contactcontact

De CISO-gids voor TLPT - Blog 2: Twee jaar, één strategie: hoe je TLPT-klaar wordt voordat de klok begint te tikken

📋 Voor de boardroom DORA geeft drie jaar tussen de TLPT-cycli. De test zelf duurt negen maanden. Dat laat ongeveer twee jaar aan aanlooptijd over, en de meeste organisaties gebruiken die tijd zonder duidelijke focus op wat de TLPT daadwerkelijk vereist. Organisaties die deze periode gebruiken om een gestructureerde security testing strategie op te bouwen, staan bij hun TLPT voor minder basis kwetsbaarheden, een capabeler Blue Team en aanzienlijk meer bruikbare bevindingen. Deze blog legt uit hoe die strategie er in de praktijk uitziet.

Introductie

De meeste organisaties die we spreken behandelen de pre-TLPT periode als een wachtkamer.

Ze weten dat er een TLPT aankomt. Ze weten ongeveer wanneer. En ze gaan ervan uit dat wanneer het moment komt, ze de juiste partij inschakelen, de test uitvoeren en afhandelen wat eruit komt. Dat is niet het beste plan.

Dit is wat er daadwerkelijk gebeurt bij organisaties die het zo aanpakken: het Red Team komt binnen en vindt de basis. De TLPT verbrandt negen maanden en een aanzienlijk budget aan het ontdekken van kwetsbaarheden die een standaard pentest in een week had gevonden. De bevindingen zijn reëel, maar ze zijn niet strategisch. En de board blijft achter met een herstelachterstand in plaats van echte inzichten in hun weerbaarheid.

We hebben dit patroon vaak genoeg gezien om er direct over te zijn: een TLPT is alleen zo waardevol als de beveiligingsfundamenten eronder. Als die fundamenten zwak zijn, vertelt de test je dat de fundamenten zwak zijn. Daar zijn geen negen maanden en €150.000 voor nodig.

Het goede nieuws is dat de twee jaar vóór de TLPT geen loze tijd is. Het is het belangrijkste asset om de test de moeite waard te maken. Deze blog legt uit hoe die tijd te benutten.

Het driejaarsvenster, goed benut

DORA vereist elke drie jaar een TLPT. Trek daar negen maanden voor de test zelf vanaf, en er blijven ongeveer 27 maanden aan pre-TLPT aanlooptijd over. Dat is niet niets: dat is genoeg tijd om fundamenteel te veranderen wat de TLPT zal vinden.

Het doel van de pre-TLPT periode is niet om kwetsbaarheden te verbergen voor het Red Team. Het is het tegenovergestelde. Het doel is de voor de hand liggende bevindingen te elimineren zodat het Red Team harder moet werken, dieper moet gaan en uiteindelijk iets betekenisvollere vertelt over de werkelijke weerbaarheid van de organisatie.

Drie dingen gebeuren wanneer je je op deze manier voorbereidt:

1. Het laaghangende fruit is verdwenen

Basiskwetsbaarheden, de kwetsbaarheden die elke competente aanvaller als eerste zou exploiteren, worden gevonden en verholpen voordat de TLPT begint. Het Red Team moet harder werken om hun doelstellingen te bereiken. Dat is een goed resultaat voor de beveiliging en een rigoureuze test voor het team.

2. Het Blue Team krijgt echte ervaring

Een beveiligingsteam dat nooit getest is, presteert anders dan een team dat met echte aanvalssimulaties heeft gewerkt. De pre-TLPT periode is de kans om die ervaring stapsgewijs op te bouwen. Een professioneel Red Team zal altijd technieken en benaderingen meebrengen die de verdedigers nog niet eerder hebben gezien. Maar een team dat de eigen omgeving goed kent, en heeft geleerd anomalieën te herkennen door herhaald testen, is veel beter uitgerust om op het onverwachte te detecteren en te reageren dan een team dat nooit getest is.

3. De TLPT-bevindingen worden tastbaar en actionable

Wanneer basisproblemen al zijn opgelost, onthult de TLPT de geavanceerde hiaten: de detectieblinde vlekken, de escalatiepaden die niet voor de hand liggen, de organisatorische en procesmatige tekortkomingen die geen enkel tool kan opvangen. Dat zijn de bevindingen die tastbare, actionable beveiligingsverbetering opleveren.

De security testing strategie opbouwen

Het meest praktische framework voor het opbouwen van een pre-TLPT security testing strategie is er één die al bekend is van Blog 1: de Unified Kill Chain. Dezelfde drie fasen die een TLPT-scenario structureren, IN, THROUGH, OUT, geven een logische manier om de testing over twee jaar te structureren.

Het principe is eenvoudig: test elke fase van de kill chain voordat een test wordt uitgevoerd die alle drie tegelijk bestrijkt.

Er is een vierde dimensie van pre-TLPT voorbereiding die zelden wordt besproken maar consequent wordt onderschat: leg-ups. Een leg-up is een vooraf geregelde conditie die het Red Team tijdens de test wanneer nodig ondersteunt:

  • een niet-traceerbare laptop;
  • een standaard gebruikersaccount;
  • vooraf vastgestelde netwerktoegang;
  • of specifieke systeemrechten die de volgende fase van een aanval mogelijk maken.

Ze kunnen dienen als startpositie voor een scenario, maar bieden net zo vaak een cruciale tussenstap mid-test, waardoor het Red Team kan doorschakelen naar een meer geavanceerde fase van de kill chain zonder vaart te verliezen. Organisaties die de eigen omgeving goed genoeg begrijpen om te anticiperen welke leg-ups nodig zullen zijn, en die de interne processen hebben om ze snel te regelen, voeren aanzienlijk soepelere tests uit.

De periodieke assessments in de pre-TLPT strategie dienen hier een dubbel doel: ze verminderen kwetsbaarheden en bouwen de organisatorische kennis en relaties op die nodig zijn om leg-ups zonder wrijving te regelen wanneer het moment komt. Afhankelijk van de volwassenheid van de organisatie is het de moeite waard om te overwegen of sommige leg-ups, zoals dedicated testaccounts of geïsoleerde apparaten, ruim van tevoren kunnen worden voorbereid. Het niet op tijd regelen van leg-ups is een van de meest voorkomende valkuilen die we zien in TLPT-trajecten. Meer daarover en andere veelvoorkomende valkuilen in blog 3.

IN: externe blootstelling en mensen testen

De IN-fase is waar aanvallers hun initiële toegang verkrijgen. Voor de meeste financiële instellingen zijn de realistische aanvalsvectoren extern gerichte systemen, phishing en fysieke toegang. De pre-TLPT testing in deze fase zou alle drie moeten bestrijken.

Relevante tests in dit stadium:

  • External Attack Surface pentest: een gestructureerde beoordeling van alles wat de organisatie blootstelt aan het internet, inclusief webapplicaties, API's, en systemen van derden en in de cloud gehoste systemen.
  • Phishing simulatie: dit is geen standaard phishing test die meet hoeveel medewerkers op een link hebben geklikt. Een realistische phishing simulatie gebruikt actuele technieken, zoals bijvoorbeeld 2FA fatigue-aanvallen waarbij een aanvaller push notification overload exploiteert om multi-factor authenticatie te omzeilen, en stopt niet bij het vastleggen van inloggegevens. Zodra een gebruikerssessie is gecompromitteerd, gaan we verder vanuit die toegang, precies zoals een echte aanvaller zou doen. Dat vervolg is waar de meest waardevolle bevindingen naar voren komen.
  • Fysieke beveiligingsbeoordeling: fysieke inbraak is geen universeel toepasbare aanvalsvector. Of het relevant is hangt volledig af van de threat intelligence. In de context van hybride oorlogsvoering heeft fysieke sabotage echter in genoeg gedocumenteerde incidenten een rol gespeeld om serieus te nemen, met name voor organisaties met kritieke on-premise infrastructuur of geopolitieke blootstelling. Waar de threat intelligence dit ondersteunt, is het testen van fysieke beveiliging vóór de TLPT niet alleen een waardevolle overweging: het is een logische uitbreiding van een realistisch dreigingsscenario.

THROUGH en OUT: interne weerbaarheid testen

Zodra een aanvaller binnen is, wordt de vraag wat ze kunnen doen. Dit is waar detectie- en responscapaciteiten het meest worden blootgesteld, en waar de meeste organisaties het minst voorbereid zijn.

Relevante tests in dit stadium:

  • Intern netwerk pentest: hoe ver kan een aanvaller zich bewegen vanuit een initiële toegang? Wat kunnen ze bereiken? Hoe lang duurt het voordat het team het opmerkt?
  • Werkplek en laptop assessment: endpoints zijn een veelgebruikt springplank voor aanvallers om verder te bewegen in het netwerk. Begrijpen hoe een gecompromitteerd apparaat kan worden gebruikt als een springplank is daarom belangrijk.
  • Cloud en Active Directory assessment: voor organisaties met significante cloudinfrastructuur of hybride omgevingen bevinden de meest ingrijpende kwetsbaarheden zich hier vaak.
  • Applicatie pentests: applicaties zijn niet alleen een IN-fase concern. Interne en klantgerichte applicaties die gevoelige gegevens of kritieke processen verwerken, zijn relevant door de hele kill chain en moeten regelmatig worden getest, niet slechts één keer.
  • Purple Team en Gold Team sessies: Purple Teaming traint het Blue Team door realistische aanvalsscenario's samen met het Red Team door te lopen, waarbij detectie- en responscapaciteit in real time wordt opgebouwd. Gold Teaming breidt dit uit naar senior leadership, waardoor de zakelijke impact van beveiligingshiaten tastbaar wordt op boardniveau. Beide zijn effectieve dry runs voor de dynamiek die tijdens de TLPT-afsluitingsfase naar voren komt.

De scenario-based pentest: een volledige repetitie

Als je verder wilt gaan dan individuele fasetests, zit een Scenario Based Pentest tussen een standaard pentest en een volledige Red Team oefening in. Het test een specifiek deel van de aanvalsketen van begin tot eind, tegen een realistisch scenario afgeleid van werkelijke dreigingen in de sector.

Beschouw het als een generale repetitie. Je kiest het startpunt, een aangenomen initiële toegang bijvoorbeeld, en wij simuleren wat een aanvaller realistischerwijs vanaf daar zou doen. De bevindingen zijn direct actionable, en de ervaring van het doorlopen van een echt aanvalsscenario bouwt organisatorische gereedheid op op een manier waarop individuele componenttests dat niet doen.

Het is ook, in onze ervaring, de test die de meest productieve gesprekken oplevert tussen een CISO en hun board. Niets maakt de noodzaak van beveiligingsinvesteringen duidelijker dan het zien van een gesimuleerde aanvaller die in drie stappen kritieke gegevens bereikt.

Als je nog verder wilt gaan, zijn er twee aanvullende opties die het overwegen waard zijn. Een Purple Team of Gold Team oefening geeft verdedigers en leiderschap directe ervaring met realistische aanvalsscenario's voordat de TLPT begint. Advanced Red Teaming (ART), het modulaire framework ontwikkeld door DNB, gaat een stap verder. Het combineert threat intelligence, realistische aanvalsscenario's en gestructureerde leermomenten in een volledige dry run die het TLPT-proces nauw weerspiegelt, zonder de volledige regelgevende overhead van TIBER-EU. Voor organisaties die maximale voorbereiding willen voor de eerste TLPT, is ART de meest complete beschikbare optie.

Hoe dit er in de praktijk uitziet

Verschillende typen organisaties vallen onder de TLPT-vereisten van DORA, en ze hebben wezenlijk verschillende pre-TLPT strategieën nodig. We lichten er twee uit.

Grote, traditionele financiële instelling

Een grote bank of verzekeraar heeft doorgaans een breed aanvalsoppervlak: publiek toegankelijke applicaties, uitgebreide interne infrastructuur, een groot personeelsbestand en meerdere kantoorlocaties. Het dreigingsprofiel omvat financieel gemotiveerde aanvallers en in sommige gevallen door de staat gesponsorde groepen.

Optie A: een gefaseerde opbouw

Jaar 1:

  • External Attack Surface pentest, inclusief aan het internet hangende webapplicaties en API's, om een baseline vast te stellen
  • Phishing simulatie gericht op medewerkers met hoge privileges, met actuele technieken inclusief 2FA fatigue
  • Intern netwerk pentest vanuit een aangenomen toegang
  • Applicatie pentests op kritieke interne of klantgerichte applicaties

Jaar 2:

  • Werkplek assessment en Active Directory review
  • Voortgezette applicatie pentesting, geïntegreerd in ontwikkel- en releasecycli waar de omgeving regelmatig verandert
  • Scenario Based Pentest die IN en THROUGH fasen combineert
  • Purple Team sessie om Blue Team detectie en respons te evalueren en te verbeteren

Optie B: continu purple teamen

Voor organisaties die Blue Team volwassenheid sneller willen opbouwen, is een alternatief om gedurende de tweejarige periode elk kwartaal Purple Team scenario's uit te voeren naast reguliere interne netwerk en applicatie pentests. In plaats van toe te werken naar één enkele repetitie, wordt elk kwartaal een nieuw scenario uitgevoerd, elk gericht op een ander deel van de kill chain of een ander dreigingsactorprofiel. Over twee jaar zijn dat acht scenario's. Tegen de tijd dat de TLPT begint, heeft het Blue Team zich niet voorbereid op een Red Team. Ze hebben er herhaaldelijk mee samengewerkt.

Deze aanpak vereist meer investering en interne capaciteit, maar levert een meetbaar capabeler verdedigingsteam op en, in onze ervaring, de meest strategisch waardevolle TLPT-bevindingen.

Fintech of cloud-first financiële dienstverlener

Een fintech die een SaaS-platform exploiteert, heeft een fundamenteel ander aanvalsoppervlak. Het kritieke asset is het platform zelf. Interne infrastructuur kan minimaal zijn. Het personeelsbestand is vaak kleiner maar technischer, en de omgeving verandert snel.

Jaar 1:

  • Whitebox pentest op het kernplatform als baseline, waarbij applicatielogica, authenticatie en API-beveiliging grondig worden beoordeeld
  • Ga direct door met continuous pentesting: beveiligingstesting direct integreren in de ontwikkelcyclus zodat nieuwe functies en infrastructuurwijzigingen worden getest zodra ze worden uitgerold, niet maanden later

Jaar 2:

  • Continuous pentesting het hele jaar voortzetten
  • Cloud en infrastructuur assessment om de volledige cloudomgeving te beoordelen zoals die er twee jaar later uitziet na groei en verandering
  • Purple Team sessie in de laatste maanden voor de TLPT: een gestructureerde oefening waarbij Red Team en Blue Team samenwerken om detectie en respons te testen voor de meest kritieke scenario's, waarmee het team de ervaring opdoet die nodig is voordat de TLPT het vangnet wegneemt

De onderliggende logica is hetzelfde ongeacht het type organisatie: breng de kritieke assets in kaart, begrijp het realistische dreigingsprofiel en test systematisch door de aanvalsketen voordat de TLPT dat doet.

Hoe dit er in de praktijk uitziet: De Vereende

De Vereende is een gespecialiseerde verzekeraar die actief is in een sector waar gegevensintegriteit en operationele continuïteit bedrijfskritisch zijn. Hoewel niet onderworpen aan de meest stringente vereisten van DORA op basis van hun omvang, kozen ze ervoor de richtlijnen te volgen en een testprogramma op te bouwen dat echte weerbaarheid weerspiegelt, niet minimale compliance.

In samenwerking met Securify ontwikkelden ze een gestructureerde security testing strategie die penetratietests en Purple Teaming sessies combineerde, waarbij zowel technische herstelwerkzaamheden als intern beveiligingsbewustzijn systematisch over tijd werden opgebouwd.

Het resultaat was niet alleen een schoner kwetsbaarheidsprofiel voor de compliance-verplichtingen. Het was een meetbaar weerbaardere organisatie. Hun CISO zei het direct: "We wisten al waar onze sterke en zwakke punten lagen, maar de samenwerking met Securify heeft onze beveiliging naar een hoger niveau getild."

Die verschuiving, van het in theorie kennen van de zwaktes naar het in de praktijk hebben getest, is precies waarvoor de pre-TLPT periode bedoeld is. De TLPT zal de weerbaarheid testen ongeacht of de organisatie er klaar voor is. De enige vraag is wat het zal vinden.

Lees de volledige De Vereende case study

Een noot over continuous pentesting

Voor organisaties met snel evoluerende omgevingen, met name fintechs en platformgestuurde financiële dienstverleners, heeft een point-in-time teststrategie inherente beperkingen. Een kwetsbaarheid die twee maanden voor de TLPT wordt geïntroduceerd in een sprint, wordt niet gevangen door een test die zes maanden eerder is uitgevoerd.

Continuous pentesting lost dit probleem op. In plaats van één keer te testen en te hopen dat er niets verandert, wordt een actueel beeld van het beveiligingspostuur bijgehouden naarmate de omgeving evolueert. Nieuwe functies worden getest zodra ze worden uitgerold. Infrastructuurwijzigingen worden beoordeeld zodra ze plaatsvinden. Het beveiligingsbeeld blijft actueel.

Dit is geen vereiste voor een succesvolle TLPT, maar voor organisaties waar de omgeving frequent verandert, is het steeds vaker de aanpak die de meest volwassen beveiligingsprogramma's oplevert in aanloop naar een TLPT.

Verder lezen: Waarom een jaarlijkse pentest niet langer zekerheid biedt

Samenvatting

De twee jaar vóór de TLPT zijn geen wachtkamer. Ze zijn het fundament dat bepaalt wat de TLPT daadwerkelijk zal vinden, en daarmee welke waarde eruit gehaald wordt.

Een gestructureerde security testing strategie, gebouwd rond het specifieke dreigingsprofiel en afgestemd op de kill chain, doet drie dingen tegelijk: het vermindert het werkelijke risico, het bouwt het vermogen van het team op om te reageren op echte aanvallen, en het zorgt ervoor dat de TLPT tastbaar, actionable inzicht oplevert in plaats van een basislijst voor herstelwerkzaamheden.

De organisaties die TLPT op deze manier benaderen, halen meer uit de test. Ze zijn ook, in onze ervaring, degenen die klaar zijn voor wat erna komt.

In Blog 3 bespreken we de meest voorkomende valkuilen in een TLPT-traject: van voorbereiding tot afsluiting, en hoe je ze voorkomt.

Vragen of feedback?

Bel onscontact
Mail onscontact