A perspetiva da Cyber Academy
TLPT é o exercício de red team supervisionado pelo regulador, exigido pelo DORA às entidades financeiras significativas. Baseia-se no framework TIBER-EU (Threat Intelligence-Based Ethical Red Teaming). Decorre ao longo de vários meses, é orientado por inteligência de ameaças e supervisionado pela autoridade nacional. O teste mais exigente que um CISO enfrentará, e aquele que expõe o SOC tal como ele realmente é.
O que é realmente o teste de intrusão orientado pela ameaça
O teste de intrusão orientado pela ameaça é um exercício controlado de red team conduzido contra uma organização em plena produção, impulsionado por inteligência de ameaças real e supervisionado por uma autoridade financeira. O Digital Operational Resilience Act, DORA, torna-o uma obrigação periódica para as entidades financeiras que um regulador considera suficientemente significativas para o justificar, e o exercício assenta no TIBER-EU, o referencial que o Banco Central Europeu publicou para o Threat Intelligence-Based Ethical Red Teaming.
A palavra determinante é orientado: o teste não é uma lista genérica de vulnerabilidades, mas uma campanha moldada por quem atacaria de forma realista esta empresa e como. Um fornecedor de inteligência de ameaças traça o perfil da entidade, identifica adversários plausíveis e os seus métodos, e entrega ao red team um conjunto de cenários. O red team tenta então comprometer funções críticas em produção usando esses cenários, exatamente como faria um atacante real.
Duas propriedades separam o TLPT do teste de intrusão comum. Primeiro, visa o parque em produção real e as pessoas e processos que o rodeiam, não uma cópia nem um segmento delimitado, razão pela qual é conduzido sob regras rígidas e por uma pequena equipa de controlo de confiança. Segundo, é supervisionado. A autoridade nacional competente e, quando pertinente, uma equipa TIBER dedicada estão envolvidas no trabalho, validando o âmbito, acreditando os testadores e supervisionando como o exercício é conduzido. É essa supervisão que torna o resultado credível para um regulador e não apenas para a empresa que o encomendou.
Como decorre um trabalho de TLPT
Um TLPT é um programa de vários meses, não uma avaliação de uma semana, e desenrola-se em fases definidas que o referencial TIBER-EU estabelece. Na fase de preparação, a entidade, a equipa de controlo e a autoridade acordam o âmbito, confirmam quais as funções críticas em jogo e contratam fornecedores acreditados de inteligência de ameaças e de red team.
Na fase de teste, o fornecedor de inteligência produz um relatório de alvos sobre a entidade, e o red team usa-o para executar cenários de ataque realistas contra as funções em produção, frequentemente ao longo de muitas semanas, tentando alcançar objetivos definidos sem ser detido. Na fase de encerramento, o red team, o blue team e a equipa de controlo reúnem-se para reconstituir o que aconteceu, acordar as conclusões e construir um plano de remediação.
O detalhe crucial é que quase ninguém dentro da organização sabe que o teste está a decorrer. Os defensores, o centro de operações de segurança e os respondedores a incidentes não são avisados, porque todo o propósito é ver como se comportam perante uma intrusão real em vez de um exercício planeado. Apenas uma minúscula equipa de controlo está a par. É isto que faz do TLPT a medida mais honesta de resiliência operacional que um CISO encomendará, e a que mais fiavelmente expõe a lacuna entre o que se crê que o SOC faz e o que ele realmente deteta sob pressão.
TLPT, TIBER-EU e teste de intrusão comum
| Dimensão | Teste de intrusão padrão | Teste de intrusão orientado pela ameaça (TLPT) |
|---|---|---|
| Impulsionador | Âmbito predefinido e uma lista de verificação do testador | Inteligência de ameaças à medida sobre a entidade específica |
| Alvo | Frequentemente uma cópia de staging ou uma aplicação delimitada | Funções críticas em produção real e as pessoas à sua volta |
| Conhecimento dos defensores | Geralmente informados, por vezes a apoiar | Não informados, apenas uma pequena equipa de controlo sabe |
| Duração | De dias a poucas semanas | Vários meses ao longo de fases definidas |
| Supervisão | Interna, encomendada pela empresa | Supervisionado pela autoridade nacional segundo o TIBER-EU |
| Desencadeador | Discricionário ou contratual | Uma obrigação do DORA para as entidades significativas designadas |
Convém manter clara a relação entre os termos. O TIBER-EU é o referencial, a metodologia e as fases. O TLPT é a obrigação regulamentar ao abrigo do DORA que adota e referencia esse referencial para as entidades financeiras dentro do âmbito. Um teste de intrusão padrão continua a ser uma atividade valiosa e muito mais frequente, mas responde a uma pergunta mais estreita: existem fraquezas exploráveis neste sistema? Um TLPT responde a uma mais difícil: se um adversário realista atacasse hoje as nossas funções mais importantes, dar-nos-íamos sequer conta, e conseguiríamos responder? Os dois são complementares, e uma organização que espera um TLPT não deixa de realizar testes comuns: usa-os para fechar as lacunas óbvias de modo que o exercício orientado pela ameaça possa sondar as subtis.
O que os profissionais fazem realmente para se prepararem raramente passa por comprar mais uma ferramenta. Constroem um inventário rigoroso das funções críticas e dos sistemas que as suportam, para que o âmbito possa ser acordado com honestidade. Asseguram-se de que os casos de uso de deteção estão afinados e de que o SOC ensaiou o escalonamento contra cenários realistas em vez de exercícios de mesa. Confirmam a estrutura da equipa de controlo e as aprovações jurídicas e de risco necessárias para conduzir com segurança uma intrusão contra a produção. E tratam as conclusões como entrada para a resiliência operacional e o planeamento da continuidade, porque ao abrigo do DORA a remediação não é um relatório privado: é prova sobre a qual o regulador espera que se atue.
Frequently asked questions
01Qual é a diferença entre um TLPT e um teste de intrusão normal?
Um teste de intrusão padrão opera com um âmbito predefinido, frequentemente contra um sistema de staging, com os defensores geralmente avisados. Um TLPT é impulsionado por inteligência de ameaças à medida, é executado contra funções críticas em produção real durante meses, mantém os defensores no escuro e é supervisionado por uma autoridade financeira. Testa a deteção e a resposta, não apenas as vulnerabilidades.
02Quem tem de realizar um TLPT ao abrigo do DORA?
O DORA exige-o às entidades financeiras que uma autoridade nacional designa como suficientemente significativas para justificar testes avançados, com base no seu perfil de risco e na sua importância sistémica. As entidades mais pequenas continuam sujeitas a testes proporcionados de resiliência operacional digital, mas o exercício completo orientado pela ameaça é reservado àquelas que o regulador identifica.
03Qual é a relação entre o TLPT e o TIBER-EU?
O TIBER-EU é o referencial do Banco Central Europeu que define a metodologia, as fases e os papéis do red teaming baseado em inteligência. O TLPT é a obrigação do DORA que adota esse referencial. Na prática, um TLPT do DORA é conduzido segundo os princípios do TIBER-EU e supervisionado pela autoridade competente.
04Por que razão não se diz aos defensores que está a decorrer um TLPT?
O objetivo é medir a deteção e a resposta reais, não um exercício planeado. Se o SOC soubesse, estaria atento ao teste e o resultado não teria sentido. Apenas uma pequena equipa de controlo de confiança está a par, de modo que o exercício reflete como a organização realmente se comporta perante uma intrusão em condições reais.
05Quanto tempo demora um TLPT?
É um programa de vários meses em vez de uma avaliação curta, abrangendo as fases de preparação, teste e encerramento do TIBER-EU. O trabalho de inteligência de ameaças, a campanha de red team contra as funções em produção e a reconstituição conjunta com o blue team requerem cada um tempo real, somando frequentemente vários meses do início ao fim.