Testauksen toteuttaminen tapahtuu seuraavissa vaiheissa. 

Kohdennetun uhkatiedon hankinta 

Kohdennetun uhkatiedon koostaminen tapahtuu yhdistelemällä erilaisia julkisia ja tiedustelemalla saatuja tietoja eheäksi toimijaa koskevaksi kokonaisuudeksi. Toimijakohtainen uhkatieto kuvailee testattavan kohteen hyökkäyspinta-alaa ja erityisesti siinä olevia heikkouksia. 

Kyberrikollisilla on mahdollisuus tehdä kohteeseen liittyvää hyökkäyspinta-alan tiedonhankintaa ja analyysia pitkällä aikavälillä. Jotta TIBER-FI-testauksessa tähän vaiheeseen ei käytetä tarpeettomasti aikaa, on suositeltavaa, että White Team esittelee tai toimittaa aiempia kyberriskiarvioita uhkatietotoimijalle hyödynnettäväksi heidän analyysissään. Nämä arviot voivat koskea esimerkiksi IT-arkkitehtuuria, käytössä olevia teknologioita tai muita kohteita, joissa on tunnistettu sellaisia heikkouksia, joita kohdennettu hyökkääjä voisi käyttää hyväksi. 

Uhkatietotoimija ei saa hyödyntää finanssialan toimijaa koskevia uhkatietoja tai riskitietoja muussa yhteydessä sellaisenaan tai koottuna. 

Uhkatietotoimija jalostaa hankkimansa tiedon toimijakohtaisiksi uhkaskenaarioiksi. Nämä skenaariot täsmentävät ja tarvittaessa laajentavat toimialan uhkatietoraportin tietoja. Uhkaskenaariot muodostavat Red Team -testauksen perustan. 

Tehtävä Vastuullinen taho
Kyberriskiarvioiden esittely uhka-analyysia varten White Team
Uhkatiedon hankinta Uhkatietotoimija
Uhkaskenaarioiden laadinta Uhkatietotoimija

Red Team-testaus 

Red Team -testauksen valmistelu alkaa hyökkäysskenaarioiden laadinnalla. Näillä tarkoitetaan käytännön hyökkäystoimenpiteiden valmistelua, kuten työvälineiden ja työtapojen valintaa. Hyökkäysskenaariot perustuvat olennaisesti uhkatietoskenaarioihin. White Team kutsuu valmistelutyöpajan, jossa uhkatietotoimija esittelee Red Teamille uhkaskenaariot ja niiden toteuttamisesta keskustellaan. 

Valmisteltujen uhkaskenaarioiden lisäksi Red Teamilla on sovittaessa mahdollisuus esittää ylimääräistä skenaariota, omaan kokemuksensa ja osaamisensa pohjalta. 

Red Team suunnittelee ja toteuttaa testit hyökkäysskenaarioiden mukaisesti. Red Teamin on toimittava vastuullisesti ja valvottava jatkuvasti omien toimenpiteittensä vaikutuksia. Red Team -toiminnassa on noudatettava riskienhallintasuunnitelmaan kirjattuja ja muutoin annettuja ohjeita, erityisesti kun toiminnalla voi olla häiriöitä aiheuttavia vaikutuksia tuotantojärjestelmiin tai on mahdollista loukata laissa suojattujen tietojen luottamuksellisuutta. 

Red Team -toimija pitää White Teamin ajan tasalla testien etenemisestä vähintään viikoittain. Mahdollisista kriittisistä haavoittuvuuksista tai muista tietoturvaongelmista tulee tiedottaa välittömästi. White Teamin ja Red Teamin välinen sujuva tiedonvaihto on kriittisessä roolissa testauksen onnistumisen kannalta. 

Red Team voi tarvittaessa pyytää apua tai ohjeistusta testauksessa etenemiseksi White Teamilta sen varmistamiseksi, että ajallisesti rajatun testin hyödyllisyys saadaan maksimoitua. Annetut neuvot, avustukset ja ohjeistukset dokumentoidaan selvästi raporttiin.  

White Team voi keskeyttää testauksen milloin tahansa, jolloin Red Teamin pitää välittömästi lopettaa kaikki toimenpiteet. 

Red Teamin täytyy kirjata kaikki testauksen aikana tehdyt toimenpiteet ja ylläpitää aikajanaa skenaarioiden etenemisestä. Lokia tarvitaan ainakin ympäristön siivoamisessa, raportin kirjoittamisessa, läpikäynnissä Blue Teamin kanssa, uudelleentestauksessa sekä mahdollisten vikatilanteiden selvittämisessä. On myös mahdollista, että toimijan ympäristössä havaitaan ”oikea” poikkeama testien aikana, jolloin on tärkeää erottaa Red Teamin toiminta aidon hyökkääjän toiminnasta. 

Red Team -toimija ei saa hyödyntää finanssialan toimijaa koskevia uhkatietoja, riskitietoja tai testien tuloksia muussa yhteydessä sellaisenaan tai koottuna. 

Tehtävä Vastuullinen taho
Hyökkäysskenaarioiden laadinta Uhkatietotoimija ja Red Team
Hyökkäysskenaarioiden toteuttaminen Red Team