DORA, OSINT, CTI, TLPT…. wat moeten we doen?

De Digital Operational Resilience Act (DORA) is veel meer dan een compliance-oefening.
Het doel is om financiële instellingen beter bestand te maken tegen cyberaanvallen, niet alleen op papier, maar in de praktijk.
Waar traditionele pentests vooral techniek testen, draait DORA’s Threat-Led Penetration Testing (TLPT) om het nabootsen van echte aanvallen door echte tegenstanders.

DORA wil dat organisaties niet alleen weten of ze kwetsbaar zijn, maar ook hoe goed ze zich staande houden wanneer het écht gebeurt.

TLPT – TL;DR

Een TLPT is een gesimuleerde aanval die:

• gebaseerd is op actuele dreigingen;

• zich richt op kritieke functies;

• en niet aangekondigd is bij de organisatie (black box).

Het doel is niet alleen om kwetsbaarheden te vinden, maar om de detectie- en responsprocessen van de organisatie te toetsen.

Wat is TLPT precies?

Een TLPT is een gesimuleerde aanval op de organisatie, gebaseerd op actuele dreigingen en gericht op kritieke functies. In tegenstelling tot standaard pentests is een TLPT vaak een black box-test, waarbij de organisatie niet weet wanneer of hoe de aanval plaatsvindt.

Het doel is niet alleen om kwetsbaarheden te ontdekken, maar ook om de detectie- en responscapaciteit van de organisatie te meten. Hoe snel wordt een aanval gesignaleerd? Hoe effectief is de reactie? En hoe goed herstellen systemen en processen?

De drie hoofdrollen binnen TLPT

Om de resultaten realistisch en objectief te houden, schrijft DORA een duidelijke rolverdeling voor:

1. Threat Intelligence Provider (OSINT / CTI-partij)
   Deze partij verzamelt en analyseert informatie over relevante dreigingen en actoren. Het resultaat is een Targeted Threat Intelligence (TTI) Report dat dient als basis voor de Red Team-test. Hierbij wordt gebruikgemaakt van advisories, nieuws, MITRE ATT&CK-technieken en sector-specifieke dreigingsinformatie.

2. Red Team (Testuitvoerder)
   Het Red Team ontwikkelt aanvalsscenario’s op basis van het TTI-rapport en simuleert deze aanvallen op de organisatie. Dit gebeurt zonder voorkennis bij de defenders, zodat de test realistisch is en objectieve inzichten oplevert.

3. Blue Team / Defender (Organisatie zelf)
   De interne verdedigers reageren in real-time op de aanval. Ze worden pas na afloop betrokken bij de evaluatie, waarin lessons learned en verbeterpunten worden gedeeld.

Belangrijk: de TTI-provider en het Red Team moeten onafhankelijk van elkaar opereren. Zo blijft de test realistisch en wordt belangenverstrengeling voorkomen. Binnen Access42 waarborgen we die onafhankelijkheid door een externe partij de OSINT/CTI uit te laten voeren. We werken vanuit Access42 vaak samen met Centrum voor Cybersecurity Veiligheid en Technologie (CCVT). De CTI informatie die aangeleverd wordt stelt ons vanuit Access42 in staat om relevante aanvalsvectoren en scenario’s uit te werken.

OSINT/CTI van CCVT

Een TLPT is zo realistisch als de informatie waarop hij is gebaseerd. Zonder actuele threat intelligence wordt een TLPT al snel een theoretische oefening.

Het CCVT levert OSINT/CTI en verrijkt TLPT op drie manieren:

1. Realisme:
   Scenario’s zijn gebaseerd op actuele dreigingen, malwarecampagnes en sectorspecifieke actoren.

2. Relevantie:
   Door filtering op sector, technologie en geografie worden alleen de meest waarschijnlijke aanvalspaden getest.

3. Continuïteit:
   TLPT is een momentopname, maar CTI levert een continue stroom van informatie die ook na de test gebruikt kan worden voor monitoring, detectie en awareness.

Kortom: zonder CTI is TLPT slechts een pentest met een ander label.

Hoe een CTI-platform TLPT ondersteunt

Een goed CTI-platform levert meer dan ruwe data; het biedt context, prioritering en integratie:

• Data-acquisitie: automatische verzameling van advisories, nieuws, incidentmeldingen en OSINT.

• Verrijking: koppeling aan MITRE ATT&CK, CVE’s, malwarefamilies, threat actors, sectorspecifieke tags en risk scores.

• Toepassing: selectie van relevante aanvalsvectoren voor TLPT en scenario-ontwerp.

Zo ontstaat een brug tussen strategische dreigingsinformatie en tactische testuitvoering.

Conclusie – van verplichting naar kans

DORA verplicht TLPT, maar organisaties die het goed aanpakken halen er veel meer uit dan een vinkje op de checklist. Een threat-led test, gevoed door actuele CTI, geeft een realistisch beeld van de digitale veerkracht van de organisatie en laat zien waar de echte gaten vallen.

TLPT is geen compliance-tool, maar een stresstest voor je cyberweerbaarheid.
Met de juiste CTI aan de basis wordt die stresstest een bron van inzicht, niet van verrassing.