DORA要求作为金融风险控制的凭证管理

DORA要求将凭证管理作为金融风险控制

执行摘要

欧盟的数字运营弹性法案（DORA）于2025年1月全面生效，根据第9条，将凭证管理和访问控制作为金融机构的法律义务。该法规要求公司实施强大的认证机制，执行最小权限访问，并在严格的时间线内报告违规行为。根据BleepingComputer的分析，最近一起英国银行的违规行为，攻击者利用薄弱的凭证管理窃取客户数据，说明了不合规的操作和监管风险。

技术分析

DORA的第9条特别规定金融机构“确保认证和访问控制系统的安全”作为其运营弹性框架的一部分。这包括对特权访问的多因素认证（MFA）的要求，自动终止不活动后的会话，以及记录所有访问尝试。该法规还要求实体在雇佣结束或角色变更时及时撤销访问权限的程序。

分析中提到的英国银行违规涉及攻击者通过缺乏MFA执行的受损凭证获得访问权限。一旦进入，攻击者使用默认服务账户横向移动，数周后检测到数据外泄。该违规触发了DORA和英国等效框架下的报告义务，银行可能面临高达年度全球营业额2%的潜在罚款。

DORA的报告要求特别严格：重大网络事件必须在被分类为重大事件后的四小时内报告给相关主管机关。这为取证分析和通知创造了紧迫的时间窗口，给事件响应团队带来了额外的压力，要求他们具备与凭证相关的检测和响应能力。

缓解措施与建议

受DORA约束的金融机构应将凭证管理作为监管合规问题优先考虑，而不仅仅是安全最佳实践。具体行动包括：对所有行政和远程访问强制执行MFA，实施特权访问管理（PAM）解决方案，定期进行访问审查，并确保自动撤销流程经过测试。事件响应计划应纳入DORA的四小时报告时间线，特别排练凭证泄露场景。