为欧盟《数字运营复原力法案》(DORA)做好准备
欧洲的政策制定者越来越担心该地区关键数字基础设施遭受网络攻击。
为了确保金融部门能够更好地应对不断变化的威胁,欧盟制定了《数字运营弹性法案》( DORA )条例,该条例将于 2025 年 1 月起实施。
DORA 的覆盖范围非常广泛,涵盖了欧盟境内运营的 22,000 多家金融实体及其 ICT 服务提供商。 这还将影响那些与这些组织互动的欧盟以外国家。
本质上,遵守 DORA 是金融服务参与者构建更强大、更全面的安全策略的基础,该策略反映了他们必须应对的风险。
尽管大多数银行早已采取了严格的安全措施,但 DORA 旨在通过让更多专业参与者参与进来,包括信贷和支付机构、加密资产服务提供商、中央证券存管机构和信用评级公司,来加强整个金融生态系统的防御。 它要求金融实体 最大限度地降低数据损坏或丢失的风险,防止未授权访问和可能阻碍业务活动的技术缺陷,并确保其ICT系统保持可用。
确保合规
对于金融实体以及当今大多数其他企业而言,应用程序和数据现在至关重要。 使用强大的 Web应用防火墙 (WAF) 等技术全面保护这些资产至关重要,这既是为了遵守 DORA,也是为了确保在分布式拒绝服务 (DDoS) 攻击和其他攻击期间继续运行。
DORA 还要求金融实体及时检测异常活动,包括 ICT 网络性能问题和相关事件,以及识别潜在的重大单点故障。 如果发生严重事件,金融实体必须通知监管机构、受影响的客户和合作伙伴。 然后,他们必须报告解决事件的进展情况,并制作分析根本原因的最终报告。
为了满足这些要求,金融实体需要全面了解其应用程序的性能和安全状况。 这就是F5 分布式云控制台可以发挥重要作用的地方。 旨在提供整个应用程序资产的综合端到端可视性,它满足了 DORA 数字弹性合规性的大部分要求。
F5 分布式云控制台还可以帮助满足 DORA 的一些更细微的需求。 例如,金融实体必须至少每三年使用渗透测试来测试其 ICT 工具、系统和流程。
直到最近,这种类型的活动还是专家且往往价格昂贵的“白帽”黑客的领域。 现在情况已经不再如此,现在可以实现整个过程的自动化。
今年早些时候,F5 推出了分布式云 Web 应用扫描解决方案,使企业能够持续监控互联网、公共存储库、暴露的服务器和其他来源,以整合面向外部的应用服务、数据和漏洞。 除此之外,他们还可以进行自动渗透测试,识别潜在漏洞,获取问题证据,并获得补救指导,以提高安全性并确保合规性。
更高的自动化程度意味着进行持续的渗透测试(而不是逐个项目地进行)更具成本效益,以确保及时发布新产品和服务。
将安全性融入 ICT 领域
所有企业都应采取整体数字安全方法,而不是试图部署特定的点解决方案来遵守 DORA。 人工智能的进步提高了自动化程度,使得在 ICT 基础设施、组件、应用程序及其附带的应用编程接口 (API) 的设计、开发和部署中融入安全性变得更加容易。
API 现在基本上是数字经济的中枢神经系统,尤为重要。 组织应该全力以赴地将漏洞检测功能融入应用开发流程中,确保在 API 投入生产之前识别风险并实施政策。
为了直接响应这一日益增长的需求,F5 分布式云服务提供了业界最全面、支持 AI 的 API 安全解决方案。 公司被迫使用不同的工具集和功能来在构建和运行时保护其 API 的日子已经一去不复返了。 F5 在应用开发过程中实现漏洞检测和可观察性,确保在 API 投入生产之前识别风险并实施政策。 在 API 安全从未如此重要或复杂的时代,F5 正在消除客户支付和管理单独的 API 安全解决方案的需要。 API 发现、测试、姿态管理和运行时保护(全部在单一平台上)对于预测 DORA 即将出现的复杂性具有巨大优势。
从根本上来说,DORA 不应被视为一个令人头痛的问题。 相反,这是一个完善和加强整个组织基本安全措施的大好机会。 然而,这只是一段旅程,有些人可能需要改变他们对安全的真正含义及其表达方式的看法。
幸运的是,对于所有应对未来挑战的人来说,F5 拥有许多必要的工具,既可以满足 DORA 的监控和报告要求,更不用说大大降低了发生严重网络安全攻击的风险。