欧盟DORA法规下的进攻性安全实践解析

本文深入解析欧盟《数字运营弹性法案》(DORA)对金融机构网络安全的要求,重点探讨渗透测试、威胁主导渗透测试(TLPT)等进攻性安全措施的实施标准。文章详细说明了DORA的适用范围、测试频率要求、第三方服务商管理规范,并为金融机构提供2025年1月合规截止前的具体实施建议。

TL;DR: 《数字运营弹性法案》(DORA)是欧盟旨在通过强制性网络安全措施(包括定期渗透测试和严格的ICT风险管理实践)增强金融机构数字弹性的法规。合规截止日期设定为2025年1月,金融实体及其ICT供应商必须及时调整其安全框架以符合DORA要求,从而降低潜在风险并确保运营稳定性。

DORA法规是欧盟战略的一部分,旨在通过确保金融实体能够抵御数字运营中断来增强欧盟金融体系的整体稳定性。DORA引入了信息和通信技术(ICT)风险管理框架,重点关注网络安全和运营弹性。DORA的关键组成部分包括渗透测试和其他旨在识别和缓解金融机构及其ICT提供商内部漏洞的进攻性安全措施。

DORA的合规截止日期是2025年1月17日。随着此截止日期的临近,我们建议金融服务组织和ICT供应商立即采取措施为DORA做好准备。

适用范围与执法

DORA适用于在欧盟运营的广泛金融机构。[第2条] 这包括银行、保险公司、投资公司、加密资产服务提供商、支付服务提供商及其第三方ICT供应商,例如云服务和软件即服务提供商。

DORA的执法由国家级当局和三个主要的欧洲监管机构执行:欧洲银行管理局(银行业)、欧洲证券和市场管理局(证券市场)以及欧洲保险和职业养老金管理局(保险和养老金行业)。[第46条]

当局有权进行现场检查、强制受监管实体提供信息、要求采取补救措施,并对违反DORA的行为处以行政和刑事处罚。[第50-52条]

安全要求

DORA的关键组成部分之一是其对进攻性安全措施的强调,特别是渗透测试。这些措施在DORA第四章[第24-27条]中突出显示,旨在通过独立方对其ICT系统进行严格测试和验证来增强金融实体的数字弹性。对于支持关键或重要功能的系统和应用程序,必须每年进行一次测试。[第24条]

测试、扫描和评估 [第25.1条]: DORA要求金融机构定期进行适当的测试,以在安全弱点被恶意行为者利用之前识别并解决它们。这些测试可以包括漏洞扫描、网络安全评估、基于场景的测试和渗透测试。

威胁主导渗透测试 [第26-27条]: 金融实体必须至少每三年进行一次高级威胁主导渗透测试(TLPT)。TLPT侧重于模拟真实攻击场景,模仿实际威胁行为者的策略,以测试机构的保护、检测和响应能力。[第3.17条] 测试必须涵盖实体的关键或重要功能,包括实时生产系统,以及外包给ICT第三方服务提供商的系统。此类第三方必须参与TLPT。[第26.2-4条] 金融实体可以使用内部测试人员,但每三次TLPT参与中至少必须使用一次外部测试人员。重要的信贷机构(按定义)必须仅使用外部测试人员。[第26.8条] 确切的测试范围和方法仍在根据欧洲基于威胁情报的道德红队测试框架(TIBER-EU)最终确定。[第26.11条]

外部渗透测试人员标准 [第26.8, 27条]: DORA要求使用外部TLPT测试人员,以确保对机构安全状况进行公正和全面的评估。外部测试人员必须满足严格的标准,包括技术专长、独立性和职业责任保险。

漏洞评估 [第25.2条]: 中央证券存管机构和中央对手方在部署或重新部署ICT系统之前必须执行漏洞评估。这有助于确保支持关键功能的应用程序和基础设施组件是安全的。

测试后修复 [第26.5-6条]: 测试结束后,金融实体和其他测试参与者必须应用控制措施以减轻已识别的风险。

在较高层次上,DORA还确立了其他几个重要的安全要求类别,包括:

  • 风险管理 [第6, 16-17, 24, 28条]: 实体必须拥有健全的ICT风险管理框架。这包括弹性战略、内部治理和事件响应计划。
  • 数字弹性保障和测试 [第9-10, 24-26条]: 实体必须定期测试ICT系统以确保弹性,包括渗透测试、持续监控、威胁检测以及已识别缺陷的缓解。
  • 事件响应和报告 [第11-12, 19条]: 实体必须建立事件响应和业务连续性政策,并向相关当局、客户和用户及时准确地报告重大网络安全事件。
  • 第三方风险管理 [第28-30条]: 实体必须对ICT服务提供商的安全措施进行尽职调查,并纳入强制性合同条款。虽然所有第三方ICT提供商都受DORA下的强制性合同条款约束,但支持关键或重要功能的提供商有更规范的要求。

业务影响

为遵守DORA的安全要求,企业应采取以下几项关键行动:

  • 合规准备: 金融机构应考虑进行差距分析,以识别其当前ICT风险管理框架中的弱点。这涉及审查现有安全措施,使其与DORA的要求保持一致,与合格的外部测试人员建立合作伙伴关系,并培养持续安全评估的内部能力。
  • 调整安全计划: 组织必须将定期的TLPT和其他安全措施整合到其安全计划中:
    • 外部渗透测试服务: 聘请经认可的外部测试人员执行TLPT。
    • 培训和意识: 确保员工接受网络安全最佳实践和事件响应协议的培训。
    • 事件报告: 实施系统,以便及时准确地报告网络安全事件。
  • 更新合同: 受DORA约束的金融机构应准备更新其ICT供应商合同。这可能包括识别提供关键或重要功能的供应商,并准备包含所需合同条款的合同附录。ICT服务提供商也应准备与欧盟金融机构更新合同。

DORA的进攻性安全要求旨在通过严格的测试和主动的安全措施来加强欧盟金融业的数字弹性。金融机构应迅速采取行动,使其安全计划与这些要求保持一致,确保合规性并保护其运营免受不断变化的网络威胁。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次