Che cos'è il Threat Led Penetration Testing e perché DORA lo richiede?

Perché la DORA richiede il pentesting?

Il nome della Legge sulla Resilienza Operativa Digitale mostra in realtà perché la DORA richiede il pentesting, dice Michael Schouwenaar, specialista in cybersecurity di Bureau Veritas Cybersecurity: 'L'obiettivo finale della DORA è quello di aumentare la resilienza digitale del settore finanziario nell'UE. Uno dei modi per farlo è il test".

Gli articoli 24 e 25 del testo DORA specificano alcuni requisiti diversi quando si tratta di pentesting. La Legge richiede agli istituti finanziari di effettuare un pentesting annuale. Si tratta di qualcosa che le grandi banche sono già tenute a fare, per formazione. La DORA richiede anche che vengano eseguiti dei test di penetrazione a livello di minaccia una volta ogni tre anni", afferma Schouwenaar. Le autorità designate supervisioneranno questi requisiti nei diversi Stati membri.

Che cos'è esattamente il TLPT?

'Threat Led Penetration Testing, o TLPT, significa testare da una prospettiva realistica', dice Schouwenaar, che ha una vasta esperienza nel pentesting e nel Red Teaming. L'obiettivo del TLPT è verificare come le minacce attuali possano avere un impatto sulle funzioni aziendali critiche. Come base per questi test, si utilizzano informazioni aggiornate e pertinenti sulle minacce. Ad esempio: una nuova forma di Phishing potrebbe essere sempre più diffusa. Si definisce quindi uno scenario che integra questa minaccia, in consultazione con l'autorità competente, e si verifica se l'azienda è resistente a questa minaccia. Il minor numero possibile di persone dovrebbe essere a conoscenza del test in anticipo.'

Qual è la differenza tra il TLPT e il quadro TIBER?

Il regolamento DORA è stato ampiamente modellato sul quadro TIBER esistente, spiega Schouwenaar. Tuttavia, ci sono alcune differenze.

1. I regolatori sono definiti in modo più specifico in TIBER che in DORA. DORA offre agli Stati membri una maggiore libertà in questo senso.
2. I test interni non sono consentiti in TIBER, ma sono consentiti in DORA - con alcune condizioni. Il TLPT interno è consentito solo due volte su tre; la terza volta deve essere eseguito da un soggetto esterno. In tutti i casi, anche l'intelligence sulle minacce utilizzata per la TLPT interna deve essere fornita da un soggetto esterno.
3. Il Purple Teaming è fortemente raccomandato da TIBER-EU, ma non è obbligatorio. Secondo DORA, il Purple Teaming è obbligatorio. Ciò significa che la collaborazione e la formazione del Blue Team, o dei difensori di un'azienda, è integrata nel regolamento DORA. Spesso questo viene fatto alla fine dell'esercitazione.

A lungo termine, TIBER e DORA saranno completamente allineati.

In che modo il Threat Led Penetration Testing è diverso dal normale pentesting?

La differenza principale tra il TLPT e il pentesting normale è l'ambito, dice Schouwenaar: 'Con il TLPT l'ambito è l'intera organizzazione. Con il pentesting normale, l'ambito è generalmente un sistema o una parte di un ambiente. Il pentesting normale si concentra sugli aspetti tecnici; il TLPT prende in considerazione anche le procedure e le persone. Un'altra differenza è che con il pentesting normale gli stakeholder sono consapevoli del test. Con il TLPT la maggior parte delle parti interessate non lo sono.

L'ambito più ampio significa che il Threat Led Penetration Testing è più complesso, soprattutto se sono coinvolte molte terze parti. Inoltre, richiede più tempo rispetto al pentesting normale, dice Schouwenaar: 'L'esecuzione del TLPT può richiedere da tre a quattro mesi, distribuiti su un periodo di tempo più lungo'.

Devo assumere una terza parte per il TLPT o posso farlo da solo?

DORA consente ai tester interni di condurre Threat Led Penetration Testing di un'organizzazione. Tuttavia, ci sono alcune condizioni.

• Una sessione di TLPT su tre deve essere condotta da una parte esterna. In pratica, ciò significa che è necessario assumere un gruppo di test indipendente una volta ogni dieci anni circa.
• Qualsiasi intelligence sulle minacce utilizzata per il TLPT deve essere fornita da una parte esterna e indipendente.

Come Bureau Veritas Cybersecurity conduce il TLPT?

Il TLPT è molto simile al Red Teaming, sottolinea Schouwenaar, e si tratta di un'attività in cui Bureau Veritas Cybersecurity ha una vasta esperienza, afferma Schouwenaar: 'Nel 2023 abbiamo eseguito circa 30 progetti di Red Teaming, per tutti i tipi di organizzazioni, comprese le società finanziarie'.