那些你需要知道的关于DORA的知识

阅读量33390

发布时间 : 2024-07-10 19:33:03

x
译文声明

本文是翻译文章,文章原作者 凯拉·安德科夫勒,文章来源:Hackerone

原文地址:https://www.hackerone.com/penetration-testing/dora

译文仅供参考,具体内容表达以及含义原文为准。

《数字运营弹性法案》(DORA) 是欧盟 (EU) 的一项法规,于 2023 年 1 月颁布,将于 2025 年 1 月适用于受监管实体。数字运营弹性是指金融实体维护 IT 安全和抵御运营中断的能力。该法案旨在加强欧盟金融机构的IT安全,并确保它们在发生网络攻击或其他严重运营中断时能够保持弹性。

DORA 专注于信息和通信技术 (ICT) 系统,适用于欧盟的所有金融机构。这包括银行、保险公司、投资公司和信贷机构等传统实体,以及加密公司和众筹平台等非传统实体。该法规还延伸到ICT第三方服务提供商,包括云服务提供商和数据中心。尽管 DORA 是一项欧盟法规,但任何与欧盟涵盖的实体合作的组织都必须保持合规性,无论其物理位置如何。

DORA 法规可分为三个核心概念:

  • ICT风险管理: 受监管的组织必须有一个记录在案的ICT风险管理框架,以确保高水平的运营弹性,包括定期测试。
  • 事件管理: 组织必须有一个ICT事件管理流程,用于检测、补救或解决以及与ICT相关的事件的通知。
  • 供应链安全: 组织必须将ICT第三方风险作为其风险管理框架的一个组成部分进行管理。

除了这些要求外,DORA 还鼓励但不要求涵盖各方之间的信息共享。

DORA 中的规定与网络和信息安全 (NIS2) 指令中的规定相似。DORA 和 NIS2 的共同目标是确保网络弹性,尽管它们的目标行业定义不同,但有一些重叠,尤其是在金融领域。虽然 NIS2 的范围更广,但 DORA 对安全测试提出了更苛刻的要求。由于金融机构同时属于 DORA 和 NIS2 的范围,因此它们必须遵守这两项法规。

为什么是DORA,为什么是现在?

金融部门越来越依赖互联网技术以及金融科技(金融技术)和非金融技术公司来提供金融服务。随着这种依赖性的增加,网络攻击和其他服务中断的风险也越来越大。2023 年,针对欧洲金融服务的网络攻击数量增加了一倍多,全球金融业实体遭受网络攻击的平均成本达到惊人的 590 万美元。

由于当今的分布式系统和金融运营的相互关联性,中断很容易跨越国界传播。在DORA之前,整个欧盟没有统一的计划来加强其金融机构和第三方服务提供商的数字运营弹性。DORA加强和协调了欧盟成员国已经存在的ICT风险管理法规,并建立了一个通用框架,用于管理和减轻整个金融部门的IT风险。

DORA 和渗透测试

识别、解决或补救其 IT 系统和应用程序中的漏洞,以免被不良行为者利用,这符合每个 ICT 组织的切身利益。DORA 要求包括定期测试操作稳定性以及威胁检测和响应。渗透测试,即在近处或实际真实条件下模拟网络攻击,非常适合这项任务。它是满足 DORA 要求的关键工具。

DORA 需要两个级别的测试。所有受监管实体必须至少每年对支持重要功能的系统和应用程序进行数字运营弹性测试,以检测漏洞和弱点,并验证现有的安全控制措施。DORA 还要求至少每三年进行一次威胁导向渗透测试 (TLPT),重点关注每个国家/地区当局指定的最重要金融业务的特定威胁。

除了在ICT系统中的漏洞被利用之前对其进行检测外,还可以在应用程序开发中部署渗透测试,以在安装漏洞之前检查漏洞,从而改善组织的整体安全态势。它还可用于提高整体弹性,让组织有机会在测试情况下而不是在实际网络事件中对网络攻击做出反应。

使用 HackerOne 全面的安全测试解决方案满足 DORA 要求

HackerOne 提供一整套安全解决方案,旨在帮助金融服务机构满足 DORA 合规性要求。我们的产品组合包括 CREST 认证的渗透测试即服务 (PTaaS) 模型、代码安全审计、漏洞赏金计划和抽查。如第24条和第25条所述,这种综合方法完全符合DORA对定期和全面的ICT风险评估和管理的任务。

从本质上讲,HackerOne Pentest 提供了一种详细的、方法论驱动的安全测试方法,由经过严格审查的安全研究人员进行。根据 DORA 第 24(1) 条,我们的渗透测试服务帮助组织建立、维护和审查健全和全面的数字运营弹性测试计划,作为 ICT 风险管理框架的一个组成部分。与 HackerOne 的每次渗透测试合作都会提供详细的报告和证明,提供 DORA 合规工作的书面证据。这与第24条第(5)款中提到的“内部验证方法”的必要性是一致的。

我们的渗透测试服务包括:

  • 代码安全审计 (CSA):HackerOne CSA 服务满足了 DORA 第 25(1) 条关于“在可行的情况下进行源代码审查”的要求。这些审计由 600 多名经过审查的高级软件工程师进行,可全面了解代码库的安全状况,识别自动化工具可能遗漏的漏洞。
  • 漏洞赏金计划:HackerOne 赏金提供持续的、人力驱动的安全测试,符合 DORA 第 24(6) 条关于每年测试“所有支持关键或重要功能的 ICT 系统和应用程序”的要求。这种始终在线的方法可确保您的系统不断接受测试,以应对新出现的威胁。
  • 抽查:作为我们 Bug Bounty 产品的一部分,抽查允许快速、灵活地进行测试迭代。此功能支持 DORA 第 25(1) 条对“漏洞评估和扫描、开源分析、网络安全评估、差距分析”和其他适当测试的要求。

HackerOne 以人为本的持续方法确保组织能够满足 DORA 对第 24(2) 条中规定的“一系列评估、测试、方法、实践和工具”的要求。通过利用 HackerOne 的全球安全专家网络,包括专门从事 DORA 要求的欧盟专业人士,组织可以确保其安全措施根据 DORA 标准和更广泛的欧盟监管期望进行全面评估。

通过将 HackerOne 的安全测试解决方案集成到其 DORA 合规战略中,组织能够满足所需的数字运营弹性标准,同时展示一种主动的、基于风险的网络安全方法。这一综合战略大大提高了它们在监管机构中的可信度,并确保在面对不断变化的ICT风险时保持持续的弹性。

本文翻译自Hackerone 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66