Threat-Led-Penetration-Testing (TLTP) - Strukturierte Angriffssimulation
Hinter der Bezeichnung Threat-Led-Penetration-Testing (TLTP) steckt eine strukturierte Angriffssimulation, also eine Weiterentwicklung der bisherigen Red-Teaming-Ansätze in der IT- und Informationssicherheit. Derartige TLTPs sind seit der Veröffentlichung des EU Digital Operational Resilience Act (DORA) für einige Branchen und Unternehmen verpflichtend. Gerne unterstützen wir Sie bei Voranalyse, Anbieterauswahl und Durchführung eines Threat-Led-Penetration-Tests. Hierbei gibt es einiges zu beachten, um den regulatorischen Anforderungen gerecht zu werden.
Gemeinsam mit Ihnen gehen wir die notwendigen Schritte zur Durchführung eines TLTPs durch und begleiten Sie von der Planung über das Scoping und die Durchführung, bis hin zur Auswertung und Umsetzung der relevanten Verbesserungspotentiale.
TLTPs sind viel mehr als Penetrationstests oder Schwachstellenscans. TLTPs zeigen reale Angriffswege in Ihrer Infrastruktur auf – nicht nur theoretisch, sondern ganz praktisch durch die Ausnutzung von Schwachstellen ob bei Mensch oder Technik.
Unsere Experten haben in den vergangenen Jahren in unterschiedlichen Projekten die Angriffsfläche von Unternehmen bewertet, Bedrohungen modelliert und Systeme „geknackt“. Dieses Wissen ermöglicht uns nicht nur die Durchführung von Angriffssimulationen, sondern auch die Unterstützung der Verteidiger beim Auffinden und Analysieren von verdächtigem Verhalten und potentiellen Angriffen. Denn gerade bei TLTPs gilt: Wenn ein Angriff nicht erkannt wird, kann das Ergebnis nicht gut ausgehen.
Lassen Sie uns ein gemeinsames Projekt draus machen, um TLTPs den Schrecken zu nehmen!
Die Deutsche Bundesbank hat in Ihrer Veröffentlichung "G-7 FUNDAMENTAL ELEMENTS FOR THREAT-LED PENETRATION TESTING" die Phasen und Inhalte eines Threat-Led-Penetration-Testing-Projekts zusammengefasst:
- Scoping und Risk Management
- Ressourcenbeschaffung
- Threat Intelligence / OSINT
- Penetrationstest
- Abschluss und Verbesserung
- (Informationsweitergabe)
Ein Threat-Led-Penetration-Test stellt Unternehmen im Vergleich zu einem klassischen Pentest vor besondere Herausforderungen. Schon die Suche nach einem passenden Anbieter kann über den Erfolg des Projekts entscheiden. Welche Standards sind relevant? OWASP Top 10 oder ASVS? Welche Vorgehensweise muss der Prüfende verfolgen? Wie viele Jahre Erfahrung im Bereich TLTP muss ein Unternehmen mitbringen?
TLTPs sind Teamarbeit und die konkrete Durchführung der einzelnen Phasen ist hochgradig variabel. Ein TLTP umfasst dabei alle Komponenten eines gezielten Angriffs auf Ihr Unternehmen. Von der Modellierung der Bedrohungen (Thread Modelling) über die Suche nach Informationen (OSINT) bis hin zu praktischen Angriffen über alle gängigen Taktiken, Techniken und Procedures (TTP) wie sie beispielsweise im MITRE ATT&CK-Framework beschrieben sind.
Die BaFin sieht in ihren Veröffentlichung die TLTPs analog zu dem bereits bekannten TIBERs (Threat Intelligence-based Ethical Red Teaming) auf einer Ebene als fortgeschrittene Tests. Mit dieser Einschätzung wird auch verdeutlicht, dass vor der Durchführung mittels TLTP einiges zu tun ist – Schwachstellenscans und Penetrationstests sollten vorab durchgeführt worden sein und ein zentrales Logging, sowie die zugehörige Alarmierung existieren.
Ein TLTP hat nicht das Ziel, die Durchführung derartiger Basistests zu ersetzen, sondern beginnt, wenn die Befunde und Empfehlungen aus diesen Bereich erfolgreich umgesetzt worden.
Ohne funktionierende Sicherheitselemente wie Risikomanagement, Schwachstellenmanagement, Patchmanagement und SOC/CERT macht ein TLTP genauso wenig Sinn, wie ein klassisches Red-Team-Assessment.
Wenn Sie unsicher sind, was für Sie die richtige Art der Sicherheitsüberprüfung ist, lassen Sie uns ein unverbindliches Beratungsgespräch vereinbaren und den Ist-Stand, sowie die bestmögliche Unterstützung zur Optimierung Ihrer IT-Sicherheit abklopfen.
Unsere Dienstleistungen für Sie
Wir Unterstützen Sie auf Ihrem Weg zu mehr Sicherheit und Resilienz – Ob bei Einzelthemen oder als Full-Service-Security-Partner. Unsere Erfahrung, unsere Kompetenz und unsere Leidenschaft werden Sie in allen Bereichen spüren.
Dabei gehen unsere Angebote über das Thema Threat-Led-Penetration-Testing hinaus:
- Voranalyse / Rundumanalyse
- Thread Modelling
- Identifikation der Angriffsfläche / OSINT
- Schwachstellenscans
- Penetrationstests
- Social Engineering / Phishing
- E-Mail-Security
- Security-Partnerschaft auf Augenhöhe
Erst reden, dann schreiben: Gerne führen wir ein ausführliches Vorgespräch, um die für Sie passende Dienstleistung zu identifizieren und Art und Umfang gemeinsam festzulegen.
Die erfolgreiche Durchführung eines TLTPs stellt hohe Anforderungen an den Reifegrad der IT- und Informationssicherheit des zu prüfenden Unternehmens. Folgende Voraussetzungen sollten Sie erfüllen:
- Implementiertes Informationssicherheitsmanagementsystem
- Implementierter Informationssicherheits-Incident-Prozess
- Vorhandenes Logging / Monitoring & Alerting
- Vorhandenes CERT / SOC
- Durchgeführte und bearbeitete Schwachstellenscans
- Durchgeführte Penetrationstests auf kritische Komponenten
- Durchgeführte und bearbeitete Innentäteranalyse
- Ressourcen und Budget zur Durchführung eines TLTPs
Die Kosten für einen vollständigen Threat-Led-Penetration-Test (TLTP) nach den Vorgaben von BaFin und BuBa liegen im sechsstelligen Bereich und verschlingen auch intern eine hohe zweistellige Anzahl an Personentagen Aufwand. Der Weg dahin kann deutlich günstiger sein und das Ergebnis eines späteren TLTP verbessern.
TLTP-Readyness-Assessment: Jetzt anfragen!
Sind Sie breit für ein Threat-Let-Penetration-Testing-Audit?
Wir liefern die Antworten mit unserem TLTP-Readyness-Assessment. Hierbei analysieren wir, wo mögliche Lücken für einen Angreifer sind und wie Sie den Reifegrad Ihrer vorhandenen Schutzmaßnahmen optimieren können.
Übrigens sind wir hierbei vollkommen hersteller- und lösungsunabhängig. Egal wo ihre Infrastruktur betrieben wird, egal welche Software für Virenschutz und co. im Einsatz ist.
Unsere fundierte Analyse berücksichtigt die wichtigsten Aspekte der ISO 27002:2022, den Vorgaben der BaFin für regulierte Unternehmen, den Empfehlungen des BSI und den Anforderungen aus DORA.
Hierfür schlagen wir folgendes Vorgehen vor:
- Gemeinsamer Workshop zur Betrachtung technischer und organisatorischer Sicherheitsaspekte und vorhandener Schutzmaßnahmen
- Dedizierte Überprüfung der Maßnahmen zum Thema Logging, Alarmierung und Reaktion
- Kurzbewertung der externen Angriffsfläche der IT-Systeme
- Betrachtung der Einfallsvektoren für Ransomware und Phishing: E-Mail, Browser, Mensch
- Überprüfung der Clientsysteme bezüglich der Resilienz gegenüber typischen Angriffsmustern
- Bewertung und Ausarbeitung von Empfehlungen zur Optimierung der Verteidigungsmaßnahmen
- Auf Wunsch: Vorstellung der Ergebnisse im Management- &/ Technik-Kreis
Am Ende erhalten Sie einen Überblick über die verschiedenen relevanten Bereiche für die Vorbereitung auf einen vollständigen TLTP mit konkreten, pragmatischen und umsetzbaren Handlungsempfehlungen.
Unsere Vorgehensweise und Fragestellungen berücksichtigen die aktuellen Taktiken und Vorgehensweisen der Angreifer und liefern zielgerichtete Antworten auf viele Fragen wie beispielsweise:
- Kann ein Angreifer schadhafte E-Mails an Mitarbeiter versenden?
- Kann ein Angreifer die unberechtigt die Bürogebäude betreten und an IT-Infrastruktur gelangen?
- Erkennen die Log- und Monitoring-Mechanismen die Ausbreitung im internen Netzwerk (Lateral Movement)?
- Wird Schadsoftware auf den Clientsystemen erkannt, auch wenn sie nur im Arbeitsspeicher ausgeführt wird?
Der typische Aufwand für unser TLTP-Readyness-Assessment ist dabei durchaus überschaubar.
Bereiten Sie sich auf den Ernstfall vor: Wir sind an Ihrer Seite – auch über das Assessment hinaus bei der Umsetzung der notwendigen Maßnahmen unterstützen wir Sie sehr gerne.
