Ervaring
Onze ervaring
De specialisten van Digital Security Instituut zijn betrokken geweest bij het organiseren van meerdere TLPT en Tiber tests. Het is een intensief traject van "hollen en stilstaan" wat in het geheim plaatsvindt. Grote instellingen beschikken over interne medewerkers welke de functie van Control Team (of White Team) op kunnen nemen. Als u deze luxe niet heeft, komt er veel kijken bij het plannen en organiseren van een TLPT (naast de normale business die door moet draaien). Wij kunnen u in de verschillende fases van de test ondersteunen.
TLPT proces
Een Threat Led Penetration Test is een zeer realistische gesimuleerde aanval op uw organisatie. De test dient op live productiesystemen plaats te vinden, waarbij zo min mogelijk medewerkers in de organisatie van de test afweten (om de normale detectie en response mechanismen te kunnen testen). De test scenario's worden gekozen op basis van de vastgestelde Critical & Important Functions en op verzamelde dreigingsinformatie (Threat Intel). De toezichthouder is sterk betrokken, in elke fase van de test.
Samengevat beslaat een TLPT drie fases:
1. Voorbereiding: Nadat een melding is ontvangen, moeten binnen drie maanden test plannen worden opgeleverd aan de toezichthouder, inclusief een risico analyse van het testen op live productiesystemen (welke kritieke en belangrijke functies ondersteunen). Na goedkeuring van de toezichthouder, worden Threat Intel en Test leveranciers gecontracteerd en moet een scope document worden opgeleverd (binnen 6 maanden). Deze fase is essentieel voor een goede voorbereiding van de test, en ook om ervoor te zorgen dat aan de juiste voorwaarden is voldaan.
2. Test fase: Na goedkeuring van het scope document (door de toezichthouder), start de test fase, te beginnen met de Threat Intelligence. De TI provider kan algemene dreigingsbeelden gebruiken (zoals het One Financial Threat Landscape). Dit wordt aangevuld met specifieke dreigingsinformatie voor uw organisatie. Dit duurt zo'n 4 weken. Hierna kan een test plan worden opgesteld en start de actieve test fase. De test is proportioneel en afgestemd op bijvoorbeeld de scope, activiteit en complexiteit van de organisatie. In ieder geval moet de actieve test fase minstens 12 weken in beslag neemt.
3. Closing: Dit is de fase waarin de organisatie veel leert van de uitgevoerde test. De testers (red team) stellen het test rapport op, met uitgevoerde stappen. De "verdedigers" (het eigen SOC/CSIRT team) stelt ook een rapport op met welke detectie en response zij hebben uitgevoerd. Beide teams komen samen om de test na te spelen in de "Purple team" fase. Uiteindelijke dient de financiele instelling een remediation plan in, met een beschrijving van de bevindingen, root cause analyses en actieplannen om deze op te lossen. Indien de test volgens alle vereisten is uitgevoerd, zal de toezichthouder een attestation verstrekken (welke geldig is in alle EU lidstaten).
Hoe kunnen wij ondersteunen?
Digital Security Instituut kan u ondersteunen in de voorbereiding en begeleiding van een TLPT. Als onafhankelijke, externe partij kunnen wij de werkzaamheden op discrete wijze uitvoeren, in nauw overleg met u. Wij kunnen extern onderdeel uitmaken van uw control team, of deze ondersteunen waar dit nodig is.
.png)
