TLPT Threat-Led Penetration Testing.

TLPT é o exercício de red team supervisionado pelo regulador, exigido pelo DORA às entidades financeiras significativas. Baseia-se no framework TIBER-EU (Threat Intelligence-Based Ethical Red Teaming). Decorre ao longo de vários meses, é orientado por inteligência de ameaças e supervisionado pela autoridade nacional. O teste mais exigente que um CISO enfrentará, e aquele que expõe o SOC tal como ele realmente é.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

A perspetiva da Cyber Academy

TLPT é o exercício de red team supervisionado pelo regulador, exigido pelo DORA às entidades financeiras significativas. Baseia-se no framework TIBER-EU (Threat Intelligence-Based Ethical Red Teaming). Decorre ao longo de vários meses, é orientado por inteligência de ameaças e supervisionado pela autoridade nacional. O teste mais exigente que um CISO enfrentará, e aquele que expõe o SOC tal como ele realmente é.

O que é realmente o teste de intrusão orientado pela ameaça

O teste de intrusão orientado pela ameaça é um exercício controlado de red team conduzido contra uma organização em plena produção, impulsionado por inteligência de ameaças real e supervisionado por uma autoridade financeira. O Digital Operational Resilience Act, DORA, torna-o uma obrigação periódica para as entidades financeiras que um regulador considera suficientemente significativas para o justificar, e o exercício assenta no TIBER-EU, o referencial que o Banco Central Europeu publicou para o Threat Intelligence-Based Ethical Red Teaming.

A palavra determinante é orientado: o teste não é uma lista genérica de vulnerabilidades, mas uma campanha moldada por quem atacaria de forma realista esta empresa e como. Um fornecedor de inteligência de ameaças traça o perfil da entidade, identifica adversários plausíveis e os seus métodos, e entrega ao red team um conjunto de cenários. O red team tenta então comprometer funções críticas em produção usando esses cenários, exatamente como faria um atacante real.

Duas propriedades separam o TLPT do teste de intrusão comum. Primeiro, visa o parque em produção real e as pessoas e processos que o rodeiam, não uma cópia nem um segmento delimitado, razão pela qual é conduzido sob regras rígidas e por uma pequena equipa de controlo de confiança. Segundo, é supervisionado. A autoridade nacional competente e, quando pertinente, uma equipa TIBER dedicada estão envolvidas no trabalho, validando o âmbito, acreditando os testadores e supervisionando como o exercício é conduzido. É essa supervisão que torna o resultado credível para um regulador e não apenas para a empresa que o encomendou.

Como decorre um trabalho de TLPT

Um TLPT é um programa de vários meses, não uma avaliação de uma semana, e desenrola-se em fases definidas que o referencial TIBER-EU estabelece. Na fase de preparação, a entidade, a equipa de controlo e a autoridade acordam o âmbito, confirmam quais as funções críticas em jogo e contratam fornecedores acreditados de inteligência de ameaças e de red team.

Na fase de teste, o fornecedor de inteligência produz um relatório de alvos sobre a entidade, e o red team usa-o para executar cenários de ataque realistas contra as funções em produção, frequentemente ao longo de muitas semanas, tentando alcançar objetivos definidos sem ser detido. Na fase de encerramento, o red team, o blue team e a equipa de controlo reúnem-se para reconstituir o que aconteceu, acordar as conclusões e construir um plano de remediação.

O detalhe crucial é que quase ninguém dentro da organização sabe que o teste está a decorrer. Os defensores, o centro de operações de segurança e os respondedores a incidentes não são avisados, porque todo o propósito é ver como se comportam perante uma intrusão real em vez de um exercício planeado. Apenas uma minúscula equipa de controlo está a par. É isto que faz do TLPT a medida mais honesta de resiliência operacional que um CISO encomendará, e a que mais fiavelmente expõe a lacuna entre o que se crê que o SOC faz e o que ele realmente deteta sob pressão.

TLPT, TIBER-EU e teste de intrusão comum

Onde o TLPT se situa face aos exercícios vizinhos
DimensãoTeste de intrusão padrãoTeste de intrusão orientado pela ameaça (TLPT)
ImpulsionadorÂmbito predefinido e uma lista de verificação do testadorInteligência de ameaças à medida sobre a entidade específica
AlvoFrequentemente uma cópia de staging ou uma aplicação delimitadaFunções críticas em produção real e as pessoas à sua volta
Conhecimento dos defensoresGeralmente informados, por vezes a apoiarNão informados, apenas uma pequena equipa de controlo sabe
DuraçãoDe dias a poucas semanasVários meses ao longo de fases definidas
SupervisãoInterna, encomendada pela empresaSupervisionado pela autoridade nacional segundo o TIBER-EU
DesencadeadorDiscricionário ou contratualUma obrigação do DORA para as entidades significativas designadas

Convém manter clara a relação entre os termos. O TIBER-EU é o referencial, a metodologia e as fases. O TLPT é a obrigação regulamentar ao abrigo do DORA que adota e referencia esse referencial para as entidades financeiras dentro do âmbito. Um teste de intrusão padrão continua a ser uma atividade valiosa e muito mais frequente, mas responde a uma pergunta mais estreita: existem fraquezas exploráveis neste sistema? Um TLPT responde a uma mais difícil: se um adversário realista atacasse hoje as nossas funções mais importantes, dar-nos-íamos sequer conta, e conseguiríamos responder? Os dois são complementares, e uma organização que espera um TLPT não deixa de realizar testes comuns: usa-os para fechar as lacunas óbvias de modo que o exercício orientado pela ameaça possa sondar as subtis.

O que os profissionais fazem realmente para se prepararem raramente passa por comprar mais uma ferramenta. Constroem um inventário rigoroso das funções críticas e dos sistemas que as suportam, para que o âmbito possa ser acordado com honestidade. Asseguram-se de que os casos de uso de deteção estão afinados e de que o SOC ensaiou o escalonamento contra cenários realistas em vez de exercícios de mesa. Confirmam a estrutura da equipa de controlo e as aprovações jurídicas e de risco necessárias para conduzir com segurança uma intrusão contra a produção. E tratam as conclusões como entrada para a resiliência operacional e o planeamento da continuidade, porque ao abrigo do DORA a remediação não é um relatório privado: é prova sobre a qual o regulador espera que se atue.

Frequently asked questions

01Qual é a diferença entre um TLPT e um teste de intrusão normal?

Um teste de intrusão padrão opera com um âmbito predefinido, frequentemente contra um sistema de staging, com os defensores geralmente avisados. Um TLPT é impulsionado por inteligência de ameaças à medida, é executado contra funções críticas em produção real durante meses, mantém os defensores no escuro e é supervisionado por uma autoridade financeira. Testa a deteção e a resposta, não apenas as vulnerabilidades.

02Quem tem de realizar um TLPT ao abrigo do DORA?

O DORA exige-o às entidades financeiras que uma autoridade nacional designa como suficientemente significativas para justificar testes avançados, com base no seu perfil de risco e na sua importância sistémica. As entidades mais pequenas continuam sujeitas a testes proporcionados de resiliência operacional digital, mas o exercício completo orientado pela ameaça é reservado àquelas que o regulador identifica.

03Qual é a relação entre o TLPT e o TIBER-EU?

O TIBER-EU é o referencial do Banco Central Europeu que define a metodologia, as fases e os papéis do red teaming baseado em inteligência. O TLPT é a obrigação do DORA que adota esse referencial. Na prática, um TLPT do DORA é conduzido segundo os princípios do TIBER-EU e supervisionado pela autoridade competente.

04Por que razão não se diz aos defensores que está a decorrer um TLPT?

O objetivo é medir a deteção e a resposta reais, não um exercício planeado. Se o SOC soubesse, estaria atento ao teste e o resultado não teria sentido. Apenas uma pequena equipa de controlo de confiança está a par, de modo que o exercício reflete como a organização realmente se comporta perante uma intrusão em condições reais.

05Quanto tempo demora um TLPT?

É um programa de vários meses em vez de uma avaliação curta, abrangendo as fases de preparação, teste e encerramento do TIBER-EU. O trabalho de inteligência de ameaças, a campanha de red team contra as funções em produção e a reconstituição conjunta com o blue team requerem cada um tempo real, somando frequentemente vários meses do início ao fim.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.