Aceasta este ideea de bază din spatele testării penetrării bazate pe amenințări (TLPT). Și este printre cele mai discutate probleme pe care le-am avut cu colegii mei directori de securitate a informațiilor (CISO) în legătură cu Legea privind reziliența operațională digitală (DORA) a Uniunii Europene.
Urmând să intre în vigoare pe 25 ianuarie 2025, DORA va impune ca orice furnizor terț critic care furnizează servicii legate de tehnologia informației și comunicațiilor (TIC) să fie supus unui TLPT pentru a-și testa securitatea cibernetică și reziliența organizațională.
Testarea penetrării bazată pe amenințări
TLPT este o modalitate de a testa la stres pregătirea cibernetică și reziliența organizațională a unei organizații. Procesul permite companiilor să își vadă propriile organizații prin ochii actorilor rău intenționați care încearcă să le atace. Companiile pot apoi căuta zonele din categoriile lor de afaceri respective cele mai vulnerabile la atacuri.
Atacatorii pot include o echipă internă desemnată sau o terță parte angajată pentru a efectua atacul. Mai mult, TLPT este o practică obișnuită întreprinsă de multe companii, adesea impusă prin obligații contractuale față de clienții lor. Este o strategie eficientă și dovedită pentru descoperirea vulnerabilităților de securitate.
Și este important să existe atât testeri interni, cât și externi. Susținem existența unei a doua perechi de ochi imparțiali pentru a ajuta la găsirea vulnerabilităților înainte ca rău intenționați să le localizeze primii. Îi invităm chiar pe testeri să încerce să pirateze organizația noastră folosind orice mijloace disponibile – phishing, furt de IP, injectare de malware. Și dacă nu par să ajungă nicăieri, vom merge mai departe și le vom oferi câteva indicii de urmărit pentru a vedea dacă ajung undeva cu aceste indicii. Concluzia este că vrem să creăm scenarii de atac suficient de puternice pentru a oferi teste reale apărării noastre cibernetice.
De ce DORA impune TLPT
Scopul DORA este de a consolida securitatea cibernetică și reziliența digitală a sectorului financiar european. UE dorește să se asigure că un furnizor TIC critic pentru una dintre aceste instituții financiare nu poate reprezenta o amenințare care ar putea distruge instituția respectivă sau ar putea duce la o cascadă care amenință întregul sector financiar european. De aceea, DORA impune ca autoritățile de reglementare din UE să efectueze teste de penetrare bazate pe amenințări la fiecare trei ani asupra acestor instituții și a furnizorilor lor TIC critici. Rămân însă întrebări cu privire la domeniul de aplicare, momentul și detaliile testelor.
Privind printr-o sticlă întunecată
O provocare este că organizațiile încă nu știu dacă vor fi considerate critice de către UE. Specificațiile tehnice și criteriile pentru ceea ce va fi considerat critic nu sunt încă finalizate. Și dacă sunt considerate critice, este, de asemenea, neclar exact ce elemente ale operațiunilor lor vor trebui întreprinderile să supună testării TLPT. Această incertitudine se adaugă la costurile potențiale, resursele și perturbările generale ale afacerilor pe care le poate crea TLPT.
De obicei, ceea ce preferăm să numim „testarea stiloului inteligent” se limitează la aspecte specifice ale unei afaceri. Însă UE ar putea decide să extindă acest obiectiv. Acest lucru ar putea cauza dificultăți semnificative pentru organizațiile care ar putea să nu aibă resursele necesare pentru a răspunde cerințelor de testare. Cu cât timpul necesar este mai lung, cu atât costurile și resursele sunt mai mari.
În ceea ce privește metodologia de testare TLPT, calea de urmat este, de asemenea, opacă. UE pare să aibă o preferință clară pentru a se baza pe Cadrul european pentru colaborarea etică în echipă (TIBER-EU) bazată pe informații despre amenințări ca metodologie standard TLPT. Există însă unele probleme cu această abordare, începând cu faptul că există un număr limitat de testeri TIBER certificați disponibili pentru a efectua aceste teste.
Având în vedere numărul mare de teste, este posibil ca UE să permită altor organizații de testare certificate TLPT, cu metodologii de testare precum TIBER, să efectueze testele. Dar, din nou, acest lucru nu este o certitudine. O altă posibilitate este ca UE să accepte teste de penetrare anterioare deja efectuate în locul unora noi.
Broadcom și TLPT
La Broadcom, avem o mare experiență cu TLPT. După cum am menționat mai sus, efectuăm teste de penetrare în întreaga noastră organizație. Nu doar testăm pe baza infrastructurii noastre, ci și teste de detectare a impactului asupra unor produse specifice, în special pe partea de software.
Datorită experienței noastre cu TLPT și propriilor pregătiri pentru DORA — inclusiv colaborarea strânsă cu Ilias Chantzos, responsabil global pentru confidențialitate la Broadcom și șeful departamentului de afaceri guvernamentale EMEA, precum și autorul multor bloguri fascinante și informative din seria noastră DORA — Broadcom a dobândit o înțelegere solidă a impactului preconizat al DORA și este bine poziționată pentru a-și sprijini clienții în timp ce navighează prin această problemă de conformitatecălătorie. Responsabililor CISO le sugerăm același sfat pe care îl dăm întotdeauna: Pentru a fi cât mai bine pregătit, sperați la ce e mai bun, dar pregătiți-vă pentru ce e mai rău.
SolvIT Networks este partener strategic pentru Europa Centrală și de Est al Broadcom.
