4. Apoiar testes Red Team transfronteiriços baseados em inteligência para entidades multinacionais.
  5. Facilitar discussões de supervisão, nas quais as autoridades dependam das avaliações realizadas com o TIBER-EU.
  6. Criar um protocolo para colaboração transfronteiriça, partilha de resultados e análise.

 

 

O processo de testes TIBER-EU

O framework TIBER-EU inclui três fases obrigatórias:

  1. Preparação
    Envolve determinar as equipas e os especialistas responsáveis pela gestão do teste, definir o âmbito do teste e selecionar os fornecedores de serviços de Inteligência de Ameaças e Red Team.

  2. Testes
    Inclui a fase de inteligência de ameaças, o subsequente relatório de Inteligência de Ameaças (Targeted Threat Intelligence report - TTI report) e o teste Red Team propriamente dito.

  3. Encerramento
    Verifica-se quando o fornecedor Red Team entrega um relatório com todas as descobertas e resultados, bem como recomendações para melhoria. Depois, é responsabilidade da entidade trabalhar num plano de remediação.

 

Representation of the TIBER-EU process

Representação do processo TIBER-EU, segundo o Banco Central Europeu

 

 

Riscos dos testes TIBER-EU

Dada a criticidade dos sistemas e processos alvo, existem certos riscos associados à realização de um teste TIBER-EU, nomeadamente:

  • Incidente de Denial of Service (DoS).
  • Crash ou dano no sistema.
  •  Perda ou fuga de dados

 

É por isso que o framework TIBER-EU enfatiza a necessidade de uma avaliação de riscos antes do teste, acompanhada por uma estratégia sólida de gestão de riscos ao longo de todo o processo.

 

 

A que serviços se aplica?

O framework TIBER-EU orienta dois dos mais importantes serviços de cibersegurança disponíveis para instituições críticas, especialmente no setor financeiro:

  • Red Teaming
    Avaliação de cibersegurança em que uma equipa de hacking ético simula um ataque completo contra uma empresa, explorando vulnerabilidades técnicas ou humanas que possam permitir o acesso a ativos ou informações específicas. O objetivo é expor falhas na estratégia de segurança de uma organização e fornecer recomendações para melhorá-la.

  • Testes de Penetração Baseados em Ameaças (TLPT – Threat-Led Penetration Testing)
    Um exercício Red Team em larga escala, especificamente desenhado para o setor financeiro, que simula um ataque abrangente aos ativos, sistemas e processos de uma organização, com o objetivo de identificar e corrigir vulnerabilidades de segurança. O objetivo é melhorar a ciber-resiliência de entidades financeiras críticas, cuja disrupção poderia causar falhas sistémicas globais.

 

 

Conclusão

Guiado pelo ambicioso objetivo de reforçar a ciber-resiliência das instituições financeiras na Europa, o framework TIBER-EU assenta em três pilares principais:

  1. Inteligência de ameaças.
  2. Red Teaming ético.
  3. Colaboração entre diferentes partes interessadas no setor financeiro.

 

Trata-se de uma abordagem abrangente que serve como referência para serviços críticos como Red Teaming e Testes de Penetração baseados em ameaças. As organizações que implementam o teste TIBER-EU estão mais bem preparadas para enfrentar ameaças cibernéticas, proteger as suas operações empresariais e os dados dos seus clientes.
Especialista de Red Team a analisar vulnerabilidades de segurança
Red Teaming para antecipar o movimento dos atacantes
A nossa equipa de pentesters utiliza técnicas ofensivas usadas por atacantes reais para expor vulnerabilidades na estratégia de segurança de uma organização, que precisam de ser resolvidas.
Descobrir mais
Partilha este artigo