欧盟《数字运营弹性法案》(DORA)下的进攻性安全

TL;DR：《数字运营弹性法案》(DORA)是欧盟针对金融机构的网络安全法规，要求通过强制性渗透测试和严格的ICT风险管理实践增强数字韧性。合规截止日期为2025年1月，金融机构及其ICT供应商需立即调整安全框架以符合要求。

法规概述与适用范围

DORA是欧盟增强金融体系稳定性的战略组成部分，旨在确保金融实体对数字运营中断具有韧性。该法规建立了信息与通信技术(ICT)风险管理框架，重点关注网络安全和运营韧性，其核心要求包括渗透测试和其他进攻性安全措施。

适用对象

• 金融机构：银行、保险公司、投资公司、加密资产服务提供商、支付服务提供商
• 第三方ICT供应商：云服务商、SaaS提供商等
• 监管机构：欧洲银行管理局(EBA)、欧洲证券与市场管理局(ESMA)、欧洲保险与职业养老金管理局(EIOPA)

执法与处罚

国家层面监管机构和三大欧洲监管机构拥有现场检查、强制要求整改措施、实施行政和刑事处罚的权力。

核心安全要求

测试与评估要求（第25.1条）

金融机构需定期执行以下测试：

• 漏洞扫描
• 网络安全评估
• 场景化测试
• 渗透测试

威胁主导渗透测试(TLPT)（第26-27条）

关键要求：

• 至少每三年执行一次TLPT
• 模拟真实攻击场景，测试防护、检测和响应能力
• 必须覆盖关键职能系统（包括生产环境和外包系统）
• 第三方服务提供商必须参与测试
• 至少每三次TLPT中需有一次由外部测试方执行
• 重要信贷机构必须完全使用外部测试方

外部测试方标准（第26.8、27条）

外部测试方必须满足：

• 专业技术能力
• 独立性保证
• 职业责任保险

漏洞评估（第25.2条）

中央证券存管机构和中央对手方必须在部署或重新部署ICT系统前执行漏洞评估。

整改要求（第26.5-6条）

测试结束后，金融机构必须实施控制措施缓解已识别风险。

其他关键安全框架

• 风险管理（第6、16-17、24、28条）：建立稳健的ICT风险管理框架
• 数字韧性保障（第9-10、24-26条）：持续监控、威胁检测和缺陷缓解
• 事件响应与报告（第11-12、19条）：建立事件响应机制和及时报告制度
• 第三方风险管理（第28-30条）：对ICT服务提供商进行尽职调查和合同条款管理

企业应对策略

合规准备

• 执行差距分析识别现有弱点
• 审查现有安全措施并与DORA要求对齐
• 与合格外部测试方建立合作关系
• 开发持续安全评估内部能力

安全计划调整

• 外部渗透测试服务：聘请认证外部测试方执行TLPT
• 培训与意识：确保员工具备网络安全最佳实践和事件响应知识
• 事件报告：建立及时准确的事件报告系统

合同更新

金融机构需准备更新ICT供应商合同，特别是提供关键职能的供应商需准备合同附加条款。

总结

DORA通过严格的测试和主动安全措施强化欧盟金融行业的数字韧性。金融机构应迅速行动，确保安全计划符合这些要求，在应对不断演变的网络威胁时保持合规性和运营安全。

本文原载于Venable.com：https://www.venable.com/insights/publications/2024/07/offensive-security-under-the-eu