Testy penetracyjne oparte na zagrożeniach (TLPT — Threat-Led Penetration Testing) to najbardziej zaawansowana forma testów penetracyjnych. Symulują realny, ukierunkowany atak prowadzony przez konkretnego, prawdopodobnego napastnika — i są wprost wskazane w rozporządzeniu DORA dla sektora finansowego.
Czym są testy penetracyjne oparte na zagrożeniach (TLPT)?
W odróżnieniu od klasycznego pentestu, TLPT zaczyna się od analizy zagrożeń (threat intelligence): ustalamy, kto realnie mógłby zaatakować organizację, jakimi technikami i w jakim celu. Dopiero na tej podstawie zespół red team odgrywa pełny, wieloetapowy scenariusz ataku na żywej infrastrukturze produkcyjnej — tak, jak zrobiłby to prawdziwy przeciwnik.
TLPT a klasyczny pentest — różnice
- Punkt wyjścia – TLPT startuje od wywiadu o zagrożeniach; klasyczny pentest od zdefiniowanego zakresu,
- Realizm – TLPT to pełny scenariusz red team na produkcji, często bez wiedzy zespołu obrony (blue team),
- Cel – TLPT weryfikuje całą zdolność wykrywania i reagowania, nie tylko pojedyncze podatności,
- Czas trwania – TLPT trwa zwykle tygodnie, klasyczny pentest dni.
Kogo dotyczą testy TLPT?
TLPT są kluczowym elementem testowania cyfrowej odporności operacyjnej w rozporządzeniu DORA, które obejmuje banki, firmy inwestycyjne, ubezpieczycieli, dostawców usług płatniczych i kryptoaktywów. Najwięksi i najbardziej krytyczni uczestnicy rynku będą zobowiązani do przeprowadzania TLPT cyklicznie.
Jak przebiega TLPT — etapy
- 1. Scoping i przygotowanie – ustalenie zakresu i zasad z zespołem zarządzającym,
- 2. Threat intelligence – zebranie informacji o realnych zagrożeniach i scenariuszach,
- 3. Red teaming – wieloetapowy, ukierunkowany atak na żywą infrastrukturę,
- 4. Raport i remediacja – ustalenia, ocena zdolności wykrywania/reagowania i plan naprawczy,
- 5. Purple teaming – wspólna sesja red i blue team, by trwale podnieść obronę.
TLPT to nie audyt zgodności „na papierze" — to twardy test, czy Twoja organizacja realnie wykryje i powstrzyma ukierunkowany atak.
TLPT i pentesty w Octopus Lab
W Octopus Lab prowadzimy testy penetracyjne — od klasycznych po zaawansowane scenariusze ukierunkowane — oraz wspieramy przygotowanie do wymogów DORA i NIS2. Sprawdź, jak często warto testować bezpieczeństwo w artykule pentesty dla firm — kiedy i jak często.
Umów bezpłatną konsultację lub poznaj usługę testów penetracyjnych.
TLPT a klasyczny pentest — porównanie
| Cecha | Klasyczny pentest | TLPT |
|---|---|---|
| Cel | Znaleźć jak najwięcej podatności w zakresie | Sprawdzić realną zdolność wykrycia i reakcji (blue team) |
| Scenariusz | Uzgodniony, ograniczony zakres | Realistyczny atak oparty na threat intelligence |
| Wiedza obrońców | Zespół IT zwykle wie o teście | Red team działa bez wiedzy zespołu broniącego |
| Podstawa | Dobre praktyki, polityka firmy | Wymóg regulacyjny (DORA) dla istotnych podmiotów finansowych |
| Czas trwania | Dni–tygodnie | Tygodnie–miesiące |
Diagram: Etapy TLPT
Źródła i standardy
- Rozporządzenie DORA (UE) 2022/2554 — EUR-Lex
- TIBER-EU Framework (Europejski Bank Centralny)
- MITRE ATT&CK
Przeczytaj także
Autor
Dominik Rulkiewicz
IT Security Manager · Octopus Lab
Ekspert cyberbezpieczeństwa z ponad 10-letnim doświadczeniem w sektorach regulowanych (ubezpieczenia, farmacja, logistyka). Process Owner ds. zarządzania podatnościami i hardeningu w Grupie ERGO, Audit Lead ISO 27001. Specjalizuje się w testach penetracyjnych, audytach bezpieczeństwa oraz zgodności z NIS2, DORA, ISO 27001 i RODO.
Certyfikaty: ISC2 CC · Cybersecurity Blue Team (Uniwersytet Jagielloński) · ITIL v4 · Microsoft Azure (AZ-900)
