Threat Led Penetration Testing (TLPT): cos’è e come funziona

threat led penetration testing

Il Threat-Led Penetration Testing (TLPT) emerge come una metodologia avanzata di ethical hacking, focalizzata sulla simulazione di attacchi realistici basati su threat intelligence.

Questo articolo si propone di esplorare in dettaglio il concetto di TLPT, analizzando le sue caratteristiche distintive, le fasi cruciali di un esercizio, le differenze fondamentali rispetto al penetration testing tradizionale e l’importanza di affidarsi a fornitori specializzati per massimizzarne l’efficacia.

Cos’è il Threat-Led Penetration Testing (TLPT)?

Il Threat-Led Penetration Testing (TLPT) è un framework avanzato di ethical hacking che si distingue per l’utilizzo di threat intelligence per emulare le tattiche, le tecniche e le procedure (TTPs) di attori di minaccia reali, percepiti come in grado di rappresentare una genuina minaccia informatica per l’organizzazione. A differenza dei tradizionali test di penetrazione, che spesso seguono metodologie standardizzate e si concentrano su vulnerabilità tecniche specifiche, il TLPT adotta un approccio intelligence-led, creando scenari di attacco controllatipersonalizzati e diretti verso i sistemi di produzione critici dell’entità presa in questione.

L’obiettivo primario del TLPT non è semplicemente identificare un elenco di vulnerabilità, ma piuttosto valutare l’efficacia complessiva delle capacità di prevenzionerilevamentorisposta e ripristino di un’organizzazione di fronte a minacce informatiche avanzate e persistenti (APT). Attraverso la simulazione di attacchi realistici, il TLPT offre insights inestimabili sulla reale esplotabilità di potenziali debolezze e sulla capacità del personale e dei sistemi di sicurezza di resistere a un attacco mirato.

Contesto normativo del Threat led penetration testing

Nel contesto normativo, in particolare nel settore finanziario, il TLPT assume un’importanza cruciale. Il Regolamento (UE) 2022/2554 sulla resilienza operativa digitale nel settore finanziario (DORA) prevede che alcune entità finanziarie identificate conducano test avanzati di resilienza digitale attraverso il TLPT almeno ogni tre anni. Questo requisito sottolinea il riconoscimento del TLPT come strumento fondamentale per garantire la stabilità e l’integrità del sistema finanziario di fronte a minacce cibernetiche sempre più evolute. Il framework TIBER-EU è un esempio di framework applicato nell’Unione Europea, allineato agli standard internazionali (come i G7 Fundamental Elements for Threat-Led Penetration Testing) e progettato per facilitare l’esecuzione di TLPT in modo coerente e controllato nel settore finanziario.

Il TLPT rappresenta un’evoluzione significativa nel campo dell’ethical hacking, spostando il focus dalla semplice ricerca di vulnerabilità a una valutazione completa e realistica della capacità di un’organizzazione di difendersi da attacchi informatici sofisticati, guidati da una profonda comprensione del panorama delle minacce attuali.

Threat-Led Penetration Testing vs Penetration Testing

Il TLPT e il PT (Penetration Testing) sono entrambi fondamentali per le attività di Ethical Hacking, ma non sono la stessa cosa. Il TLPT si posiziona come una forma avanzata di ethical hacking che integra la metodologia del penetration testing con l’elemento cruciale della threat intelligence. Ecco le differenze chiave tra TLPT e il penetration testing tradizionale:

  • Obiettivo: mentre il penetration testing mira principalmente a identificare vulnerabilità tecniche e valutare la risposta dei sistemi di sicurezza ad attacchi in tempo reale, il TLPT si concentra sulla simulazione di scenari di attacco realistici basati su minacce concrete, con l’obiettivo di valutare la resilienza operativa digitale complessiva dell’organizzazione, inclusi persone, processi e tecnologie. Il TLPT offre anche suggerimenti per rafforzare la sicurezza, ma con una prospettiva più ampia e basata sul contesto delle minacce reali.
  • Scope: il penetration testing spesso ha uno scope limitato a specifici sistemi o applicazioni a causa di vincoli di budget e tempo. Il TLPT, sebbene possa concentrarsi su funzioni critiche o importanti, tende ad avere uno scope più ampio, mirando a coprire più funzioni critiche o importanti di un’entità finanziaria e i sistemi di produzione live che le supportano. Inoltre, il TLPT può includere i fornitori di servizi ICT terzi che supportano tali funzioni critiche.
  • Approccio: il penetration testing segue un approccio sistematico, partendo dalla ricognizione e dallo scanning, per poi passare all’exploitation. Il TLPT adotta un approccio basato sull’intelligence sulle minacce, utilizzando informazioni dettagliate sugli attori di minaccia, le loro motivazioni, intenzioni e TTP per definire scenari di attacco credibili. Questo approccio rende la simulazione molto più realistica e mirata. Il TLPT può essere considerato un red teaming intelligence-led.
  • Profondità dell’analisi: sebbene il penetration testing possa essere completo, potrebbe non sempre approfondire tecniche di attacco avanzate a meno che non sia specificamente richiesto. Il TLPT, essendo focalizzato su minacce avanzate, spesso implica un’analisi più profonda e l’esplorazione di potenziali vettori di attacco, inclusi exploit zero-day e tecniche personalizzate, per emulare attacchi realistici.
  • Intelligence sulle minacce: l’elemento distintivo cruciale del TLPT è l’integrazione della threat intelligence in ogni fase del processo. La threat intelligence fornisce il contesto per definire scenari di attacco plausibili, identificare i bersagli e guidare le azioni del team di test (spesso chiamato “Red Team”). Il penetration testing tradizionale può non fare un uso altrettanto esteso e mirato della threat intelligence.

Mentre il penetration testing è uno strumento prezioso per identificare vulnerabilità tecniche specifiche, il TLPT rappresenta un approccio più sofisticato e completo, focalizzato sulla simulazione di attacchi reali basati su threat intelligence per valutare la resilienza operativa digitale di un’organizzazione nel suo complesso. È un’evoluzione dell’ethical hacking che va oltre la semplice identificazione di debolezze, fornendo una comprensione approfondita della capacità di un’organizzazione di resistere e rispondere a minacce informatiche mirate e avanzate.

Le fasi di un esercizio di Threat-Led Penetration Testing

Sebbene i dettagli specifici possano variare a seconda del framework utilizzato (come TIBER-EU o CBEST) e delle esigenze dell’organizzazione, le fasi generali di un esercizio TLPT includono tipicamente:

Scopo e analisi

  • Definizione dello scope: fase iniziale cruciale per stabilire gli obiettivi del test, identificare le funzioni critiche o importanti (CIF) che saranno il focus dell’esercizio e definire i confini del test.

La Scope Specification Document (SSD) nel framework TIBER-EU è un esempio di documento che riassume le CIF di un’entità finanziaria come base per un test TIBER. In questa fase, vengono anche definiti i flag o gli obiettivi specifici che il Red Team tenterà di raggiungere durante il test30. La pianificazione include anche la definizione delle regole di ingaggio (rules of engagement) che stabiliscono i limiti e le autorizzazioni per le attività di test.

  • Raccolta e analisi della Threat Intelligence: qui un Threat Intelligence Provider (TIP) raccoglie, analizza e diffonde informazioni sugli attori di minaccia rilevanti e sui probabili scenari di attacco che potrebbero colpire l’organizzazione.

Questa threat intelligence include dettagli sulle motivazioni degli attaccanti, i loro obiettivi e le loro TTPs. Il TIP produce un Targeted Threat Intelligence Report (TTIR) che formula scenari di minaccia mirati, basati sull’analisi del panorama delle minacce generico e sulla specifica impronta digitale e sulle circostanze dell’entità. Il TTIR fornisce al Red Team la base per progettare e giustificare il proprio piano di penetration test. La threat intelligence può essere raccolta da diverse fonti, tra cui OSINT (Open Source Intelligence) e HUMINT (Human Intelligence).

Targeting e pianificazione

  • Targeting: alcuni framework, come CBEST, prevedono una fase di targeting in cui viene ulteriormente raffinata la comprensione della superficie di attacco dell’organizzazione e vengono identificati i bersagli iniziali per il Red Team. Un Targeting Report può fornire input preziosi per le attività di targeting più approfondite e mirate del Penetration Testing Service Provider (PTSP) o Red Team; è una fase opzionale, ma raccomandata.
  • Pianificazione del Penetration Test (Red Team Test Plan): basandosi sul TTIR e, se presente, sul Targeting Report, il team di penetration test (spesso chiamato Red Team Testers – RTT) sviluppa un Penetration Test Plan (PT Plan) o Red Team Test Plan (RTTP) dettagliato.

Questo piano descrive come verranno implementati gli scenari di attacco definiti nel TTIR, quali TTPs verranno utilizzate (e quali non), le tempistiche del test, i canali di comunicazione e le procedure di gestione del rischio. Il PT Plan deve esplicitamente mostrare come i passaggi del test si ricollegano agli scenari del TTIR e ai sistemi che supportano le CIF in scope.

Esecuzione e test

  • Esecuzione del Penetration Test (Red Teaming): in questa fase, il Red Team esegue il piano di attacco, simulando le azioni degli attori di minaccia identificati nella fase di threat intelligence. L’obiettivo è tentare di compromettere i sistemi in scope e raggiungere i flag definiti, valutando nel contempo l’efficacia dei controlli di sicurezza dell’organizzazione e le capacità di rilevamento e risposta del team di difesa (spesso chiamato “Blue Team”). Il Red Team dovrebbe adattare la propria metodologia di attacco per replicare gli scenari di minaccia.
  • Gestione del test (Control Team): durante l’intera durata del test, un Control Team (CT) supervisiona e gestisce l’esercizio. Il CT è responsabile di garantire che il test rimanga entro lo scope definito, che i rischi siano gestiti adeguatamente e che l’impatto sulle operazioni aziendali sia minimizzato. Il CT funge da punto di contatto tra il Red Team e l’organizzazione, gestendo la comunicazione e intervenendo se necessario per controllare l’escalation degli attacchi.

Reporting e follow-up

  • Analisi e reporting: al termine della fase di esecuzione, il Red Team analizza i risultati del test, documentando le vulnerabilità sfruttate, i percorsi di attacco seguiti, il livello di accesso ottenuto e l’efficacia dei meccanismi di difesa. Vengono prodotti diversi report, tra cui un report tecnico dettagliato per il team di sicurezza dell’organizzazione e un Test Summary Report (TSR) di alto livello per il senior management e le autorità competenti. Il TSR fornisce una panoramica dell’intero test, inclusi gli scenari di attacco, i risultati di alto livello, le raccomandazioni e il piano di remediation.
  • Remediation e follow-up: basandosi sui risultati del reporting, l’organizzazione sviluppa e implementa un piano di remediation per affrontare le vulnerabilità identificate e migliorare i propri controlli di sicurezza. È fondamentale stabilire un processo di follow-up formale per la verifica e la correzione tempestiva delle criticità riscontrate. L’efficacia del TLPT si misura anche nella capacità dell’organizzazione di tradurre i risultati del test in miglioramenti concreti della propria cybersecurity e resilienza operativa.

In alcune circostanze, durante la fase di esecuzione o nella fase di chiusura, può essere implementato il Purple Teaming (PT), una collaborazione tra il Red Team e il Blue Team per condividere conoscenze, tecniche e prospettive, migliorando sia le capacità offensive che difensive dell’organizzazione. Il PT può assumere diverse forme, dalla discussione teorica all’esecuzione pratica di specifici scenari di attacco su sistemi live o di test.

Affidarsi a fornitori specializzati per massimizzare l’efficacia del TLPT

L’esecuzione di un Threat-Led Penetration Test (TLPT) efficace richiede competenze specialistiche e una profonda comprensione sia del panorama delle minacce attuali che delle tecniche di attacco avanzate. Per questo motivo, è fondamentale che le organizzazioni si affidino a fornitori di servizi specializzati e qualificati per condurre esercizi TLPT.

Considerazioni nella scelta di un fornitore:

Quando si seleziona un fornitore per un esercizio TLPT, è importante considerare diversi fattori:

  • Reputazione ed esperienza: la sua esperienza nella conduzione di test TLPT simili e i case study di successo.
  • Qualifiche e certificazioni: come OSCP (Offensive Security Certified Professional) o CEH (Certified Ethical Hacker). Tuttavia, è importante non basarsi unicamente sulle certificazioni, ma valutare attivamente la conoscenza ed esperienza effettiva del personale.
  • Competenze nella Threat Intelligence.
  • Capacità del Red Team di simulare attacchi avanzati e realistici.
  • Processo di reporting e remediation: valutare la chiarezza e la qualità del processo di reporting e il supporto fornito per la remediation.
  • Aspetti contrattuali e di confidenzialità: definire chiaramente gli aspetti contrattuali, inclusi gli accordi di non divulgazione (NDA) e i protocolli per la distruzione delle informazioni sensibili al termine del test.

Affidarsi a fornitori specializzati e qualificati è un investimento cruciale per garantire che un esercizio TLPT sia condotto in modo efficace, fornendo insights preziosi sulla reale postura di sicurezza dell’organizzazione e contribuendo in modo significativo al rafforzamento della sua resilienza operativa digitale di fronte a minacce informatiche sempre più sofisticate.

Vantaggi di affidarsi a fornitori specializzati:

  • I fornitori specializzati in TLPT dispongono di team con competenze ed esperienza specifiche nella threat intelligence, nel red teaming e nella comprensione delle metodologie di attacco utilizzate da attori di minaccia reali. Questi professionisti sono costantemente aggiornati sulle ultime tendenze del cybercrime, sulle nuove vulnerabilità e sulle TTP emergenti.
  • Un Threat Intelligence Provider (TIP) competente è in grado di raccogliere e analizzare threat intelligence pertinente e di alta qualità da una varietà di fonti, tra cui feed di intelligence proprietari e open source.
  • Il Red Team di un fornitore specializzato è in grado di simulare attacchi complessi e sofisticati che replicano fedelmente le azioni di attori di minaccia reali. Questo include l’utilizzo di tecniche avanzate come il privilege escalation, la persistence e il lateral movement.
  • Affidarsi a un fornitore esterno garantisce un approccio obiettivo e indipendente alla valutazione della sicurezza dell’organizzazione, evitando potenziali conflitti di interesse che potrebbero sorgere con team interni.
  • Nel contesto normativo DORA, affidarsi a fornitori qualificati può aiutare le entità finanziarie a soddisfare i requisiti per l’esecuzione di TLPT in conformità con gli standard e i framework applicabili (come TIBER-EU). I fornitori specializzati hanno familiarità con questi requisiti e possono guidare l’organizzazione attraverso il processo.

Le fasi strutturate di un esercizio TLPT, dalla definizione dello scope alla remediation, garantiscono un processo metodologico e completo. Tuttavia, l’efficacia di un TLPT dipende in gran parte dalla competenza e dall’esperienza del team che lo conduce. Per questo motivo, affidarsi a fornitori specializzati e qualificati è di primaria importanza per massimizzare il valore e gli insights derivanti dal test. Questi fornitori apportano competenze specifiche nella threat intelligence, nel red teaming e nella comprensione del panorama delle minacce, garantendo simulazioni realistiche e report dettagliati e azionabili.

In