2024金融服务云安全报告.docx

《2024金融服务云安全报告.docx》由会员分享，可在线阅读，更多相关《2024金融服务云安全报告.docx（25页珍藏版）》请在优知文库上搜索。

1、金融服务云安全调查报告目录前言7摘要10调查方法11调查结果12日益增长的云服务使用情况12金融服务多云化是当前现状14零信任为金融云访问增加完整性15加强云的数据管理能力16业务连续性对云端业务至关重要16满足云端监管要求18数据隐私、主权和本地化19监管机构对云服务审计实践的理解20CSA云控制矩阵建立统一的云安全方法22通过云硬件安全模块和机密计算加强密钥管理23技能缺口在云安全领域仍然存在24金融服务和云领域的机遇26与新技术和CSP功能保持同步26为金融服务行业提供充分保障的云安全28人员：保持相关知识（例如特定平台培训、微培训I）28流程：映射到FSl框架，验证到STAR29技术：

2、云安全提供商借助安全技术的发展实现对金融服务业的有力支持29企业和云风险管理30云环境中仍需要威胁情报和上下文信息31CSA金融服务计划32教育32研究32行业简报33保障框架和计划33结论34调查结果日益增长的云服务使用情况目前，业界对于在业务关键 中使用云计算工作负载的把 握已有显著增加。2020年的 调查结果显示，当被问及在 生产中的“关键业务”工作 负载占比时，约66%的服务 提供商表示没有关键业务(20%)或关键业务占比小于十分之一(46%)。这些数字自新冠疫情以来，金融服务业使用云服务的情况不断增长，几乎所有金融机构都在使用某类云计算服务。98%的受访者表示他们公司正在使用云计算服

3、务，高于2020年的91%o许多受访者讨论了增长的原因，其中一部分是疫情导致新工作场景带来新的发展需求，以适应远程办公和客户对其账户的远程访问。在云提供育的生产环境中,被公司认定为关键业务的工作负载占比是多少?66%17%202020%46%43%32%27%16%16%0%.1-10%J11-50%;51-75%JI76-100%在2023年的调查结果中有了显著下降(43%),拥有高占比关键业务工作负载的公司数量几乎翻了一倍，从17%增加到32%o我们之前的调查相比，在公公共云中受监管数据的占比是多少?共云中使用受监管的工作负73%24%载的情况增加了，84%的受12%12%访者表示他们的一

4、些受监管202084%28%0% b 1-10%： 11-50% 51-75% S 76-100%数据存储在公共云中，前期调查比例为73%o同时，许2023多金融服务机构采取了私有云和公共云混用的方式，并继续进行内部部署操作。然而，也有公司认识到许多服务提供商已经将软件服务迁移到云上，这也影响了云的更广泛使用。尽管如此，仅有28%的受访者表示他们的大部分（50%及以上的工作负载）受监管数据存储在公共云中，这与2020年的24%相比略有增加。你认为每个阻碍因子对于你的公司部署更多敏感工作负载的阳碍有多大? 2020 20231234没有挑战性T挑战性适魅砧性非常挑战性数殿私原则合规职他部门的要求

5、技术安全蹒疑与CSP签订的与安全、风险或责任有关的合同问应员工管理云服务的技能差距有趣的是，在被问及是什么阻碍公司进一步采用敏感工作负载时，给出的第一个“阻碍因子”几乎都是“难度增加”。在监管和合规功能，尤其是隐私方面，仍是除了技术人员配备外最大的挑战。贵公司目前是否只依赖一家云服务提供商提供aaSPaa5,还是已使用多家提供商?请对贵组织以下环境的可见性打分: 2020 2023金融服务多云化是当前现状依赖单一的云服务提供商，还是同时注册使用多家云服务，是困扰企业的一个普遍问题。对企业多云使用的目的表明，许多企业己经认识到云提供商多样化的好处，例如可以降低供应商锁定的风险，确保云环境更具有灵

6、活性和弹性。通过使用多家云服务，企业还可以利用每个供应商的独特功能和最佳功能，避免被某一单一供应商绑定，从而优化其云战略，最大限度地提高投资价值。调查显示，57%的企业目前使用多家云服务来满足其IaaS/PaaS需求尽管政府监管机构要求支持多云服务使用以提高企业业务弹性，但受访的企业首席信息安全官们提到了当前多云发展方面所面临的挑战。主要使用单一云服务商来提供IaaS/PaaS的受访者人数略有增加，这也从侧面印证了首席信息安全官们的观点。第三方云服务之间的信息互通可操作性、信息可移植性、可视性、数据管理、安全策略等方面的复杂性导致了使用多云环境的困难。随着跨云堆栈的第三方管理对于多云部署变得越

7、来良好到优秀有所增加，但对IaaS环境的可见性却有所下降。对企业信息安全负责人的访谈的进一步评估显示，这不仅仅是可见性的问题，而是在跨云环境中缺乏通知和变更上下文信息，或者未披露。这为主要的IaaS提供商在操作和活动级别添加额外的可见性、控制和上下文层面留有余地。云原生应用保护平台（CNAPP）和变更通知标准等解决方案的改进将在这方面发挥主导作用。这种可见性的缺乏可能导致未知的安全和合规风险，例如无保障、无法证明行规符合状态等。企业应该考虑实施健全的SaaS管理策略，以获得更好的可见性和对云环境的控制。零信任为金融云访问增加完整性金融组织对查看或操作财务记录的权限的完整性有多种期望。有几个因素

8、促成了这一点，包括上述提到的数据管理方面，以保持机密性，以及防止由于对数据的完整性保护不当而导致的数据丢失或损坏，如洗钱或盗窃。这也是调查中指出零信任是当前首要任务的一个可能原因。零信任方法要求对敏感数据和资产的访问进行持续验证，同时最大限度地降低信息泄漏的影响。您对以下哪些有关金融服务业的话题最感兴趣?在云环境中，应定期测试所有第三方访问的继承安全控制，以验证权限是否仍然相关。这种方法有可能实现保护金融资产的业务和技术目标，同时证明符合各种行业规定。加强云的数据管理能力对于金融服务业来说，数据的机密性以及了解数据的流向和路由方式至关重要。数据在存储、传输和使用过程中都必须受到保护，以便确认公

9、司货币会计的合法性，并保护在该企业托管资金的所有消费者。此外，还需要数据的可追溯性和清晰的审计跟踪，随时了解数据的移动和保护情况。几位受访者表示，在云端记录财务数据的可扩展性优于许多本地部署方法，这为向云端迁移提供了保障，但必须保持数据可靠性和一致性。典型控制适用性与归属（云服务提供商负责、客户端服务消费者负责、共同负责）IaaSPaaSSaaSWfWCloud Controls MatrixSSRM:明确划分云服务提供商 （CSPs）和客户端服务消费者 （CSCs）的控制实施责任.客户8服务客户蹦务客户培服务消费者负费消落者负责消箔者负未然而，受访者对数据暴露表示担忧，这也导致对敏感数据迁移

10、至公有云保持谨慎态度。通过使用零信任成熟度模型（例如CISA零信任成熟度模型v2）来衡量云端的数据管理安全性，同时应用共享安全责任模型（SSRM）和专门针对云的控制措施（例如CSA云控制矩阵（CCM）帮助建立与数据外泄、机密性和配置错误相关的透明性要求。业务连续性对云端业务至关重要可用性对于保持业务连续性和确保机构平稳运行至关重要。美国财政部在近期报宣中强调了金融机构的弹性和多云化支持的能力。欧盟（EU）在欧洲网络安全法案（EU-CSA）和欧盟网络与信息安全指令（NIS2指令）2022/2555中考虑到了网络弹性问题。您有更换云提供商的后备计划吗?35%52% 否云计算通过将关键数据和应服务和

11、基础设施中，以降低 数据丢失和现场基础设施故 障的风险，从而确保金融服 务的业务连续性。同时，这用程序安全地存储在第三方些服务的设计必须始终符合不断变化的金融服务业安全标准和要求。金融监管机构、审计员和检查员一直在问类似于如果云服务提供商完全瘫痪怎么办？”这样的问题。这凸显了制定包括备份和灾难恢复解决方案在内的强大多云管理策略的必要性。但是，这可能需要付出云端的效率和运营成本。有趣的是，报告显示，与2020年调查的受访者相比，当前服务提供商的备份计划准备程度略有下降。与首席信息安全官们探讨后发现（CISO）云端数据迁入和迁出成本存在不均衡性。将数据迁出的成本远远超过向公有云环境迁移数据的成本。

12、分布式拒绝服务（DDOS）和勒索软件等攻击的增加进一步加剧了对可用性的担忧，尤其是在金融服务业。根据CIoUdfIare的数据,在2022年6月的DDoS攻击中，金融服务占45%oVerizon数据泄露调查报告工2幽_连续将金融服务列为受数据泄露影响最严重的行业。CSA早期的调查报告显示,DDoS和勒索软件是与数据泄露、系统访问权限丢失、系统破坏、持续对抗性访问、帐户劫持和欺诈相关的最主要的安全关注点。DDoS和勒索软件能够封锁组织的关键数据,使运营陷入停滞，因此它们在最新的CSA云计算11大顶级威胁报告中被着重提及就不足为奇了。此类攻击会严重扰乱运营并导致声誉受损，因此金融服务机构必须制定有

13、效的业务连续性计划（BCP）和事件响应计划（IRP）战略。企业组织需要投入强健的网络空间安全措施，定期测试其备份和恢复计划，降低宕机风险，确保系统始终可用。通过部署主动的安全防御措施并进行持续的改进，金融服务业可以自信地驾驭云环境，保护其关键数据和运营。贵纽R是否在云服务中存储或处理受监管的银行数据?虽然大多数金融服务公有云服务中受监管工作负载的百分比是多少?满足云端监管要求金融服务机构在其运营或开展国际业务的所有司法管辖区都受到当地法律和联邦法律的监管。近年来，调查受访者指出，监管机构对第三方（尤其是云服务提供商）的审查力度加大，要求其提供文件并证明其符合各种标准框架，称监管机构对第三方的关

14、注能够影响安全性。受访者提到，备受瞩目的金融数据泄露事件和新法规的出台是引起这种关注的催化剂。尽管如此，大多数金融服务机构在合规数据方面仍然使用云计算，其中有59%的受访者表示其在云服务中存储或处理受监管的银行信息，只有25%的受访者表示未来没有这样的计划。参与调查的全球代表来自亚太地区（20%的受访者）、欧洲、中东和非洲地区（28%的受访者）以及美洲地区（52%的受访者），这表明全世界都在关注如何解决云环境中的监管问题。机构都在广泛部署云服务，但只有28%的27%14%14%部分受监管的工作负受访者表示他们将大0%1-10%11-50%51-75%76-100%载部署在公有云上在访谈中，受访

15、者认为云服务提供商缺乏透明度、无法向审计人员证明合规性或担心没有足够的网络安全资源进行从容的管理是不打算进一步在公有云上处理受监管数据的主要原因。在云中拥有大部分关键业务工作负载（50%或以上）的企业数量在短短三年内几乎翻了一番。贵公司目前在云服务提供商生产环境的关键业务工作负载或服务占多大比例?键业务工作负载转移到云 中。另有15% （从17%增 长到32%）的企业正在将 一半以上的关键业务工作 负载转移到云中。0% 1-10%3 11-50% g 51-75%1 76-100%87%的金融组织已将其关此外，预计在未来12个月内72%的企业会将受监管的银行数据转移或存储在云端。（较2020年的63%有所增加），该报告显示未来金融服务业对云的信任和依赖程度有所提高。数据隐私、主权和本地化近年来，世界各国政府已经建立或考虑了有关数据主权和数据本地化的立法，这些立法可能会限制金融服务实体可能拥有的个人金融或其他个人数据的传输。这些法规可能会影响金融服务机