Il punto di vista di Cyber Academy
TLPT è l'esercizio di red team supervisionato dal regolatore, richiesto da DORA per le entità finanziarie significative. Basato sul framework TIBER-EU (Threat Intelligence-Based Ethical Red Teaming). Si estende su più mesi, è guidato dall'intelligence e supervisionato dall'autorità nazionale. Il test più rigoroso che un CISO si troverà ad affrontare, e quello che mette a nudo il SOC per quello che è realmente.
Che cos'è davvero il penetration test guidato dalla minaccia
Il penetration test guidato dalla minaccia è un esercizio di red team controllato condotto contro un'organizzazione in piena produzione, guidato da intelligence sulle minacce reale e supervisionato da un'autorità finanziaria. Il Digital Operational Resilience Act, DORA, ne fa un obbligo periodico per le entità finanziarie che un regolatore giudica sufficientemente significative da giustificarlo, e l'esercizio si fonda su TIBER-EU, il framework pubblicato dalla Banca Centrale Europea per il Threat Intelligence-Based Ethical Red Teaming.
La parola decisiva è guidato: il test non è un elenco generico di vulnerabilità, ma una campagna plasmata da chi attaccherebbe realisticamente questa azienda e in che modo. Un fornitore di intelligence sulle minacce profila l'entità, individua gli avversari plausibili e i loro metodi, e consegna al red team una serie di scenari. Il red team tenta quindi di compromettere funzioni critiche in produzione usando quegli scenari, esattamente come farebbe un attaccante reale.
Due proprietà separano il TLPT dal penetration test ordinario. Primo, prende di mira il parco in produzione reale e le persone e i processi che lo circondano, non una copia né una porzione delimitata, ragione per cui viene condotto secondo regole rigorose e da un piccolo team di controllo fidato. Secondo, è supervisionato. L'autorità nazionale competente e, ove pertinente, un team TIBER dedicato sono coinvolti nell'incarico, convalidando il perimetro, accreditando i tester e supervisionando come l'esercizio viene condotto. È questa supervisione a rendere il risultato credibile per un regolatore e non solo per l'azienda che lo ha commissionato.
Come si svolge un incarico TLPT
Un TLPT è un programma che si estende su più mesi, non una valutazione di una settimana, e si articola in fasi definite che il framework TIBER-EU stabilisce. Nella fase di preparazione, l'entità, il team di controllo e l'autorità concordano il perimetro, confermano quali funzioni critiche entrano in gioco e ingaggiano fornitori accreditati di intelligence sulle minacce e di red team.
Nella fase di test, il fornitore di intelligence produce un rapporto di targeting sull'entità, e il red team lo usa per eseguire scenari di attacco realistici contro le funzioni in produzione, spesso nell'arco di molte settimane, tentando di raggiungere obiettivi definiti senza essere fermato. Nella fase di chiusura, il red team, il blue team e il team di controllo si riuniscono per ricostruire quanto accaduto, concordare le risultanze e costruire un piano di rimedio.
Il dettaglio cruciale è che quasi nessuno all'interno dell'organizzazione sa che il test è in corso. I difensori, il centro operativo di sicurezza e i responder agli incidenti non vengono avvisati, perché tutto il senso è osservare come si comportano di fronte a una vera intrusione anziché a un'esercitazione programmata. Solo un team di controllo minuscolo ne è a conoscenza. È questo che fa del TLPT la misura più onesta di resilienza operativa che un CISO commissionerà, e quella che più affidabilmente espone il divario tra ciò che si crede faccia il SOC e ciò che esso realmente rileva sotto pressione.
TLPT, TIBER-EU e penetration test ordinario
| Dimensione | Penetration test standard | Penetration test guidato dalla minaccia (TLPT) |
|---|---|---|
| Motore | Perimetro predefinito e una checklist del tester | Intelligence sulle minacce su misura per l'entità specifica |
| Bersaglio | Spesso una copia di staging o un'applicazione delimitata | Funzioni critiche in produzione reale e le persone attorno a esse |
| Consapevolezza dei difensori | Di solito informati, a volte di supporto | Non informati, solo un piccolo team di controllo sa |
| Durata | Da giorni a poche settimane | Più mesi distribuiti su fasi definite |
| Supervisione | Interna, commissionata dall'azienda | Supervisionato dall'autorità nazionale secondo TIBER-EU |
| Innesco | Discrezionale o contrattuale | Un obbligo DORA per le entità significative designate |
È utile tenere chiara la relazione tra i termini. TIBER-EU è il framework, la metodologia e le fasi. Il TLPT è l'obbligo regolamentare ai sensi di DORA che adotta e richiama quel framework per le entità finanziarie rientranti nel perimetro. Un penetration test standard resta un'attività preziosa e assai più frequente, ma risponde a una domanda più ristretta: esistono debolezze sfruttabili in questo sistema? Un TLPT risponde a una più difficile: se un avversario realistico puntasse oggi alle nostre funzioni più importanti, ce ne accorgeremmo soltanto, e sapremmo rispondere? I due sono complementari, e un'organizzazione che si attende un TLPT non smette di condurre test ordinari: li usa per chiudere le lacune evidenti affinché l'esercizio guidato dalla minaccia possa sondare quelle sottili.
Ciò che i professionisti fanno davvero per prepararsi raramente riguarda l'acquisto di un altro strumento. Costruiscono un inventario accurato delle funzioni critiche e dei sistemi che le sostengono, in modo che il perimetro possa essere concordato onestamente. Si assicurano che i casi d'uso di rilevamento siano messi a punto e che il SOC abbia provato l'escalation contro scenari realistici anziché esercitazioni da tavolo.
Confermano la struttura del team di controllo e le approvazioni legali e di rischio necessarie per condurre in sicurezza un'intrusione contro la produzione. E trattano le risultanze come input per la resilienza operativa e la pianificazione della continuità, perché ai sensi di DORA il rimedio non è un rapporto privato: è evidenza su cui il regolatore si aspetta che si agisca.
Frequently asked questions
01Qual è la differenza tra un TLPT e un normale penetration test?
Un penetration test standard opera secondo un perimetro predefinito, spesso contro un sistema di staging, con i difensori di solito avvisati. Un TLPT è guidato da intelligence sulle minacce su misura, viene eseguito contro funzioni critiche in produzione reale per mesi, tiene i difensori all'oscuro ed è supervisionato da un'autorità finanziaria. Mette alla prova il rilevamento e la risposta, non solo le vulnerabilità.
02Chi deve eseguire un TLPT ai sensi di DORA?
DORA lo richiede alle entità finanziarie che un'autorità nazionale designa come sufficientemente significative da giustificare test avanzati, in base al loro profilo di rischio e alla loro importanza sistemica. Le entità più piccole restano comunque soggette a test proporzionati di resilienza operativa digitale, ma l'esercizio completo guidato dalla minaccia è riservato a quelle che il regolatore individua.
03Qual è la relazione tra il TLPT e TIBER-EU?
TIBER-EU è il framework della Banca Centrale Europea che definisce la metodologia, le fasi e i ruoli del red teaming basato sull'intelligence. Il TLPT è l'obbligo DORA che adotta quel framework. In pratica un TLPT ai sensi di DORA viene condotto secondo i principi di TIBER-EU e supervisionato dall'autorità competente.
04Perché ai difensori non si dice che è in corso un TLPT?
L'obiettivo è misurare il rilevamento e la risposta reali, non un'esercitazione programmata. Se il SOC lo sapesse, starebbe in guardia per il test e il risultato sarebbe privo di significato. Solo un piccolo team di controllo fidato ne è a conoscenza, così che l'esercizio rifletta come l'organizzazione si comporta davvero durante un'intrusione in condizioni reali.
05Quanto dura un TLPT?
È un programma di più mesi anziché una valutazione breve, che copre le fasi di preparazione, test e chiusura di TIBER-EU. Il lavoro di intelligence sulle minacce, la campagna di red team contro le funzioni in produzione e la ricostruzione congiunta con il blue team richiedono ciascuno tempo reale, sommandosi spesso a diversi mesi dall'inizio alla fine.