《云環(huán)境下的金融服務現(xiàn)狀》

目錄調(diào)結(jié)果 12日增長云服使用況 12金服務云化當前狀 14零任為融云問增完整性 15加云的據(jù)管能力 16業(yè)連續(xù)對云業(yè)務關重要 16滿云端管要求 18數(shù)隱私主權本地化 19監(jiān)機構(gòu)云服審計踐的解 20CSA云制矩建立一的安全法 22通云硬安全塊和密計算加密鑰理 23技缺口云安領域然存在 24金服務云領的機遇 26與技術和CSP功保持步 26為融服行業(yè)供充保障云安全 28人：保相關識（如特平臺訓、培訓） 28流：映到FSI框，驗到STAR 29技：云全提商借安全術的展實對金服務的有支持 29?2023云安全聯(lián)盟大中華區(qū)版權所有PAGE?2023云安全聯(lián)盟大中華區(qū)版權所有PAGE10企和云險管理 30云境中需要脅情和上文信息 31CSA金服務劃 32教育 32研究 32行簡報 33保框架計劃 33結(jié)論 34摘要（CSP）本報告的目的是評估行業(yè)現(xiàn)狀，并于與三年前行業(yè)初期CSA類似的調(diào)查結(jié)果進行比對，來證實金融服務業(yè)領導者正在進一步利用云服務來發(fā)現(xiàn)的當前問題和新的機遇。在與本報告相關的訪談中，金融科技公司的首席信息安全官（CISO）和云架構(gòu)師表示，利用可擴展性和快速推向市場的能力，將創(chuàng)新引入市場比以往的做法更劃算。此外，銀行業(yè)專業(yè)人員表示，受新冠疫情的影響，利用云服務實現(xiàn)遠程辦公或快速的動態(tài)更新、部署新的軟件服務的主要原因是其能夠提供符合法規(guī)的一致部署協(xié)調(diào)的安全策略。本報告中的監(jiān)管是最具影響力的因素之一。盡管將越來越多的云計算被用于托管受管控數(shù)據(jù)，但對于云服務提供商如何理解和確保其CSP本報告中除了監(jiān)管之外的主題還包含數(shù)據(jù)管理的重要本報告中最明顯的一點是云服務正在不斷深入金融服務的各個方面并有望被長時間使用。云服務是否被采用已不在是問題，而更多問題是“如何”使用。如何采取云原生安全策略，如何應用零信任方法，如何指導員工、監(jiān)管機構(gòu)和云合作伙伴等所有相關合作方。本報告中與CSA共享的信息有助于明確未來的研究內(nèi)容、標準要求、培訓和指導等該社區(qū)可能感興趣的內(nèi)容。在報告的最后，我們將分享一些建議，以供我們的金融服務業(yè)領導委員會考慮。調(diào)查方法2020CSA同時，還包括了其他一些問題，以便更好地了解對云控制矩陣和STAR計劃的現(xiàn)狀，以及由金融服務業(yè)領導工作組、CSA分析師和其他行業(yè)專家的問題。此外，我們還對首席信息安全官、首席風險官、金融服務內(nèi)部云架構(gòu)和數(shù)據(jù)治理的其他負責人進行了多次采訪。調(diào)查結(jié)果日益增長的云服務使用情況98%的受訪者202091%目前，業(yè)界對于在業(yè)務關鍵中使用云計算工作負載的把握已有顯著增加。2020年的調(diào)查結(jié)果顯示，當被問及在生產(chǎn)中的“關鍵業(yè)務”工作66%提供商表示沒有關鍵業(yè)務2在2023年的調(diào)查結(jié)果中有了顯著下降(43%)，擁有高占比關鍵業(yè)務工作負載的公司數(shù)量幾乎翻了一倍，從17%增加到32%。我們之前的調(diào)查相比，在公共云中使用受監(jiān)管的工作負載的情況增加了，84%的受訪者表示他們的一些受監(jiān)管數(shù)據(jù)存儲在公共云中，前期調(diào)查比例為73%。同時，許多金融服務機構(gòu)采取了私有云和公共云混用的方式，并繼續(xù)進行內(nèi)部部署操作。然而，也有公司認識到許多服務提供商已經(jīng)將軟件服務遷移到云上，這也影響了云的更廣泛使用。盡管如此，僅有28%的受訪者表示他們的大部分（50%202024%么阻礙公司進一步采用金融服務多云化是當前現(xiàn)狀依賴單一的云服務提供商，還是同時注冊使用多家云服務，是困擾企業(yè)的一個普遍問題。對企業(yè)多云使用的目的表明，許多企業(yè)已經(jīng)認識到云提供商多樣化的好處，例如可以降低供應商鎖定的風險，確保云環(huán)境更具有靈活性和彈性。通過使用多家云服務，企業(yè)還可以利用每個供應商的獨特功能和最佳功能，避免被某一單一供應商綁定，從而優(yōu)化其云戰(zhàn)略，最大限度地提高投資價值。調(diào)查顯示，57%目前使用多家云服務來IaaS/PaaS需求盡管政府監(jiān)管機構(gòu)要求IaaS/PaaS隨著跨云堆棧的第三方管理對于多云部署變得越來與上一份報告中的可見性不可見的受訪者數(shù)量意外IaaS和PaaS對SaaS和PaaSIaaS者未披露。這為主要的IaaS這種可見性的缺乏可能導致未知的安全和合規(guī)風險，例如無保障、無法證明行規(guī)符合狀態(tài)等。企業(yè)應該考慮實施健全的SaaS管理策略，以獲得更好的可見性和對云環(huán)境的控制。零信任為金融云訪問增加完整性零信任方法要求對敏感數(shù)據(jù)和資產(chǎn)的訪問進行持續(xù)驗證，同時最大限度地降低信息泄漏的影響。在云環(huán)境中，應定期測試所有第三方訪問的繼承安全控制，以驗證權限是否仍然相關。這種方法有可能實現(xiàn)保護金融資產(chǎn)的業(yè)務和技術目標，同時證明符合各種行業(yè)規(guī)定。加強云的數(shù)據(jù)管理能力對于金融服務業(yè)來說，數(shù)據(jù)的機密性以及了解數(shù)據(jù)的流向和路由方式至關重要。數(shù)據(jù)在存儲、傳輸和使用過程中都必須受到保護，以便確認公司貨幣會計的合法性，并保護在該企業(yè)托管資金的所有消費者。此外，還需要數(shù)據(jù)的可追溯性和清晰的審計跟蹤，隨時了解數(shù)據(jù)的移動和保護情況。幾位受訪者表示，在云端記錄財務數(shù)據(jù)的可擴展性優(yōu)于許多本地部署方法，這為向云端遷移提供了保障，但必須保持數(shù)據(jù)可靠性和一致性。然而，受訪者對數(shù)據(jù)暴露表示擔憂，這也導致對敏感數(shù)據(jù)遷移至公有云保持謹慎態(tài)度。通過使用零信任成熟度模型（例如CISA零信任成熟度模型v2）來衡量云端的數(shù)據(jù)管理安全性，同時應用共享安全責任模型（SSRM）和專門針對云的控制措施（例如CSA云控制矩陣（CCM）幫助建立與數(shù)據(jù)外泄、機密性和配置錯誤相關的透明性要求。業(yè)務連續(xù)性對云端業(yè)務至關重要（EU-（NIS2）2022/2555審計員和檢查員一直在問類似于"如果云服務提供商完全癱瘓怎么辦？”這樣的問題。這凸顯2020與首席信息安全官們探討后發(fā)現(xiàn)（CISO）云端數(shù)據(jù)遷入和遷出成本存在不均衡性。將數(shù)據(jù)遷出的成本遠遠超過向公有云環(huán)境遷移數(shù)據(jù)的成本。分布式拒絕服務（DDoS）和勒索軟件等攻擊的增加進一步加劇了對可用性的擔憂，尤其是在金融服務業(yè)。根據(jù)Cloudflare的數(shù)據(jù)，在2022年6月的DDoS攻擊中，金融服務占45%?！禫erizon數(shù)據(jù)泄露調(diào)查報告》（DBIR）連續(xù)將金融服務列為受數(shù)據(jù)泄露影響最嚴重的CSADDoSDDoS因此它們在最新的CSA11報告此類攻擊會嚴重擾亂運營并導致聲譽受損，因此金融服務機構(gòu)必須制定有效的業(yè)務連續(xù)性計劃（BCP）和事件響應計劃（IRP）戰(zhàn)略。企業(yè)組織需要投入強健的網(wǎng)絡空間安全措施，定期測試其備份和恢復計劃，降低宕機風險，確保系統(tǒng)始終可用。通過部署主動的安全防御措施并進行持續(xù)的改進，金融服務業(yè)可以自信地駕馭云環(huán)境，保護其關鍵數(shù)據(jù)和運營。滿足云端監(jiān)管要求金融服務機構(gòu)在其運營或開展國際業(yè)務的所有司法管轄區(qū)都受到當?shù)胤珊吐?lián)邦法律的監(jiān)管。近年來，調(diào)查受訪者指出，監(jiān)管機構(gòu)對第三方（尤其是云服務提供商）的審查力度加大，要求其提供文件并證明其符合各種標準框架，稱監(jiān)管機構(gòu)對第三方的關注能夠影響安全性。受訪者提到，備受矚目的金融數(shù)據(jù)泄露事件和新法規(guī)的出臺是引起這種關注的催化劑。在合規(guī)數(shù)據(jù)方面仍然使用云計59%在云服務中存儲或處理受監(jiān)管25%參與調(diào)查的全球代表來自亞（20%（28%的受訪者）以及美洲地區(qū)（52%在關注如何解決云環(huán)境中的雖然大多數(shù)金融服務機構(gòu)都在廣泛部署云服務，但只有28%的受訪者表示他們將大部分受監(jiān)管的工作負載部署在公有云上在訪談中，受訪者認為云服務提供商缺乏透明度、無法向?qū)徲嬋藛T證明合規(guī)性或擔心沒有足夠的網(wǎng)絡安全資源進行從容的管理是不打算進一步在公有云上處理受監(jiān)管數(shù)據(jù)的主要原因。在云中擁有大部分關鍵業(yè)務工作負載（50%或以上）的企業(yè)數(shù)量在短短三年內(nèi)幾乎翻了一番。87%的金融組織已將其關鍵業(yè)務工作負載轉(zhuǎn)移到云中。另有15%（從17%增長到32%）的企業(yè)正在將一半以上的關鍵業(yè)務工作負載轉(zhuǎn)移到云中。12個月72%的企業(yè)會將受監(jiān)管（202063%數(shù)據(jù)隱私、主權和本地化近年來，世界各國政府已經(jīng)建立或考慮了有關數(shù)據(jù)主權和數(shù)據(jù)本地化的立法，這些立法可能會限制金融服務實體可能擁有的個人金融或其他個人數(shù)據(jù)的傳輸。這些法規(guī)可能會影響金融服務機構(gòu)及其客戶。此外，這可能會影響在這些國家托管或開展業(yè)務的云服務提供商。某些數(shù)據(jù)本地化法律要求首先將收集的個人信息存儲在國內(nèi)，然后再進行跨境傳輸。而其他法規(guī)可能更為嚴格，防止外國系統(tǒng)存儲與該國公民相關的任何數(shù)據(jù)。在訪談中，首席信息安全官們建議內(nèi)部法律顧問定期監(jiān)控這些特定的變化，風險專業(yè)人員則要制定計劃，對可能需要進行的調(diào)整保持警惕，以證明遵守了相關規(guī)定。本報告的一些受訪者表示，法律復雜程度越來越高，金融服務機構(gòu)和云服務提供商越來越難搞明白，致使他們對進一步采用云服務猶豫不決。其中一些普遍引用的例子包括歐盟的《歐洲網(wǎng)絡安全法案》（EU-CSA）和《通用數(shù)據(jù)保護條例》（GDPR）。2020公有云服務中所占的比是在報告中受監(jiān)管工作11-50%之間的受訪者比例從15%增加到0%的受訪者比例從27%下降到16%。受訪者對于識別的隱私和監(jiān)管阻礙的所有類別沒有明顯的區(qū)分。所有"阻礙因素"都被認為在防止部署更敏感的工作負載方面具有中度或高度挑戰(zhàn)性，具體包括：監(jiān)管機構(gòu)對云服務審計實踐的理解這與大多數(shù)受訪者提到的需要向多個云服務提供商提交多次審計請求的情況相一致。CSA云控制矩陣建立統(tǒng)一的云安全方法CSA(CCM)(CAIQ)。和CAIQCCM65%CCMCAIQ33%的企業(yè)將云服務風險評估完全納入了公司整體風險評估方法。身份與訪問管理（IAM）和零信任是新興的研究領最常引用的框架有NIST網(wǎng)絡安全框架(NISTCSF)、支付卡行業(yè)數(shù)據(jù)安全標準(PCIDSS)、ISO27001(GDPR)(MAS)(FFIEC)和SOC2CSASTAR被認為是更透明、更一致地評估云服務提供商的一個機會。有受訪者指出使用STAR被視為一種潛在的做法，可以納入采購活動中因為它表明第三方供應商進行了適當盡職調(diào)查。大多數(shù)金融服務機構(gòu)(80%的受訪者)CCM和STAR通過云硬件安全模塊和機密計算加強密鑰管理密鑰管理是維護數(shù)據(jù)安全性和完整性的關鍵環(huán)節(jié)，尤其是在金融服務行業(yè)。受監(jiān)管的關鍵數(shù)據(jù)集有嚴格的密鑰管理政策，以確保金融數(shù)據(jù)的機密性，并高度保證所使用的加密技術值得信賴。最新調(diào)查顯示，僅有2%的金融服務機構(gòu)的內(nèi)部密鑰管理政策是未定義或未公開的，低于2020年的12%。此外，所有關鍵數(shù)據(jù)都制定了密鑰管理政策而這在2020年并非如此。針對關鍵數(shù)據(jù)、監(jiān)管數(shù)據(jù)、公開數(shù)據(jù)和非敏感數(shù)據(jù)的密鑰管理政策的建立明顯增加。在密鑰管理的政策立場方面，52%的企業(yè)將關鍵信息置于基于云的硬件安全模塊(HSM)，主密鑰存儲在HSM中，且不允許云服務提供商訪問。這一比例比2020年增加了25%。另一方面，38%的企業(yè)使用本地解決方案，企業(yè)必須持有密鑰。這比2020年的跟蹤數(shù)據(jù)下降了5%。還有其他數(shù)據(jù)表明，還有其他的密鑰管理或加密服務被用來保護受監(jiān)管和不受監(jiān)管的工作負載。HSM即服務、安全隔離和保密計算都被提及用于保護這兩種工作負載。除了數(shù)據(jù)加密的技術解決方案外，受訪者還呼吁監(jiān)管機構(gòu)、企業(yè)和云服務提供商在云控制矩陣領域（特別是密碼學、加密和密鑰管理以及數(shù)據(jù)安全和隱私生命周期管理）和HSM即服務方面開展聚焦金融行業(yè)的研究、培訓和教育。這些統(tǒng)計數(shù)據(jù)強調(diào)了密鑰管理和數(shù)據(jù)加密解決方案日益重要，以及采用云端服務強化金融服務行業(yè)數(shù)據(jù)安全性和合規(guī)性的轉(zhuǎn)變。技能缺口在云安全領域仍然存在金融服務機構(gòu)仍然面臨的一個普遍挑戰(zhàn)是云安管理和保護云環(huán)境專業(yè)竭力培訓和聘用云安全50%的企業(yè)選擇聘請第三方顧問，57%的企業(yè)正在聘用更多的內(nèi)部云安全專業(yè)人員，52%的企業(yè)正在依靠自動化來解決這些問題。與2020年相比，如今有更多的企業(yè)直接引進云安全專業(yè)人員（從40%增長到57%），并保持部分內(nèi)部現(xiàn)有人員的發(fā)展（78%降到70%）。自動化技術的應用有所增加（從33%增長到52%），這表明部署、整合和實施自動化工具的成熟度和可用性不斷提高。2023年調(diào)查探討了云環(huán)境中的云安全和合規(guī)性方面的專業(yè)知識水平。少數(shù)組織顯示其團隊的知識水平較低（16%的云安全，13%的云合規(guī)稍多的組織顯示出較高的專業(yè)知識水平（23%的云安全，29%的云合規(guī)）。

68%的企業(yè)提供針對云的專門培訓，68%9%32%在提供的云安全培訓中，針對云安全提供商的培訓最為常見（54%），其次是CCSP（41%）、CCSK（27%）、其他（20%）和CCAK（17%）。金融服務和云領域的機遇與新技術和CSP功能保持同步金融服務業(yè)在采用新技術創(chuàng)新和增強業(yè)務應用時面臨著諸多挑戰(zhàn)。云技術向物聯(lián)網(wǎng)（IoT）和邊緣計算的擴展為開展商業(yè)活動提供了更多的連接性、數(shù)據(jù)收集和互動，但也增加了安全性和隱私保護的復雜性，需要強有力的保障措施。區(qū)塊鏈和保密計算技術滿足了保護敏感數(shù)據(jù)、確保交易安全和遵守法規(guī)的需求，但在可擴展性和集成性方面存在挑戰(zhàn)。人工智能和大型語言模型（如量子計算在帶來技術優(yōu)勢的同時，也增加了應對未來計算威脅的緊迫性。如前所述，目前依靠加密技術來保密金融信息的做法可能會立即受到挑戰(zhàn)，并要求以數(shù)字方式提供金融服務的方式發(fā)生巨大變化。金融服務機構(gòu)必須審慎應對這些挑戰(zhàn)，在創(chuàng)新和風險管理之間取得平衡，以充分發(fā)揮這些技術的潛力，同時保障客戶信任和數(shù)據(jù)安全。其他高級安全技術可能涉及在金融服務行業(yè)中進一步使用DevSecOps。DevSecOps方法的使用實際上2020云安全聯(lián)盟進一步分析認為，將復雜的DevOps成和自動化相結(jié)合的能力已經(jīng)影響了一些組織對DevSecOps小的安全性和DevOps其他傳統(tǒng)IT（如發(fā)布和變更管理）受到云服務利用中固有的現(xiàn)代技術和第三方方面的重大挑戰(zhàn)。特別是云共享安全責任模型的復雜性。CSP功能和技術的發(fā)展速度通常比金融服務客戶采用的速度更快。仍然需要改進可能影響CSP客戶應用程序、環(huán)境和操作的更改通知和管理。為金融服務行業(yè)提供充分保障的云安全人員：保持相關知識（例如特定平臺培訓、微培訓）培訓人們已經(jīng)認識到行業(yè)認證培訓的重要性，特別是CCSPCSPFSIFSI只有9%的受訪者認為他們擁有高度強健的云安全計劃：65%65%65%59%]2%14%企業(yè)和云風險管理許多金融服務企業(yè)都有成熟的企業(yè)風險管理（ERM）計劃，可以解決企業(yè)面臨的許多不同類型的風險，包括金融市場、監(jiān)管和信息安全風險。企業(yè)風險管理計劃通常包括企業(yè)風險評估方法和風險接受程序。第三方和供應鏈風險通常包含在這些計劃和程序中。盡管云服務越來越多地用于正式的云策略仍在開發(fā)中。2020年的調(diào)查結(jié)果反映了當ERM在過去兩年中，金融服務的數(shù)字化和云的采用已經(jīng)超過了云策略在ERM大規(guī)模的數(shù)字化供應鏈以及混合云IT90%云風險評估整合到整體公司風險評估方法中，部分和完全整合的平衡金融服務對云的依賴為傳統(tǒng)方法增加了重要的、高度動態(tài)的因素，這往往需要專門針對云的風險評估和管理方法。云環(huán)境中仍需要威脅情報和上下文信息正如某銀行的一位首席信息官在接受采訪時所說：“有過這48（雖然一些問題可能是對嚴重的零日威脅的必要應對，但在這個例子中，本可以與我們更好地協(xié)調(diào)，以便我們的團隊為變和MITRE受訪者提出的建議包括推進專門針對行業(yè)威脅的全球安全數(shù)據(jù)庫，以及云漏洞如何被利用的用例。FSIDSS提及的其他對策還有某種漏洞標記形式，如果識別到在特定行業(yè)（比如金融服務行業(yè)）中普遍部署，將會升級其嚴重等級。CSA金融服務計劃通過與行業(yè)利益相關者的交流，云安全聯(lián)盟確定了未來可能考慮的貢獻。為了保持對行業(yè)變化的相關觀點，云安全聯(lián)盟將邀請金融服務代表，云服務提供商和其他相關企業(yè)參加戰(zhàn)略領導委員會，該委員會將召開會議，以確定教育、研究、分析簡報、保證框架和計劃的優(yōu)先事項。教育教育將包括意識宣傳活動，開發(fā)和推廣與金融服務行業(yè)利益相關者相關的培訓。意識宣傳活動的例子包括目前正在制定的HSM即服務指南的相關性、與金融服務部門內(nèi)使用的框架的映射以及如何完成共享安全責任模型（SSRM）。培訓從了解可應用于金融資產(chǎn)的云基礎知識開始。但（研究SaaS在云安全聯(lián)盟可以支持的潛在領域中，受訪者要求在與云HSM行業(yè)簡報（今后，云安全聯(lián)盟將開始一系列以行業(yè)為中心的定期簡報會，讓金融服務行業(yè)的同行們都能聽到向?qū)ｎ}專家提出的問題，以便他們自己學習，并對貼合他們工作的問題做進一步討論。參會的主題專家們來自特定的云服務提供商、監(jiān)管機構(gòu)或其他相關知識領域，分享在云計算中滿足金融服務事務的最新方法。保障框架和計劃云