Artikel 11 Testfasen: rött lag-testning

Summary What does Article 11 of the RTS on threat-led penetration testing say?

Article 11 governs the active red team testing phase of a TLPT — the phase where testers actually carry out simulated attacks.

Building directly on Article 10, which covers the threat intelligence and scenario selection process, this article picks up once the targeted threat intelligence report has been approved and takes the reader through everything from test plan preparation to the rules around running and managing the live testing phase itself.

It covers the dual approval requirement for the red team test plan, the minimum duration of testing, ongoing reporting obligations, the use of leg-ups to keep the test moving, and the procedures for handling unexpected situations such as detection of the test or risks of real disruption.

Important points:

Prepare a red team test plan based on the approved threat intelligence report, consult all relevant parties on it, and ensure it receives approval from both the control team and the TLPT authority before active testing begins.
The active red team testing phase must last at least 12 weeks, with testers reporting at least weekly to the control team and test managers throughout.
The control team lead may suspend the TLPT in exceptional circumstances where there is a risk of real disruption; as a last resort, and with prior TLPT authority validation, testing may continue through a limited purple teaming exercise.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Efter det att myndigheten med ansvar för hotbildsstyrd penetrationstestning har godkänt den målinriktade hotunderrättelserapporten ska testarna utarbeta planen för rött lag-testning som ska innehålla den information som anges i bilaga IV. Testarna ska använda omfattningsdokumentet och den målinriktade hotunderrättelserapporten som grund för att ta fram angreppsscenarierna.
1. Testarna ska samråda med ledningslaget, leverantören av underrättelser om hot och testledarna om planen för rött lag-testning, inbegripet arrangemangen för kommunikation, rutiner och projektledning, förberedelserna och användningsfallen för hjälpinsatser, samt överenskommelserna kring rapportering till ledningslaget och testledarna.
1. Om planen för rött lag-testning är fullständig och säkerställer att en effektiv hotbildsstyrd penetrationstestning kan genomföras ska ledningslaget och myndigheten med ansvar för hotbildsstyrd penetrationstestning godkänna planen för rött lag-testning och myndigheten med ansvar för hotbildsstyrd penetrationstestning ska informera ledningslagets ledare om detta.
1. Efter godkännande av planen för rött lag-testning i enlighet med punkt 3 ska testarna genomföra den hotbildsstyrda penetrationstestningen under den aktiva rött lag-testfasen.
1. Varaktigheten för den aktiva rött lag-testfasen ska stå i proportion till den hotbildsstyrda penetrationstestningens omfattning och till de finansiella entiteter och tredjepartsleverantörer av IKT-tjänster eller koncerninterna IKT-tjänsteleverantörer som deltar i den hotbildsstyrda penetrationstestningen vad gäller deras storlek, verksamheter, komplexitet och antal, och ska under alla omständigheter sträcka sig över minst tolv veckor. Angreppsscenarier får genomföras i följd eller samtidigt. Ledningslaget, leverantören av underrättelser om hot, testarna och testledarna ska komma överens om slutet på den aktiva rött lag-testfasen.
1. Förutsatt att det säkerställs att planen för rött lag-testning förblir fullständig och gör det möjligt att genomföra en effektiv hotbildsstyrd penetrationstestning ska ledningslagets ledare och testledarna godkänna alla eventuella ändringar av planen för rött lag-testning som görs efter dess godkännande, inbegripet dess tidsplan, omfattning, målsystem eller flaggor.
1. Under hela den aktiva rött lag-testfasen ska testarna minst en gång i veckan rapportera till ledningslaget och testledarna om de framsteg som gjorts inom den hotbildsstyrda penetrationstestningen, och leverantören av underrättelser om hot ska vara tillgänglig för rådfrågning och ytterligare underrättelser om hot på begäran av ledningslaget.
1. Ledningslaget ska i rätt tid tillhandahålla hjälpinsatser som tagits fram utifrån planen för rött lag-testning. Hjälpinsatser får läggas till eller anpassas efter godkännande av ledningslaget och testledarna.
1. Om någon anställd vid den finansiella entiteten eller inom dess tredjepartsleverantörer av IKT-tjänster eller dess koncerninterna IKT-tjänsteleverantör upptäcker testverksamheten ska ledningslaget, när så är relevant och i samråd med testarna och utan att det påverkar tillämpningen av punkt 10, föreslå åtgärder som gör det möjligt att fortsätta den hotbildsstyrda penetrationstestningen samtidigt som dess sekretess säkerställs, och lägga fram dem till testledarna för validering.
1. Under exceptionella omständigheter som medför risker för påverkan på data, skador på tillgångar och avbrott i kritiska eller viktiga funktioner, tjänster eller verksamheter för den finansiella entiteten själv, dess tredjepartsleverantörer av IKT-tjänster eller dess koncerninterna IKT-tjänsteleverantörer eller för störningar av den finansiella entitetens motparter eller finanssektorn får ledningslagets ledare avbryta den hotbildsstyrda penetrationstestningen eller, som en sista utväg om det inte är möjligt att fortsätta testningen på annat sätt och med godkännande på förhand från myndigheten med ansvar för hotbildsstyrd penetrationstestning, fortsätta testningen i form av en begränsad lila lagövning. Längden på den begränsade lila lagövningen ska räknas med i den minimilängd på tolv veckor för den aktiva rött lag-testfasen som anges i punkt 5.

Relevant recitals

Skäl 7 Skills and capabilities of test managers

För att avspegla TIBER-EU-ramens metoder bör testledarna ha nödvändig förmåga och kompetens för att kunna ge råd och ifrågasätta testarnas förslag. Erfarenheterna från TIBER-EU-ramen har visat att det är värdefullt att ha ett lag bestående av minst två testledare för varje test. För att återspegla att hotbildsstyrd penetrationstestning är tänkt att uppmuntra till lärande, och för att skydda testernas konfidentialitet, uppmanas myndigheter med ansvar för hotbildsstyrd penetrationstestning starkt att, såvida de inte har brist på resurser och expertis, ta hänsyn till att testledarna då testningen pågår inte bör bedriva tillsynsverksamhet på samma finansiella entitet som genomgår hotbildsstyrd penetrationstestning.

Skäl 8 Involvement of TLPT authorities in the phases

För att uppnå överensstämmelse med TIBER-EU-ramen är det viktigt att myndigheten med ansvar för hotbildsstyrd penetrationstestning noggrant följer testningen i varje steg. Med tanke på testningens karaktär och de risker som är förknippade med den är det av grundläggande betydelse att myndigheten med ansvar för hotbildsstyrd penetrationstestning är involverad i varje specifik testfas. I synnerhet bör myndigheten med ansvar för hotbildsstyrd penetrationstestning rådfrågas och validera de bedömningar eller beslut från de finansiella entiteternas sida som å ena sidan kan påverka testets effektivitet och å andra sidan kan påverka de risker som är förknippade med testet. Till de grundläggande steg som myndigheten med ansvar för hotbildsstyrd penetrationstestning specifikt måste vara involverad i hör validering av viss grundläggande testdokumentation och val av leverantörer av underrättelser om hot och testare samt riskhanteringsåtgärder. Involveringen av myndigheterna med ansvar för hotbildsstyrd penetrationstestning bör, särskilt när det gäller valideringar, inte leda till en alltför stor börda på dessa myndigheter och bör därför begränsas till sådan dokumentation och sådana beslut som direkt påverkar genomförandet av den hotbildsstyrda penetrationstestningen. Genom aktivt deltagande i varje fas av testningen kan myndigheterna med ansvar för hotbildsstyrd penetrationstestning på ett effektivt sätt bedöma de finansiella entiteternas efterlevnad av de relevanta kraven, vilket bör göra det möjligt för dessa myndigheter att utfärda intyg i enlighet med artikel 26.7 i förordning (EU) 2022/2554.

Skäl 9 Secrecy of the TLPT

Sekretess är av yttersta vikt för den hotbildsstyrda penetrationstestningen för att säkerställa att testförhållandena är realistiska. Av denna anledning bör den hotbildsstyrda testningen ske dolt, och försiktighetsåtgärder bör vidtas för att hålla den konfidentiell, vilket innefattar val av kodnamn som bör tas fram så att tredje part inte kan identifiera testningen. Om personal som ansvarar för den finansiella gruppens säkerhet skulle känna till en planerad eller pågående hotbildsstyrd penetrationstestning är det sannolikt att de skulle vara mer uppmärksamma och observanta än under normala arbetsförhållanden, vilket skulle leda till ett skevt resultat av testningen. Personal vid den finansiella entiteten som inte ingår i ledningslaget bör därför endast göras uppmärksam på planerade eller pågående hotbildsstyrda penetrationstestningar om det finns tvingande skäl för detta och efter godkännande i förhand från testledarna, till exempel för att säkerställa att testet hålls hemligt om en medlem i det blå laget har upptäckt testningen.

Skäl 15 Regular meetings involving all stakeholders

Som framgår av erfarenheterna från genomförandet av TIBER-EU-ramen är det effektivaste sättet att säkerställa ett korrekt genomförande av testningen att hålla fysiska eller virtuella möten med alla berörda intressenter (finansiella entiteter, myndigheter, testare och leverantörer av underrättelser om hot). Fysiska och virtuella möten bör därför hållas under flera olika skeden av processen, särskilt under förberedelsefasen vid starten av den hotbildsstyrda penetrationstestningen och för att fastställa dess omfattning, under testfasen för att färdigställa hotunderrättelserapporten och planen för rött lag-testning och de veckovisa uppdateringarna, samt under avslutningsfasen för att gå igenom testarnas och det blå lagets åtgärder och de lila lagövningarna och utbyta återkoppling om den hotbildsstyrda penetrationstestningen.

Skäl 16 Communication between test manager and control team

För att säkerställa att testningen förlöper smidigt bör myndigheten med ansvar för hotbildsstyrd penetrationstestning tydligt redovisa sina förväntningar i fråga om testningen för den finansiella entiteten. I detta avseende bör testledarna säkerställa att ett lämpligt informationsflöde upprättas med ledningslaget inom den finansiella entiteten och med leverantörerna av hotbildsstyrd penetrationstestning.

Skäl 20 Duration of the red team test phase

För att testarna ska kunna utföra en realistisk och heltäckande testning där alla angreppsfaser utförs och alla flaggor nås bör tillräcklig tid avsättas för den aktiva rött lag-testfasen. Baserat på de erfarenheter som gjorts inom TIBER-EU-ramen bör den tid som avsätts vara minst tolv veckor och den bör fastställas med beaktande av antalet deltagande parter, omfattningen av den hotbildsstyrda penetrationstestningen, den eller de berörda finansiella entiteternas resurser, eventuella externa krav och tillgången till stödjande information som tillhandahålls av den finansiella entiteten.

Skäl 21 Range of TTPs throughout kill chain

Under den aktiva rött lag-testfasen bör testarna använda olika taktiker, teknik och förfaranden för att på lämpligt sätt testa den finansiella entitetens produktionssystem i drift. Taktikerna, tekniken och förfarandena bör, när så är lämpligt, innefatta rekognosering (dvs. insamling av så mycket information som möjligt om ett mål), användning av information som vapen (dvs. analys av information om infrastruktur, anläggningar och anställda och förberedelse för insatser riktade specifikt mot målet), utförande (dvs. aktiv igångsättning av hela insatsen mot målet), utnyttjande (dvs. där testarnas mål är att angripa den finansiella entitetens servrar och nätverk och utnyttja dess personal genom social manipulering), kontroll och förflyttning (dvs. försök att gå över från de angripna systemen till andra sårbara eller värdefulla system) och åtgärder gentemot målet (dvs. få ytterligare tillgång till angripna system och få tillgång till tidigare överenskommen målinformation och tidigare överenskomna måldata, enligt vad som tidigare överenskommits i planen för rött lag-testning).

Skäl 22 Leg-ups

När testare genomför en hotbildsstyrd penetrationstestning bör de agera med hänsyn till den tid som finns tillgänglig för att utföra angreppet, resurserna och etiska och rättsliga gränser. Om testarna inte kan gå vidare till nästa steg av angreppet enligt planen bör ledningslaget, efter överenskommelse med myndigheten som ansvarar för hotbildsstyrd penetrationstestning, ge tillfällig hjälp i form av hjälpinsatser. Hjälpinsatser kan i stora drag delas upp i hjälpinsatser som rör information respektive tillgång och kan innebära att tillgång ges till IKT-system eller interna nätverk för att fortsätta med testet och fokusera på följande angreppssteg.

Skäl 23 Limited purple teaming as alternative to continued testing

Om det är nödvändigt för att kunna fortsätta den hotbildsstyrda penetrationstestningen, som en sista utväg under exceptionella omständigheter och när alla andra alternativ har uttömts, bör under de aktiva rött lag-insatserna i testfasen en gemensam testverksamhet som innefattar både testarna och det blå laget tillämpas. I samband med en sådan begränsad lila lagövning kan följande metoder användas: ”fångst och återsläpp”, där testare försöker fortsätta scenarierna, blir upptäcka och sedan återupptar testningen, ”krigsspel”, som möjliggör mer komplexa scenarier för att testa strategiskt beslutsfattande, eller ”koncepttest under samverkan”, som låter testare och medlemmar i det blå laget gemensamt validera specifika säkerhetsåtgärder, säkerhetsverktyg eller säkerhetsteknik i en kontrollerad och samarbetsinriktad miljö.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.