Facebook LinkedIn

Threat Led Penetration Testing & Red Teaming

Mi a TLPT és miért fontos?

A Threat Led Penetration Testing (TLPT) és a Red Teaming olyan gyakorlatos, amelyek valós fenyegetések alapján szimulálnak célzott támadásokat élő rendszeren. Ezek célja nem csupán a technikai sebezhetőségek feltárása, hanem annak feltárása is, hogy a szervezet védelmi rendszerei és csapatai hogyan reagálnak a valós időben egy komplex, külső támadásra.


A szabályozott szektorokban – különösen a pénzügyi szférában – a TLPT nemcsak ajánlott, de kötelező:


  • DORA (Digital Operational Resilience Act): 2025. január 17 től kötelező TLPT legalább háromévente.
  • TIBER-EU: egységes európai keretrendszer, magas minőségű végrehajtás biztosítására.

Mi az a Threat Led Penetration Testing (TLPT)?

A TLPT egy intelligencia-alapú red team gyakorlat: a fenyegetéselemzés eredményei alapján célzott forgatókönyvek szerint tesztelik az élő rendszer ellenállóképességét.


  • TLPT ≠ egyszerű pentest: míg a klasszikus pentest eszköz- és sebezhetőség-orientált, addig a TLPT a szervezet kritikus folyamatait valódi támadói TTP k (Kill chain) mentén próbálja feltérképezni.
  • TLPT ⊆ Red Teaming: mindkettő élő rendszerre irányul, de a TLPT fókusza szabályozott és intelligencia-alapú tesztelés.

Red Teaming – fogalmak és struktúra

  • Red Team: Külső/független szakértői csoport, a támadó szerepében, valós technikákat, taktikákat és procedúrákat alkalmazva.
  • Blue Team: A szervezet védelmi csapat, akik észlelik és reagálnak a támadásra, de a TLPT alatt általában nem értesül előzetesen.
  • Control Team: Az ügyfél koordinációs csapata, amely biztosítja az üzletmenet folytonosságát és felügyeli a tesztet.
  • Rules of Engagement (RoE): A teszt kereteit, engedélyezett lépéseket és tiltásokat rögzítő dokumentum.
  • Kill Chain: A támadás életciklusait követő struktúra: felderítés, exploit, irányítás, laterális mozgás, adatkinyerés.

TLPT folyamata lépésről lépésre

  1. Előkészítés & Tervezés
    • Hatósági egyeztetés Control Team felállítása.
    • Jogosultságok, engedélyek és RoE meghatározása.
  2. Fenytetéselemzés (Threat Intelligence)
    • Célzott TTP-k az adott iparágra.
    • Belső IT csapat vagy külső szolgáltató bevonása.
  3. Red Team végrehajtása
    • Valós környezet elleni támadás: technikai, fizikai és emberi vektorokon keresztül.
    • Folyamatos koordináció a Control Team-mel.
  4. Purple Teaming & zárás
    • Red és Blue Team közös tanulási ülései (replay session)
    • Zárójelentés, ajánlások és visszatesztelés

Szabályozások és keretrendszerek

  • DORA (2025.01.17-): rendszeres (legalább 3 évente) TLPT kötelező; scope üzletkritikus rendszerek, harmadik felek és hatósági bevonás.
  • TIBER EU & nemzeti keretek: illeszkedik DORA követelményeihez, egységes keret a nemzeti TIBER programokhoz (TIBER DK stb.).
  • ART (Advanced Red Teaming): moduláris TLPT keretrendszer, rugalmasabb threat intelligence és forgatókönyvkezelés lehetőséggel.

Előnyök és kihívások

Előnyök:


  • Valós támadási szcenáriók mentén mért védelemélethű támadás-szimuláció,
  • Szabályozói megfelelés (compliance) teljesítés,
  • Fejlett incidens-észlelési és válaszadási képességek,
  • Szervezeti tanulás és érettségfejlesztés.


Kihivások:


  • Éles rendszerek tesztelése -> üzleti kockázat,
  • Magas szintű , szervezés és koordinációi,
  • Külső, független szereplők (TI, RT) bevonásának szükségessége.

Best practice ek & ajánlások

  • Független Threat Intelligence: külön IT partner, vagy belső + külső TI biztosítás.
  • Kill chain alapú forgatókönyv: minden támadási fázis lefedése.
  • Részletes RoE és erős Control Team: kockázatok minimalizálása.
  • Purple Teaming: tapasztalatmegosztás a védelmi csapattal.
  • Rendszeres tesztelés: 3 évente TLPT, évente pentest, retest a javítások után.