《2024金融服务云安全报告.docx》由会员分享,可在线阅读,更多相关《2024金融服务云安全报告.docx(25页珍藏版)》请在课桌文档上搜索。
1、金融服务云安全调查报告目录前言7摘要10调查方法11调查结果12日益增长的云服务使用情况12金融服务多云化是当前现状14零信任为金融云访问增加完整性15加强云的数据管理能力16业务连续性对云端业务至关重要16满足云端监管要求18数据隐私、主权和本地化19监管机构对云服务审计实践的理解20CSA云控制矩阵建立统一的云安全方法22通过云硬件安全模块和机密计算加强密钥管理23技能缺口在云安全领域仍然存在24金融服务和云领域的机遇26与新技术和CSP功能保持同步26为金融服务行业提供充分保障的云安全28人员:保持相关知识(例如特定平台培训、微培训I)28流程:映射到FSl框架,验证到STAR29技术:
2、云安全提供商借助安全技术的发展实现对金融服务业的有力支持29企业和云风险管理30云环境中仍需要威胁情报和上下文信息31CSA金融服务计划32教育32研究32行业简报33保障框架和计划33结论34调查结果日益增长的云服务使用情况目前,业界对于在业务关键 中使用云计算工作负载的把 握已有显著增加。2020年的 调查结果显示,当被问及在 生产中的“关键业务”工作 负载占比时,约66%的服务 提供商表示没有关键业务(20%)或关键业务占比小于十分之一(46%)。这些数字自新冠疫情以来,金融服务业使用云服务的情况不断增长,几乎所有金融机构都在使用某类云计算服务。98%的受访者表示他们公司正在使用云计算服
3、务,高于2020年的91%o许多受访者讨论了增长的原因,其中一部分是疫情导致新工作场景带来新的发展需求,以适应远程办公和客户对其账户的远程访问。在云提供育的生产环境中,被公司认定为关键业务的工作负载占比是多少?66%17%202020%46%43%32%27%16%16%0%.1-10%J11-50%;51-75%JI76-100%在2023年的调查结果中有了显著下降(43%),拥有高占比关键业务工作负载的公司数量几乎翻了一倍,从17%增加到32%o我们之前的调查相比,在公公共云中受监管数据的占比是多少?共云中使用受监管的工作负73%24%载的情况增加了,84%的受12%12%访者表示他们的一
4、些受监管202084%28%0% b 1-10%: 11-50% 51-75% S 76-100%数据存储在公共云中,前期调查比例为73%o同时,许2023多金融服务机构采取了私有云和公共云混用的方式,并继续进行内部部署操作。然而,也有公司认识到许多服务提供商已经将软件服务迁移到云上,这也影响了云的更广泛使用。尽管如此,仅有28%的受访者表示他们的大部分(50%及以上的工作负载)受监管数据存储在公共云中,这与2020年的24%相比略有增加。你认为每个阻碍因子对于你的公司部署更多敏感工作负载的阳碍有多大? 2020 20231234没有挑战性T挑战性适魅砧性非常挑战性数殿私原则合规职他部门的要求
5、技术安全蹒疑与CSP签订的与安全、风险或责任有关的合同问应员工管理云服务的技能差距有趣的是,在被问及是什么阻碍公司进一步采用敏感工作负载时,给出的第一个“阻碍因子”几乎都是“难度增加”。在监管和合规功能,尤其是隐私方面,仍是除了技术人员配备外最大的挑战。贵公司目前是否只依赖一家云服务提供商提供aaSPaa5,还是已使用多家提供商?请对贵组织以下环境的可见性打分: 2020 2023金融服务多云化是当前现状依赖单一的云服务提供商,还是同时注册使用多家云服务,是困扰企业的一个普遍问题。对企业多云使用的目的表明,许多企业己经认识到云提供商多样化的好处,例如可以降低供应商锁定的风险,确保云环境更具有灵
6、活性和弹性。通过使用多家云服务,企业还可以利用每个供应商的独特功能和最佳功能,避免被某一单一供应商绑定,从而优化其云战略,最大限度地提高投资价值。调查显示,57%的企业目前使用多家云服务来满足其IaaS/PaaS需求尽管政府监管机构要求支持多云服务使用以提高企业业务弹性,但受访的企业首席信息安全官们提到了当前多云发展方面所面临的挑战。主要使用单一云服务商来提供IaaS/PaaS的受访者人数略有增加,这也从侧面印证了首席信息安全官们的观点。第三方云服务之间的信息互通可操作性、信息可移植性、可视性、数据管理、安全策略等方面的复杂性导致了使用多云环境的困难。随着跨云堆栈的第三方管理对于多云部署变得越
7、来良好到优秀有所增加,但对IaaS环境的可见性却有所下降。对企业信息安全负责人的访谈的进一步评估显示,这不仅仅是可见性的问题,而是在跨云环境中缺乏通知和变更上下文信息,或者未披露。这为主要的IaaS提供商在操作和活动级别添加额外的可见性、控制和上下文层面留有余地。云原生应用保护平台(CNAPP)和变更通知标准等解决方案的改进将在这方面发挥主导作用。这种可见性的缺乏可能导致未知的安全和合规风险,例如无保障、无法证明行规符合状态等。企业应该考虑实施健全的SaaS管理策略,以获得更好的可见性和对云环境的控制。零信任为金融云访问增加完整性金融组织对查看或操作财务记录的权限的完整性有多种期望。有几个因素
8、促成了这一点,包括上述提到的数据管理方面,以保持机密性,以及防止由于对数据的完整性保护不当而导致的数据丢失或损坏,如洗钱或盗窃。这也是调查中指出零信任是当前首要任务的一个可能原因。零信任方法要求对敏感数据和资产的访问进行持续验证,同时最大限度地降低信息泄漏的影响。您对以下哪些有关金融服务业的话题最感兴趣?在云环境中,应定期测试所有第三方访问的继承安全控制,以验证权限是否仍然相关。这种方法有可能实现保护金融资产的业务和技术目标,同时证明符合各种行业规定。加强云的数据管理能力对于金融服务业来说,数据的机密性以及了解数据的流向和路由方式至关重要。数据在存储、传输和使用过程中都必须受到保护,以便确认公
9、司货币会计的合法性,并保护在该企业托管资金的所有消费者。此外,还需要数据的可追溯性和清晰的审计跟踪,随时了解数据的移动和保护情况。几位受访者表示,在云端记录财务数据的可扩展性优于许多本地部署方法,这为向云端迁移提供了保障,但必须保持数据可靠性和一致性。典型控制适用性与归属(云服务提供商负责、客户端服务消费者负责、共同负责)IaaSPaaSSaaSWfWCloud Controls MatrixSSRM:明确划分云服务提供商 (CSPs)和客户端服务消费者 (CSCs)的控制实施责任.客户8服务客户蹦务客户培服务消费者负费消落者负责消箔者负未然而,受访者对数据暴露表示担忧,这也导致对敏感数据迁移
10、至公有云保持谨慎态度。通过使用零信任成熟度模型(例如CISA零信任成熟度模型v2)来衡量云端的数据管理安全性,同时应用共享安全责任模型(SSRM)和专门针对云的控制措施(例如CSA云控制矩阵(CCM)帮助建立与数据外泄、机密性和配置错误相关的透明性要求。业务连续性对云端业务至关重要可用性对于保持业务连续性和确保机构平稳运行至关重要。美国财政部在近期报宣中强调了金融机构的弹性和多云化支持的能力。欧盟(EU)在欧洲网络安全法案(EU-CSA)和欧盟网络与信息安全指令(NIS2指令)2022/2555中考虑到了网络弹性问题。您有更换云提供商的后备计划吗?35%52% 否云计算通过将关键数据和应服务和
11、基础设施中,以降低 数据丢失和现场基础设施故 障的风险,从而确保金融服 务的业务连续性。同时,这用程序安全地存储在第三方些服务的设计必须始终符合不断变化的金融服务业安全标准和要求。金融监管机构、审计员和检查员一直在问类似于如果云服务提供商完全瘫痪怎么办?”这样的问题。这凸显了制定包括备份和灾难恢复解决方案在内的强大多云管理策略的必要性。但是,这可能需要付出云端的效率和运营成本。有趣的是,报告显示,与2020年调查的受访者相比,当前服务提供商的备份计划准备程度略有下降。与首席信息安全官们探讨后发现(CISO)云端数据迁入和迁出成本存在不均衡性。将数据迁出的成本远远超过向公有云环境迁移数据的成本。
12、分布式拒绝服务(DDOS)和勒索软件等攻击的增加进一步加剧了对可用性的担忧,尤其是在金融服务业。根据CIoUdfIare的数据,在2022年6月的DDoS攻击中,金融服务占45%oVerizon数据泄露调查报告工2幽_连续将金融服务列为受数据泄露影响最严重的行业。CSA早期的调查报告显示,DDoS和勒索软件是与数据泄露、系统访问权限丢失、系统破坏、持续对抗性访问、帐户劫持和欺诈相关的最主要的安全关注点。DDoS和勒索软件能够封锁组织的关键数据,使运营陷入停滞,因此它们在最新的CSA云计算11大顶级威胁报告中被着重提及就不足为奇了。此类攻击会严重扰乱运营并导致声誉受损,因此金融服务机构必须制定有
13、效的业务连续性计划(BCP)和事件响应计划(IRP)战略。企业组织需要投入强健的网络空间安全措施,定期测试其备份和恢复计划,降低宕机风险,确保系统始终可用。通过部署主动的安全防御措施并进行持续的改进,金融服务业可以自信地驾驭云环境,保护其关键数据和运营。贵纽R是否在云服务中存储或处理受监管的银行数据?虽然大多数金融服务公有云服务中受监管工作负载的百分比是多少?满足云端监管要求金融服务机构在其运营或开展国际业务的所有司法管辖区都受到当地法律和联邦法律的监管。近年来,调查受访者指出,监管机构对第三方(尤其是云服务提供商)的审查力度加大,要求其提供文件并证明其符合各种标准框架,称监管机构对第三方的关
14、注能够影响安全性。受访者提到,备受瞩目的金融数据泄露事件和新法规的出台是引起这种关注的催化剂。尽管如此,大多数金融服务机构在合规数据方面仍然使用云计算,其中有59%的受访者表示其在云服务中存储或处理受监管的银行信息,只有25%的受访者表示未来没有这样的计划。参与调查的全球代表来自亚太地区(20%的受访者)、欧洲、中东和非洲地区(28%的受访者)以及美洲地区(52%的受访者),这表明全世界都在关注如何解决云环境中的监管问题。机构都在广泛部署云服务,但只有28%的27%14%14%部分受监管的工作负受访者表示他们将大0%1-10%11-50%51-75%76-100%载部署在公有云上在访谈中,受访
15、者认为云服务提供商缺乏透明度、无法向审计人员证明合规性或担心没有足够的网络安全资源进行从容的管理是不打算进一步在公有云上处理受监管数据的主要原因。在云中拥有大部分关键业务工作负载(50%或以上)的企业数量在短短三年内几乎翻了一番。贵公司目前在云服务提供商生产环境的关键业务工作负载或服务占多大比例?键业务工作负载转移到云 中。另有15% (从17%增 长到32%)的企业正在将 一半以上的关键业务工作 负载转移到云中。0% 1-10%3 11-50% g 51-75%1 76-100%87%的金融组织已将其关此外,预计在未来12个月内72%的企业会将受监管的银行数据转移或存储在云端。(较2020年
16、的63%有所增加),该报告显示未来金融服务业对云的信任和依赖程度有所提高。数据隐私、主权和本地化近年来,世界各国政府已经建立或考虑了有关数据主权和数据本地化的立法,这些立法可能会限制金融服务实体可能拥有的个人金融或其他个人数据的传输。这些法规可能会影响金融服务机构及其客户。此外,这可能会影响在这些国家托管或开展业务的云服务提供商。某些数据本地化法律要求首先将收集的个人信息存储在国内,然后再进行跨境传输。而其他法规可能更为严格,防止外国系统存储与该国公民相关的任何数据。在访谈中,首席信息安全官们建议内部法律顾问定期监控这些特定的变化,风险专业人员则要制定计划,对可能需要进行的调整保持警惕,以证明
17、遵守了相关规定。本报告的一些受访者表示,法律复杂程度越来越高,金融服务机构和云服务提供商越来越难搞明白,致使他们对进一步采用云服务犹豫不决。其中一些普遍引用的例子包括欧盟的欧洲网络安全法案(EU-CSA)和通用数据保护条例(GDPR)。与2020年的调查结果相比,出现了一个明显的趋势,即来自金融服务机构的受监管工作负载在公共云服务中受监管工作负载的占多大比例?0% b 1-10% g 11-50% g 51-75% g 76-100%20202023公有云服务中所占的比例总体上有所增加。特别是在报告中受监管工作负载在11-50%之间的受访者比例从15%增加到27%,而受监管工作负载为0%的受访
18、者比例从27%卜.降到16%o受访者对于识别的隐私和监管阻碍的所有类别没有明显的区分。所有“阻碍因素”都被认为在防止部署更敏感的工作负载方面具有中度或高度挑战性,具体包括: 数据隐私规则; 合规职能部门的要求; 技术安全控制差距; 满足监管要求; 云服务提供商控制实施的保证问题; 与云服务提供商签订的与安全、风险或责任有关的合同问题; 员工管理云服务的技能缺口。监管机构对云服务审计实践的理解在访谈和调查中提出的一个共同点是,监管机构和审计师需要更广泛地了解云服务的审计方法。受访者提到的几个主题包括监管机构更好地理解不同云平台之间的差异,例如: 每个云服务提供商独特的安全特性和术语; 为保证弹性
19、和快速扩展部署多云环境的低效性; 管理不同云服务提供商环境所需的额外成本和资源; 管理不同云服务提供商环境所需的人员培训和协作; 通过一次性评估来满足多个监管要求的验证能力。这与大多数受访者提到的需要向多个云服务提供商提交多次审计请求的情况相一致。为满足所有管理评估的要求,贵公司需要与云服务提供商协调多少次监管审核请求?35%4%11%9%没有1-56-1516-2525+襁定CSA云控制矩阵建立统一的云安全方法调查的另一项发现是,大多数受访者使用CSA云控制矩阵(CCM)或共识评估倡议问卷(CAIQ)o鉴于云产品的多样性和各种保障需求,CCM和CAlQ为企业提供了一套供应商中立的控制措施,有
20、助于减轻企业对这些问题的担忧。CCM的要求涵盖了诸多关注领域,如可用性、密钥管理和第三方管理。在接受调查的企业中,有65%的企业使用CCM和CAIQ来证明对框架的遵守,建立内部云安全控制框架,并制定内部云风险管理方法。然而,只有33%的企业将云服务风险评估完全纳入了公司整体风险评估方法。身份与访问管理(IAM)和零信任是新兴的研究领域,可以帮助金融服务业消除对云安全的一些担忧。通过采用这些最佳实践,企业可以在不断演变的威胁抢占先机,并确保其云环境保持安全和合规。责公司如何使用CSA云控雌阵(CCM)或共识滓估倡议问卷(CAIQ)?安全联合规建立内的云安全笠制框柒健立内部云风险曾建办法支持云采的
21、M支持云弼流程责公司目前是否使用或计划使用STAR注册表进行操作?否,未计划蝴用否,但计朗使用是,但只针对某些云9S务是,所有云服券最常引用的框架有NIST网络安全框架(NlSTCSF)支付卡行业数据安全标准(PCIDSS)ISO27001通用数据保护(GDPR).新加坡金融管理局(MAS)、联邦金融机构审查委员会(FFIEC)和SOC2o而其他回答则表示使用了未具名的框架或要求,以及区域性法律。CSASTAR被认为是更透明、更一致地评估云服务提供商的一个机会。有受访者指出使用STAR被视为一种潜在的做法,可以纳入采购活动中因为它表明第三方供应商进行了适当尽职调查。大多数金融服务机构(80%的
22、受访者)表示,他们在某种程度上使用CCM和STAR计划。通过云硬件安全模块和机密计算加强密钥管理密钥管理是维护数据安全性和完整性的关键环节,尤其是在金融服务行业。受监管的关键数据集有严格的密钥管理政策,以确保金融数据的机密性,并高度保证所使用的加密技术值得信赖。贵组织在不同类别数据的密钥管理方面的政策立场是什么?谁持有睡? 2020 2023目前没有明确定义或公开的内部政策.依据与第三方(监管机构、客户、供应商)达成的劝=本地部署:我3Q必须持有场钥;使用11自带荏钥” 0g务(非硬件安全横块)2 云硬件安全模块-:主击钥傩回件安全模块中,云财提供商无法访问这最新调查显示,仅有2%的金融服务机
23、构的内部密钥管理政策是未定义或未公开的,低于2020年的12%o此外,所有关键数据都制定了密钥管理政策而这在2020年并非如此。针对关键数据、监管数据、公开数据和非敏感数据的密钥管理政策的建立明显增加。在密钥管理的政策立场方面,52%的企业将关键信息置于基于云的硬件安全模块(HSM),主密钥存储在HSM中,且不允许云服务提供商访问。这一比例比2020年增加了25%。另一方面,38%的企业使用本地解决方案,企业必须持有密钥。这比2020年的跟踪数据下降了5%。还有其他数据表明,还有其他的密钥管理或加密服务被用来保护受监管和不受监管的工作负载。HSM即服务、安全隔离和保密计算都被提及用于保护这两种
24、工作负载。除了数据加密的技术解决方案外,受访者还呼吁监管机构、企业和云服务提供商在云控制矩阵领域(特别是密码学、加密和密钥管理以及数据安全和隐私生命周期管理)和HSM即服务方面开展聚焦金融行业的研究、培训和教育。这些统计数据强调了密钥管理和数据加密解决方案日益重要,以及采用云端服务强化金融服务行业数据安全性和合规性的转变。查看云安全联盟密钥管理活动云密钥管理工作组保密计算工作组云基础设施安全培训技能缺口在云安全领域仍然存在金融服务机构仍然面临的一个普遍挑战是云安全技能缺口,即具备有效管理和保护云环境专业知识的专业人员短缺。为解决这一问题,企业正在竭力培训和聘用云安全专业人员,以弥补这一缺口,改
25、善云安全状况。贵公司如何解决内部云安全技能缺口? 2020 2023年相比,如今有更多的企业直接引进云安全专业人员(从40%增长50%的企业选择聘请第三方顾问,57%的企业正在聘用更多的内部云安全专业人员,52%的企业正在依靠自动化来解决这些问题。与2020到57%),并保持部分内部现有人员的发展(78%降到70%)o自动化技术的应用有所增加(从33%增长到52%),这表明部署、整合和实施自动化工具的成熟度和可用性不断提高。2023年调查探讨了云环境中的云安全和合规性方面的专业知识水平。责组织员工对以下方面的了解程度如何?低 中高费公司目前是否为技术专业人员提供了针对云计算的培训?是,有健全的
26、培训课程是,但范围有IR否,但鼓励自学4%雌所Hr殳有68%的企业提供针对云的专门培训, 其中针对云服务提供商的培训最为普 遍。调查显示,尽管68%的企业为技 术专业人员提供了云相关的培训,但 只有9%的企业提供全面的云相关培 训,还有32%的企业没有提供云相关 的培训。在提供的云安全培训中,针对云安全提供商的培训最为常见(54%),其次是CCSP (41%) CCSK (27%)、其他(20%)和 CCAK (17%)。少数组织显示其团队的知识水平较低(16%的云安全,13%的云合规稍多的组织显示出较高的专业知识水平(23%的云安全,29%的云合规)。金融服务和云领域的机遇与新技术和CSP功
27、能保持同步金融服务业在采用新技术创新和增强业务应用时面临着诸多 挑战。云技术向物联网(IoT)和边缘计算的扩展为开展商业 活动提供了更多的连接性、数据收集和互动,但也增加了安 全性和隐私保护的复杂性,需要强有力的保障措施。区块链和保密计算技术满足了保护敏感数据、确保交易安全和遵守法规的需求,但在可扩展性和集成性方面存在挑战。人工智能和大型语言模型(如ChatGPT/GPT. Bard/LaMDA)的兴起和发展为行业提供了更高的效率、洞察力和能力,但也要求谨慎处理客户数据、提高透明度并考虑道德因素。prepare! PREPARE prepare量子计算在带来技术优势的同时,也增加了应对未来计算
28、威胁的紧迫性。如前所述,目前依靠加密技术来保密金融信息的做法可能会立即受到挑战,并要求以数字方式提供金融服务的方式发生巨大变化。金融服务机构必须审慎应对这些挑战,在创新和风险管理之间取得平衡,以充分发挥这些技术的潜力,同时保障客户信任和数据安全。其他高级安全技术可能涉及在金融服务行业中进一步使用DevSecOpSe您是否正在利用DeV(SeC)OPS方法和工具来处理您的云工作负载?DevSecOps方法的使用实际上比2020年的调查结果略有下降云安全联盟进一步分析认为,将复杂的DeVOPS实践与安全集成和自动化相结合的能力已经影响了一些组织对DeVSeCoPS的采用。在金融服务行业,需要强调培
29、训开发人员和安全团队使用这些方法的重要性。云服务提供商的解决方案还必须专注于为这些团队提供简单且破坏性较小的安全性和DeVoPS集成。谓泮估您对CSP发起的大云服务更改所导致的安全和操作问题的关注程度低 中其他传统IT服务管理流程(如发布和变更管理)也受到云服务利用中固有的现代技术和第三方方面的重大挑战。特别是云共享安全责任模型的复杂性。CSP功能和技术的发展速度通常比金融服务客户采用的速度更快。仍然需要改进可能影响CSP客户应用程序、环境和操作的更改通知和管理。贵组织的员工对以下方面的了解程度如何:的重要性,特别是CCSP或CSP 云安全为金融服务行业提供充分保障的云安全人员:保持相关知识(
30、例如特定平台培训、微培训D培训人们己经认识到行业认证培训请评估您对CSP发起的大量云服务更改所导致的安全和操作问题的关注程度只有9%的受访者认为他37%54%们拥有高度强健的云安全计划:低中高流程:映射到FSl框架,验证到STARCCM和行业标准大多数受访者似乎将云控制矩阵用于多种目的,但看到外部评估的衍生物或将STAR计划作为当前业务实践的一部分的情况较少。这可能是由于缺乏意识或将其纳入合规实践中的考虑不足。与监管机构和合规官多些云控制矩阵框架和STAR注册表使用裨益方面的探讨,并开展STAR认证的宣传活动,可能会促进未来更广泛的采用。如何使用CSA云控制矩阵(CCM)或共识评估计划问卷(C
31、AIQ)?证明谡守椎架建立内部云安全控制植架建立内部云风给管理方法支持云采购流程支持云采购流程技术:云安全提供商借助安全技术的发展实现对金融服务业的有力支持新功能,人工智能集成云服务提供商正在与有安全保障需求的云客户密切合作。在进行的访谈中,一些金融服务机构提到了云服务提供商有他们自己专门的团队,专门解决如何实现金融服务请求的问题,以满足独特的合规或其他预期需求。云服务提供商还与业界合作,开发实现机密性和密钥管理的方法,进行权限分离,使云服务提供商无法访问受监管的数据。这方面的示例包括安全隔离和诸如机密计算之类的机制,其防止托管云服务提供商访问可读格式的金融数据。另外,还包括使用HSM即服务,
32、其中“信任根”防止云服务提供商访问敏感信息。企业和云风险管理许多金融服务企业都有成熟的企业风险管理(ERM)计划,可以解决企业面临的许多不同类型的风险,包括金融市场、监管和信息安全风险。企业风险管理计划通常包括企业风险评估方法和风险接受程序。第三方和供应链风险通常包含在这些计划和程序中。云服务风险评估集成到公司整体风险评估方法中的程度如何?尽管云服务越来越多地用于关键业务功能和客户参与,但正式的云策略仍在开发中。2020年的调查结果反映了当前的结果,大约三分之一的企业仍在制定云政策,超过一半的人将其纳入ERM计划。最令人担忧的是发现新漏洞的速度以及云服务提供商所做的更改可能影响金 融实体所需的
33、安全性或所需审计的透明度?在过去两年中,金融服务的数字化和云的采用已经超过了云策略在ERM中实施的速度。快速采用、更大规模的数字化供应链以及混合云和多云环境增加了传统IT系统的复杂性。随着90%的金融服务机构将云风险评估整合到整体公司风险评估方法中,部分和完全整合的平衡已经改变。金融服务对云的依赖为传统方法增加了重要的、高度动态的因素,这往往需要专门针对云的风险评估和管理方法。云环境中仍需要威胁情报和上下文信息在调查和采访中,信息共享以及了解金融服务行业面临的威胁的中心机制是常见的痛点。最令人担忧的是新漏洞被发现的速度以及云服务提供商所做的更改可能如何影响金融机构所需的安全性或审计要求的透明度
34、。最令人担忧的是发现新漏洞的速 度以及云服务提供商所做的更改 可能影响金融实体所需的安全性 或所需审计的透明度。正如某银行的一位首席信息官在接受采访时所说:“有过这样的情况,我们在不到48小时的时间内收到了(我们的云服务提供商的)重大变化的通知,这些变化将影响我们的环境。虽然一些问题可能是对严重的零日威胁的必要应对,但在这个例子中,本可以与我们更好地协调,以便我们的团队为变化做好准备。”另一个挑战是收集云环境相关的威胁,并进行更广泛的行业共享。受访者认为,金融服务信息共享与分析中心(FS-ISAC)和MITRE等几个组织是受访者获取与其环境相关的漏洞信息所依赖的组织。一些受访者建议在以云为核心
35、的漏洞方面进行进一步合作,这些漏洞对金融服务可能更重要,并且应更快地被公开讨论,以便于安全专业人员进行应对。受访者提出的建议包括推进专门针对行业威胁的全球安全数据库,以及云漏洞如何被利用的用例。此外,在公开评论中提出了一个想法,即如果漏洞被利用,则可能不符合以FSl为中心的框架。例如,如果成功安装了禁用日志记录或监控的恶意软件,PCIDSS要求中的哪些控制将不再符合要求?然而,人们认识到,如果没有匿名能力,有时很难进一步分享敏感的安全问题。即使在我们己经匿名的调查结果中,许多受访者表示,由于公司政策或其他原因,像披露金融服务机构必须完成的审计数量等,他们无法共享数据。提及的其他对策还有某种漏洞
36、标记形式,如果识别到在特定行业(比如金融服务行业)中普遍部署,将会升级其严重等级。CSA金融服务计划通过与行业利益相关者的交流,云安全联盟确定了未来可能考虑的贡献。为了保持对行业变化的相关观点,云安全联盟将邀请金融服务代表,云服务提供商和其他相关企业参加战略领导委员会,该委员会将召开会议,以确定教育、研究、分析简报、保证框架和计划的优先事项。教育教育将包括意识宣传活动,开发和推广与金融服务行业利益相关者相关的培训。意识宣传活动的例子包括目前正在制定的HSM即服务指南的相关性、与金融服务部门内使用的框架的映射以及如何完成共享安全责任模型(SSRM)O培训从了解可应用于金融资产的云基础知识开始。但
37、是,但除了金融服务行业的专业人员学习云知识证书或参加入门级云课程外,云安全联盟还将探索与行业合作的机会,开发以金融服务为中心的培训(如果有必要)。培训的示例可能包括在云环境中对财金融框架或用例进行审计。研究金融服务企业指出,在SaaS环境中进行开发的能力有助于加速创新,相比传统方法,能更快地将新技术投入生产。还有大量新的方法论和安全解决方案正在引入,需要指导如何最好地在各种平台上实施。在云安全联盟可以支持的潜在领域中,受访者要求在与云HSM相关的完整性和可信性、以及多云环境治理等相关的金融服务实践方面提供更多指导云安全联盟可以开发研究调查和论文,确定最感兴趣和最需要的领域,并提供实用的安全建议
38、。行业简报云安全联盟成员的一个好处是,与云安全联盟相关的组织能够要求做有关各种云计算或技术(如人工智能、区块链、量子计算等)的分析师简报,这些技术都利用了云服务。今后,云安全联盟将开始一系列以行业为中心的定期简报会,让金融服务行业的同行们都能听到向专题专家提出的问题,以便他们自己学习,并对贴合他们工作的问题做进一步讨论。参会的主题专家们来自特定的云服务提供商、监管机构或其他相关知识领域,分享在云计算中满足金融服务事务的最新方法。保障框架和计划云控制矩阵作为云服务安全最佳实践的参考,在全球范围内被广泛应用。云控制矩阵已应用于许多垂直行业,旨在保护云中的数字资产,金融服务也不例外。像网络安全风险研
39、究所和IBM金融服务公司等一些企业已将云控制矩阵纳入其相关框架之中。云安全联盟已经与几个欧洲联盟和工作组开展了进一步的工作,评估云控制矩阵作为其金融审计实践的部分。因此,云安全联盟可以评估为满足常规体系之外的特殊合规或金融数据处置的金融服务机构而设计的其他云控制矩阵需求的相关性。这可能会促使云控制矩阵增加金融服务相关的附录内容或者发布针对这些问题的云控制矩阵适用性白皮书。云安全联盟会继续将云控制矩阵映射到其他监管框架,最近完成了与新加坡金融管理局数据安全标准的比较和映射,并正在进行支付卡行业数据安全标准(PCIDSS)最新版本的映射。云服务提供商和其他拥有云业务的企业可以选择进行云控制矩阵评估
40、,并加入STAR认证计划。银行业支持STAR计划可作为第三方保障,并可能作为第三方采购中新供应商加入的先决条件。结论金融服务行业在许多方面与其他垂直行业一样享受到了云计算的好处。它能高效更快速地将解决方案推向市场,并按照习惯云原生应用的客户所期望的方式进行部署。企业还可以通告符合公司政策和合规要求的管理员规则加强同质化工作来提高安全性。这些调查结果显示,越来越多的企业使用云服务来部署关键业务应用,并在部署的公共云和私有云中处理受监管的财务数据。最突出的问题主要来自于满足各式各样的合规要求,金融系统完整性、可用性和适当人员访问的弹性需求,第三方合作伙伴的安全控制保障,以及员工正确配置访问控制的能力。云安全社区可以通过进一步的行业合作来提供帮助,制定易于理解的指导和应用控制的用例,提供专门针对金融服务专业人员的培训,研究保护金融数据的最新方法,并制定良好的安全基线框架,无论使用哪种云服务,都可以满足全球监管的期望。
