Testes de Penetração baseados em ameaças

Um exercício de Red Team para instituições financeiras

O Teste de Penetração baseado em ameaças (TLPT - Threat-Led Penetration Testing) é um exercício de Red Team altamente sofisticado que a Alter Solutions disponibiliza para ajudar as entidades financeiras a avaliar e a melhorar a sua resiliência em cibersegurança, e a cumprir com o regulamento DORA da UE.

 

Falar com um especialista

Pentesters e Red Teamers a meio da realização de um teste de penetração baseado em ameaças para uma instituição financeira

A Alter Solutions é um prestador de serviços de auditoria de segurança de sistemas de informação certificado pela Agência Nacional Francesa de Cibersegurança (ANSSI), uma das mais prestigiadas autoridades de cibersegurança da Europa.


Esta certificação atesta a competência e a fiabilidade dos nossos auditores para efetuar auditorias de segurança nos seguintes âmbitos:

  • Auditoria organizacional
  • Auditoria de arquitetura
  • Auditoria de configuração
  • Auditoria de código
  • Testes de penetração / Pentesting
A qualificação PASSI é um visto de segurança emitido pela ANSSI (Agência Nacional Francesa de Cibersegurança)

O que é o TLPT?

Auditor de segurança a analisar o sistema e os processos de uma empresa

Especificamente concebido para o setor financeiro, o Teste de Penetração baseado em ameaças (TLPT – Threat-Led Penetration Testing) é um exercício de Red Team em larga escala que simula um ataque real a ativos, sistemas e processos, com base no panorama atual de ameaças, de modo a avaliar a postura de cibersegurança e a resiliência de organizações-chave no nosso sistema financeiro.


Estas entidades são mais propensas a serem alvo de ciberataques que procuram causar falhas sistémicas, razão pela qual necessitam de um tipo de auditoria de segurança mais avançado, de que empresas de outros setores não necessitam.


O TLPT é exigido pelo menos a cada 3 anos pela Lei de Resiliência Operacional Digital (DORA), que afeta muitas entidades financeiras, nomeadamente instituições de crédito e de pagamento. Estes testes são compatíveis com o framework TIBER-EU, criado pelo Banco Central Europeu (BCE) para fornecer orientações sobre Red Teaming ético baseado em inteligência de ameaças.

“Teste de Penetração baseado em ameaças (TLPT) significa um framework que replica as táticas, técnicas e procedimentos de verdadeiros atores de ameaças considerados uma ameaça cibernética legítima, que fornece um teste controlado e personalizado, baseado em inteligência (red team), dos sistemas críticos em funcionamento da entidade financeira.”
– Definição da DORA (Artigo 3(17))

Principais intervenientes do TLPT

Equipa Cyber TLPT

A equipa interna dentro da autoridade/regulador TLPT que supervisiona o teste e garante que o mesmo segue as regras TLPT.

Equipa de Controlo

A equipa interna da entidade financeira que gere o processo TLPT a partir do interior.

Blue Team

A equipa interna de segurança defensiva responsável por proteger a entidade financeira contra ameaças cibernéticas. Não deve estar ciente de que um TLPT está a decorrer.

Fornecedor de Inteligência de Ameaças

Especialistas externos responsáveis por recolher e analisar dados e cenários de ameaças, com base em fontes fidedignas.

Red Team

Os testers – externos e/ou internos à entidade financeira – que realizam o TLPT.

As 5 fases do TLPT

O regulamento DORA define cinco etapas principais no processo de teste, que devem ser concluídas:

#1

Preparação

O cliente deve completar uma série de tarefas antes de contactar um fornecedor de serviços TLPT, como definir canais de comunicação dentro da equipa de controlo, selecionar um fornecedor de inteligência de ameaças, preparar um documento de especificação do âmbito, entre outras coisas. Depois, se a empresa decidir recorrer a testers externos, definem conjuntamente objetivos e analisam medidas de gestão de risco, antes de avançar para as fases seguintes.

#2

Inteligência de Ameaças

A equipa da Alter Solutions tenta recolher o máximo de informação possível sobre a empresa, o alvo/âmbito selecionado, e identifica ameaças cibernéticas e vulnerabilidades que poderiam potencialmente afetar a entidade financeira. Depois, propõem diferentes cenários de ataque ao cliente – pelo menos três devem ser selecionados para avançar. Esta fase pode durar um a dois meses.

#3

Teste Red Team

Esta é a fase real do ataque, onde o TLPT é realizado durante, pelo menos, 12 semanas, dependendo da escala, âmbito e complexidade da organização.

Os cenários de ataque previamente aprovados podem ser executados em sequência ou em simultâneo.

#4

Encerramento

No prazo de 4 semanas após o fim da fase de teste Red Team, o fornecedor do teste deve submeter ao cliente um relatório detalhado do exercício. Depois, deve realizar-se um exercício de reprodução no prazo de 10 semanas, onde tanto os testers como a Blue Team do cliente reveem as ações ofensivas e defensivas do TLPT, para fins de aprendizagem. Por último, todas as partes envolvidas devem fornecer feedback umas às outras sobre o processo TLPT, e a entidade financeira deve submeter um relatório oficial que resuma as conclusões do TLPT.

#5

Plano de Remediação

No prazo de 8 semanas após a notificação oficial de encerramento, a entidade financeira deverá fornecer um plano de remediação à autoridade TLPT, contendo uma descrição das vulnerabilidades identificadas, medidas de remediação propostas, uma análise da causa raiz, quem é responsável por cada medida dentro da organização, e os riscos de não implementar esse plano.

Especialista em threat intelligence a trabalhar no relatório de informações sobre ameaças

Consultar o regulamento DORA aqui para ler os detalhes de cada uma das fases do TLPT

Quem é obrigado a realizar TLPT?

Embora a DORA vise todo o setor financeiro, os TLPT são obrigatórios apenas para entidades financeiras com:
Serviços/atividades que impactam o setor financeiro
Preocupações de estabilidade financeira, a nível nacional ou europeu
Um perfil de risco específico, relacionado com o seu nível de maturidade e características tecnológicas envolvidas
Isto inclui todas as instituições financeiras sistémicas a nível global*, nomeadamente:
  • Instituições de crédito
  • Instituições de pagamento
  • Instituições de moeda eletrónica
  • Centrais de valores mobiliários
  • Contrapartes centrais
  • Plataformas de negociação
  • Empresas de seguros e resseguros

*Instituições que cumprem critérios específicos identificados no regulamento DORA.

Membro da equipa de segurança de uma instituição financeira a monitorizar o tráfego da rede

As regras do TLPT

Pentester a preparar a intrusão inicial de um teste de penetração baseado em ameaças
Um TLPT deve cumprir vários requisitos definidos pela DORA, como:
  • Ser realizado pelo menos a cada 3 anos.
  • Cobrir várias ou todas as funções críticas ou importantes de uma entidade financeira.
  • Ser realizado em sistemas de produção em funcionamento.
  • Cobrir toda a superfície de ataque: superfície física (intrusões nas instalações), superfície humana (ameaças direcionadas a pessoas, como engenharia social), e superfície digital (todos os ativos digitais que podem ser impactados por um ciberataque).
  • Aplicar medidas eficazes de gestão de risco para mitigar potenciais impactos em dados, ativos, serviços ou operações

A importância do TLPT

_-2-1 _-2
Maximizar a ciber-resiliência

As organizações obtêm uma avaliação realista da sua capacidade de resposta a ameaças cibernéticas, o que lhes permite abordar vulnerabilidades específicas e ajustar as suas estratégias de segurança em linha com os métodos realmente utilizados pelos atacantes.

Group 615-1 Group 615
Melhorar a proteção de dados e a confiança dos clientes

Ao cobrir todos os pontos fracos nas suas estratégias de segurança, as instituições financeiras conseguem proteger melhor os dados dos clientes e, consequentemente, reforçar a confiança dos mesmos.

Group 640-1 Group 640-2
Garantir conformidade com a DORA

O regulamento DORA exige que as entidades financeiras críticas realizem TLPT, pelo que uma organização que o consegue fazer destaca-se pelo seu compromisso e participação ativa no combate ao cibercrime e na proteção da infraestrutura financeira global.

Group 646-3 Group 646-1
Evitar danos financeiros e reputacionais

O não cumprimento dos requisitos DORA pode levar a penalizações e multas significativas, para não mencionar todos os danos financeiros e reputacionais que podem advir de uma violação de dados ou ciberataque.

Group 642-1 Group 642-2
Promover a aprendizagem das equipas de segurança

As equipas internas de segurança (Blue teams) podem aprender muito com um exercício de Red Teaming como o TLPT e melhorar as suas capacidades de gestão de vulnerabilidades e resposta a incidentes para ocasiões futuras.

Group 612 Group 612-1
Proteger o ecossistema financeiro global

Se todas as instituições financeiras globalmente sistémicas melhorarem a sua postura de segurança, então o setor financeiro global está tão protegido quanto possível.

Somos certificados

Outros serviços de Auditoria de Cibersegurança e Pentest

Porquê a Alter Solutions?

Group 639-1 Group 639
18 anos de experiência

A Alter Solutions foi fundada em Paris, em 2006, e desde então tem-se focado na transformação digital. Estamos presentes em 8 países na Europa, América e África, e somos parceiros de segurança de empresas nos setores da indústria, serviços, finanças, seguros, transportes e tecnologia há mais de 10 anos.

Group 640-May-02-2024-02-48-12-6081-PM Group 640-4
Flexibilidade e abordagem centrada no cliente

Fornecemos um nível de serviço adaptado às necessidades do cliente, que pode ir até uma proteção 24 horas por dia, 7 dias por semana. Temos um forte historial em diferentes setores e tecnologias, e a nossa abordagem aos serviços de IT é tecnologicamente agnóstica - o que conta é o que é certo para cada cliente.

Group 616-1 Group 616
A privacidade como valor fundamental

Tanto os dados das empresas como os dos seus clientes estão seguros connosco. Os nossos especialistas atuam na União Europeia (UE), o que significa que cumprimos integralmente o Regulamento Geral de Proteção de Dados (RGPD).

Group 638 Group 638-1
Principais certificações

Detemos certificações de segurança relevantes como PASSI, ISO 27001 e CSIRT. Os nossos especialistas também são certificados com OSCP, OSCE, GXPN e CRTM.

Os nossos artigos

Os nossos Case Studies

FAQ

Temos mais de 10 anos de experiência na realização de diferentes tipos de pentesting e exercícios de red teaming para os setores bancário, financeiro e segurador. Temos um profundo conhecimento do framework TIBER-EU, e complementamos isso com grande conhecimento em abordagens defensivas de cibersegurança.

A nossa vasta experiência também nos permite minimizar a disrupção operacional ao realizar um exercício TLPT, porque conhecemos os riscos que advêm da exploração de vulnerabilidades específicas e mantemos uma linha de comunicação aberta com o cliente para decidir o que fazer em tais circunstâncias.

Sim. Para proteger os dados dos clientes, a Alter Solutions garante as seguintes medidas:

  1. Utilização de computadores portáteis com “hardening”, para que em caso de roubo ou intrusão os dados que temos sobre os nossos clientes não sejam acessíveis.
  2. Utilização de canais de comunicação encriptados para todas as trocas que possam ser críticas. Por exemplo: informação recolhida durante a fase de inteligência de ameaças; relatório final com as vulnerabilidades detetadas; dados pessoais dos utilizadores.
  3. Eliminação de todos os dados do cliente após a conclusão do exercício TLPT. Enviamos ao cliente um documento que certifica que eliminámos toda a informação recolhida durante o processo de teste.

Variam muito de exercício para exercício, dependendo do que é encontrado durante a fase de inteligência de ameaças. Algumas estratégias comuns que poderiam ser utilizadas para iniciar um Teste de Penetração baseado em ameaças são engenharia social (por exemplo, ataques de phishing), intrusões físicas, ou a exploração de vulnerabilidades técnicas.

Não na forma como é realizado, mas apenas no tempo despendido na fase de inteligência de ameaças. Recordemos que o TLPT é especificamente concebido para instituições financeiras críticas, pelo que nunca terá de ser ajustado para pequenas ou médias empresas. Se entidades como essas procuram uma auditoria de segurança abrangente, então as abordagens convencionais de Red Teaming ou Pentesting são mais adequadas.

Principalmente os passos iniciais da fase de preparação, onde o cliente tem de selecionar o fornecedor de inteligência de ameaças e os testers (internos, externos ou ambos), definir canais e processos de comunicação, e preparar o documento de especificação do âmbito.

No final, o plano de remediação também é da responsabilidade da instituição financeira – o fornecedor TLPT simplesmente fornece o relatório de teste com recomendações para corrigir vulnerabilidades técnicas, mas depois o cliente decide como colocar isso em termos práticos.

Sim, mas os membros atribuídos a cada equipa devem ser diferentes e atuar de forma independente. Se a instituição financeira utiliza testers internos, então o fornecedor de inteligência de ameaças deve ser externo.

Solicitar uma reunião

Preenche o nosso formulário de contacto e a nossa equipa dedicada a cibersegurança entrará em contacto no prazo de 24 horas.

Podes também enviar-nos um e-mail com mais informações sobre o teu projeto e os respetivos requisitos.

 

hello.portugal@alter-solutions.com