Wat is Threat Led Penetration Testing en waarom vereist DORA het?
De nieuwe DORA-richtlijn schrijft voor dat financiële bedrijven hun beveiliging regelmatig moeten testen. Wat is TLPT en hoe werkt het?
... > DORA > Wat is Threat Led Penetration Testing en waarom vereist DORA het?
Waarom vereist DORA pentesting?
De naam van de Digital Operational Resilience Act geeft eigenlijk al aan waarom DORA pentesting vereist, zegt Michael Schouwenaar, cybersecurityspecialist bij Secura: 'Het einddoel van DORA is het verhogen van de digitale weerbaarheid van de financiële sector in de EU. Een van de manieren om dat te doen is door middel van testen.'
Artikel 24 en 25 van de DORA-tekst specificeren een aantal verschillende eisen als het gaat om pentesting. De wet verplicht financiële instellingen om jaarlijks pentesting uit te voeren. Dit is iets wat grote banken natuurlijk al doen. DORA vereist ook eens in de drie jaar Threat Led Penetration testing', zegt Schouwenaar. Aangewezen autoriteiten zullen toezicht houden op deze vereisten in de verschillende lidstaten.
Wat is TLPT?
'Threat Led Penetration Testing, of TLPT, betekent testen vanuit een realistisch perspectief', zegt Schouwenaar, die veel ervaring heeft met pentesting en Red Teaming. 'Het doel van TLPT is om te testen hoe huidige bedreigingen kritieke bedrijfsfuncties kunnen beïnvloeden. Daarbij maak je gebruik van actuele en relevante dreigingsinformatie. Stel, een nieuwe vorm van phishing wordt steeds populairder. Je definieert dan een scenario waarin die bedreiging is geïntegreerd, in overleg met de bevoegde autoriteit. Dan test je of een bedrijf weerbaar is tegen deze bedreiging.' Van tevoren moeten zo min mogelijk mensen op de hoogte zijn van de test.
Michael Schouwenaar
Cybersecurity specialist
Secura
Het belangrijkste verschil tussen Threat Led Penetration Testing en normale pentesting is de scope: TLPT omvat de hele organisatie, pentesting omvat over het algemeen maar één deel.
Wat is het verschil tussen TLPT en TIBER?
DORA is in grote lijnen gebaseerd op het bestaande TIBER-kader, legt Schouwenaar uit. Toch zijn er een paar verschillen.
- De toezichthouders zijn in TIBER specifieker gedefinieerd dan in DORA. DORA geeft lidstaten in dit opzicht meer vrijheid.
- TIBER staat intern testen niet toe; DORA wel - zij het onder een paar voorwaarden. Interne TLPT mag slechts in twee van elke drie TLPT-rondes; de derde keer moet een externe partij de TLPT uitvoeren. In alle gevallen moet de dreigingsinformatie die wordt gebruikt voor interne TLPT worden geleverd door een externe partij.
- Purple Teaming wordt sterk aanbevolen door TIBER-EU, maar is niet verplicht. Onder DORA is Purple Teaming wel verplicht. Dit betekent dat het samenwerken met en trainen van het Blue Team, of de verdedigers van een bedrijf, is geïntegreerd in de DORA-wetgeving. Vaak gebeurt dit aan het einde van de oefening.
Op de lange termijn zullen TIBER en DORA volledig op elkaar worden afgestemd.
Hoe verschilt Threat Led Penetration Testing van normale pentesting?
Het belangrijkste verschil tussen TLPT en normale pentesting is de scope, zegt Schouwenaar: 'Bij TLPT is de scope de volledige organisatie. Bij normale pentesting is de scope meestal een systeem of een deel van een omgeving. Normale pentesting richt zich op technische aspecten; TLPT houdt ook rekening met procedures en mensen. Een ander verschil is dat bij normale pentesting de stakeholders op de hoogte zijn van de test. Bij TLPT zijn de meeste stakeholders dat niet.
De grotere scope betekent dat Threat Led Penetration Testing complexer is, vooral als er veel derde partijen bij betrokken zijn. Het duurt ook langer dan normale pentesting, zegt Schouwenaar: 'De uitvoering van TLPT kan wel drie tot vier maanden duren, verspreid over een langere periode.'
TLPT definitie van DORA
Artikel 3.17 van DORA: 'threat led penetration testing (TLPT)' is een kader waarin de tactiek, technieken en procedures van levensechte, als een reële cyberdreiging ervaren dreigingsactoren worden nagebootst en waarin een gecontroleerde, op maat gesneden, door inlichtingen gestuurde (red team) test van de kritieke reëel bestaande productiesystemen van de financiële entiteit wordt voorgebracht.
Moet ik een derde partij inhuren voor TLPT of mag ik het zelf doen?
DORA staat interne testers toe om Threat Led Penetration Testing voor de eigen organisatie uit te voeren. Er zijn wel een paar voorwaarden.
- Eén op de drie TLPT-sessies moet worden uitgevoerd door een externe partij. In de praktijk betekent dit dat een organisatie sowieso ongeveer eens in de tien jaar een onafhankelijke testpartij moet inhuren.
- Alle dreigingsinformatie die interne testers gebruiken voor TLPT moet worden aangeleverd door een externe, onafhankelijke partij.
Hoe voert Secura TLPT uit?
TLPT lijkt erg op Red Teaming, benadrukt Schouwenaar, en dit is iets waar Secura veel ervaring mee heeft, zegt Schouwenaar: 'In 2023 hebben we zo'n 30 Red Teaming-projecten uitgevoerd, voor allerlei organisaties, waaronder financiële bedrijven.'
Meer Informatie
Wilt u meer informatie over Threat Led Penetration Testing voor uw organisatie? Vul het formulier in en we nemen binnen één werkdag contact met u op.
Over Secura
Secura is een toonaangevend bedrijf op het gebied van cyberbeveiliging. Onze klanten variëren van overheid en zorg tot financiën en industrie. Secura biedt technische diensten aan, zoals vulnerability assessments, penetratietesten en Red Teaming. We bieden ook certificering voor IoT en industriële omgevingen, evenals audits, forensische diensten en awarenesstrainingen.
Ons doel is om uw cyberweerbaarheid te vergroten. Wij zijn een Bureau Veritas-bedrijf. Bureau Veritas (BV) is een beursgenoteerde onderneming die gespecialiseerd is in testen, inspecteren en certificeren. BV is opgericht in 1828, heeft ruim 80.000 medewerkers en is actief in 140 landen. Secura is de hoeksteen van de cyberbeveiligingsstrategie van Bureau Veritas.