国际货币基金组织估计,过去二十年,近五分之一的网络事件影响了全球金融业,给金融公司造成了 120 亿美元的直接损失。欧盟不仅注意到了这一点,而且即将采取行动。
2025 年 1 月 17 日是《数字运营弹性法案》(DORA)的生效日期,欧盟的金融机构将被要求制定严格的措施来测试并证明其符合网络安全风险管理、事件报告、运营弹性测试和第三方风险监控的新规定。在 DORA 法规中,这被称为威胁主导渗透测试 (TLPT)。TLPT 涉及模拟现实世界的网络攻击,以评估组织对复杂威胁的防御能力。目标是评估金融服务环境,并确保所有攻击者可能进入的潜在门都已关闭,并且当一扇门关闭时,另一扇门不会留下或打开。
从最高层面上讲,这为全面且持续的弹性和安全性设定了标准。从运营的角度来看,实现这一目标包括确定特定和紧急的组织风险、进行有针对性的测试和协作防御验证以及练习新出现的威胁警戒等活动。本专栏将概述受 DORA 约束的组织需要完成的任务,以便自信且明显地了解、解决和预测每个企业特有的威胁。
了解威胁
如果你不知道自己面对的是什么,那么很难保护自己,历史和无数新闻报道都证明试图防御各种数字威胁是愚蠢的行为。因此,实现 DORA 合规的第一步不仅是分析针对金融服务业的威胁行为者,还要具体分析哪些行为者以及可能通过哪些战术技术和程序 (TTP) 攻击你。
然而,在确定参与者如何看待和接近你之前,你首先需要知道你是谁。因此,必须建立的第一个档案是你自己的业务。不仅仅是金融服务,还包括哪个行业/方面、哪个地区,最后是基于组织甚至合作伙伴基础设施中的关键资产的具体风险状况。
第二份资料从目前已知的针对金融服务行业的攻击行为者群体开始。然后,范围缩小到已知与特定目标特征相符的攻击行为者。从这里开始,利用MITRE ATT&CK 框架等行业标准模型,创建一个图表,其中包含每个攻击行为者/团体已知的目标和 TTP,包括他们传统的和首选的访问和利用方法,以及他们的逃避、持久性和命令与控制能力。
最后,将两个详细资料合并,将每个参与者的攻击图映射到组织资产、基础设施和“战利品目标”的概况。最终结果对于告知和定义详细的测试计划至关重要,该计划将确定参与者可能在每个单独环境中遵循 TTP 攻击关键资产的场景。现在你有了地图,是时候开始旅程了。
应对威胁
在清楚了解参与其中的参与者和特定于组织的威胁后,组织将开展一系列进攻性(红队)和防御性(紫队)演习,以测试运营基础设施抵御攻击的能力、安全基础设施快速响应和阻止攻击的能力,以及业务在尽量减少中断或不中断的情况下继续运行的能力。
进攻方是红队。红队将以专注和目标驱动的方式将威胁情报配置文件映射到特定资产和环境动态,并对其进行测试以确定配置文件中任何易受 TTP 攻击的资产。首先要明确的是,特别是对于 DORA,红队和紫队所采取的流程并不是千篇一律的。为了彻底满足 DORA 所要求的严格性,该过程应该是多阶段的,并且应该根据每个参与者的配置文件对每个流程进行端到端的测试和跟踪。
最好的红队由对参与者/攻击的理解以及代表最大组织风险的奖杯目标驱动和指导。根据参与者和组织图,团队将部署一系列测试,包括人为和技术元素,从社会工程和物理安全到应用程序、网络和云。他们努力评估可能的攻击链中各个环节的脆弱性(无论是个体还是集体),以及达到奖杯目标的可行性。
红队是“盲目”行动,没有充分的知识或沟通,而紫队则是睁大眼睛、竖起耳朵。紫队进行“实弹”演练,让红队和蓝队(内部防御安全团队)公开演练攻击情况,并确定防御方能在多大程度上快速发现并阻止攻击企图。
此外,评估准备程度和恢复能力不应仅限于技术,还应扩展到应对危机所需的人员和流程基础设施。这可以通过桌面模拟来确定组织利益相关者(内部和外部)、事件响应方面的实力和适应性、方向和业务流程。
当然,与任何合规性相关活动一样,结果不仅重要,而且必不可少。就活动和结果而言,必须制定记录的补救能力/措施、经过验证的弹性和准备路线图。这既是为了遵守和证明符合 DORA 要求,也是为了建立持续组织改进的机制和纪律。然而,这并没有结束。事实上,它永远不应该结束。
预测威胁
一切都在变化,变化带来了新的创新和动机——无论是对于金融服务企业还是针对它们的行为者而言。即使对当前的态势和计划有一定信心,威胁监控也必须是一项持续的活动,以适应尚未知晓或完全不经意间出现的全新风险。
测试应结合计划、定期和/或按需评估组织攻击面和威胁环境。应不断监视资产基础设施,以防其组成、连接性和活动发生任何可能改变暴露条件的变化。
应用程序和资源应定期进行全面测试,同时也要适应软件或组件中的任何更新、新关联或新发现的漏洞。
还应警惕参与者概况或格局的变化。这包括新的 TTP、工具/基础设施或新出现的参与者。DORA 合规并非易事,需要合适的合作伙伴不仅确保合规,还要确保准备就绪和持续改进的环境。然而,最终结果是投资将继续带来回报并捍卫红利。
