通过全面的合规性和恢复能力保障金融服务的安全

白皮书 确保金融服务具有全面合规性和韧性 2 akamaicom2 网络安全策略应对新兴风险与演变应对措施 金融服务行业面临着不断的压力，需要不断进化，这种压力来源于创新以及日益严格的监管环境。一方面，数字创新为提升客户体验和获得竞争优势提供了巨大的机会。另一方面，加剧的监管审查、更严格的执法行动以及缩短的合规期限，都要求机构在保持合规的同时不牺牲安全性。 数字进化也扩大了攻击面，使金融机构面临复杂的网络威胁。这些挑战因对其基础设施 、应用程序、资产和用户视野有限而加剧。在这样的环境中，机构必须找到积极的方法来适应，同时确保其运营的安全性和韧性。 3 akamaicom3 动态监管环境 近年来，随着威胁态势的演变和网络攻击的日益复杂，为了加强金融机构的网络安全和业务韧性，引入了新的监管框架。例如，欧盟的数字业务韧性法案（DORA）和网络信息安全指令（NIS2）都重新聚焦于保护关键金融基础设施，并确保机构能够抵御、应对和从网络事件中恢复。 此外，如支付卡行业数据安全标准（PCIDSS）和通用数据保护条例（GDPR）等框架 ，增强了保护客户数据和维持所有数字交互中稳健的安全控制的重要性。这些监管要求为金融机构创造了一个具有挑战性的环境，因为它们必须持续适应新规则，同时在不断变化的威胁环境中管理日益增长的网络安全风险。 这项监管压力要求金融机构在合规和网络安全方面双管齐下，需要提升其运营韧性、增强对数字资产的透明度，并减轻不断演变的安全威胁。 金融机构的关键挑战：透明度和合规性 可见性差距，合规性差距 金融机构常常难以对他们的基础设施、用户和应用有清晰的了解，这导致重大的安全和合规失败。根据最近的ForresterstudycommissionedbyAkamai 88的金融机构在过去18个月内至少遭遇了一次重大影响事件，其中60因违规而产生了补救成本。p 超过三分之一的金融机构缺乏信心，能够迅速检测并响应漏洞，从而面临不合规和罚款的风险。p 超过25的机构对当前及即将出台的法规缺乏全面了解，50的机构在报告用户方面存在困难。c套件、基础设施和应用程序，合规团队和审计员作为 运营孤岛和工具差距 有限的视野进一步加剧了这一状况。碎片化工具、内部孤岛和人员配备挑战例如 ： 69的机构报告称，在过去18个月内，人员短缺和专业技能不足导致了重大影响事件和非合规问题。我：i 61认为无效或零散的安全工具是一个挑战，52表示他们的工具无法提供用户、资产、基础设施的综合视图。snd应用程序一个 供应商复杂性的增加也放大了风险；那些使用多个担保人以提高可见性的机构更有可能经历重大的影响事件。v akamaicom4 全球关于合规挑战的视角 地缘政治不确定性和政治动荡直接影响银行业监管。在不确定时期，监管当局面临不同的司法管辖权和行政关注领域，有时可能导致相互冲突的命令和重叠的规则。这种复杂性可能导致执法方面的挑战，并限制信息交流和运营协同的机会。没有这些协同，可能出现信息孤岛，导致多个业务线维持冗余且不一致的客户级数据，这需要企业级协调。 这种复杂性通常会被老旧的遗留系统所加剧，这些系统中存在硬编码的业务规则，这复杂了自动化合规流程的努力。分散的组织结构、数据格式和遗留系统流程大大增加了合规任务和成本。 运营弹性在2017年得到了重视，因为来自欧洲、新加坡、香港、美国以及其他地区的监管机构对一系列事件做出了反应。网络信息安全事件和勒索软件攻击激增各地区的做法各不相同。欧盟和英国以详细且及时的法规为领导，而美国采取的是一种合作但多样化的方法。亚太地区在一些领域表现出强大的努力，但在各司法管辖区之间缺乏一致性 。数字帝国：全球对技术进行监管的竞争AnuBradford识别出三种主要的监管框架：美国市场驱动模式、中国国家驱动模式和欧洲权利驱动模式。这些不同的方法创造了一个复杂的环境，要求金融机构理解和适应区域细微差别和监管要求。 akamaicom5 6 akamaicom6 全球监管机构，包括以下机构：新加坡金融管理局（MAS），公司名称欧洲央行（欧洲央行），the金融机构监管局办公室 （加拿大）加拿大省金融服务局（OSFI），在加拿大，联邦金融机构检查委员会美国联邦金融机构检查委员会（FFIEC）和澳大利亚审慎监管局（澳大利亚审慎监管局 ）及其最新的CPS230标准企业网络正日益受到审查，以确保只有授权用户和应用程序可以进行通信。这种从传统边界防御到微分段和零信任架构的转变，反映了全球向更严格的安保控制趋势。 例如，澳大利亚审慎监管局（APRA）的CPS230标准，该标准侧重于金融机构的运营韧性，强调了保持强大程序以抵御和从中断中恢复的重要性。此外，最新的FFIEC信息技术检查手册本书辟出一整个章节讨论应用程序编程接口（APIs），阐述“损坏的、暴露的或被篡改的APIs可被恶意行为者利用并用于数据泄露。”手册描述了一系列安全控制措施，以帮助金融机构保护APIs，保护机密数据和防御攻击。无论是在欧洲、美国还是亚洲，金融机构必须通过确保通信得到严格控制和监控，来适应这种不断发展的环境。 具体规定 DORA DORA是一项重要的欧洲立法，通过要求一个更加强化的数字运营弹性框架，为金融机构制定了一个更严格的监管规则手册，涵盖金融机构及其信息和通信技术（ICT）第三方提供商。DORA将于2025年1月17日生效。 PCIDSSv40 PCIDSS是一套适用于任何接受、处理、存储或传输信用卡数据组织的安全标准。最新版本PCIDSSv40于2022年3月发布，并要求在2025年3月前完全合规。该标准在全球范围内被认可，用于执行支付卡数据安全并防止违规行为。 NIS2指令 《NIS2指令》为欧盟范围内的网络安全立法提供了法规，更新了之前的NIS指令。该指令旨在在整个欧盟建立一个共同的网络安全水平，协调措施和方法，以保障数字基础设施免受网络攻击。 数据隐私法规 随着日益增长的数据隐私法规例如欧盟的通用数据保护条例（GDPR）以及经过加利福尼亚隐私权法案（CPRA）修订的美国加利福尼亚消费者隐私法案（CCPA）金融机构需要具备灵活的IT平台来满足新的监管数据要求。Akamai保障客户数据安全，加速安全漏洞调查，适应监管变化，并提供流程可见性和可审计性。 akamaicom7 akamaicom8 akamaicom8 金融机构面临的威胁态势不断演变，分布式拒绝服务（DDoS）攻击、勒索软件、钓鱼和数据泄露等网络威胁构成了重大挑战。这些威胁不仅会扰乱运营，还会造成严重的财务和声誉影响。DDoS攻击已变得越来越复杂，通常被用作勒索软件攻击等更恶意活动的掩 护。例如，AkamaiProlexic平台成功地挫败了针对美国主要金融机构的最大DDoS攻击强调需要强大的防御机制。勒索软件攻击利用漏洞对关键数据进行加密，并要求支付赎金 以解密。 金融损失和由此类攻击造成的运营中断可能是巨大的。金融机构必须部署先进的安全威胁检测和事件响应能力，以有效地减轻这些风险。钓鱼和社交工程攻击也非常普遍，欺骗员工透露敏感信息或凭证，可能导致对系统的不授权访问。持续员工培训和强有力的电子邮件安全措施是应对这些威胁所必需的。数据泄露会导致敏感客户信息曝光，从而引发财务损失、监管罚款和声誉损害。实施强加密、访问控制和监控解决方案对于确保数据完整性至关重要。 顶级网络安全威胁，影响金融机构。 零日威胁 零日攻击对金融机构尤其危险，针对以前未知的软件漏洞。这些攻击可以迅速升级，发现后的几小时内就有成千上万次利用尝试。金融机构需要多层防御和对其整个环境的实时可见性，以便快速检测和响应。解决方案应提供“单一玻璃窗”视图，以实现对所有资产和基础设施的细粒度可见性，包括遗留系统和现代操作环境，如操作技术（OT）和物联网（IoT）。SolarWinds、Log4j和OpenSSL等软件中的漏洞强调了在调查期间对系统进行手术控制、降低风险和阻止恶意活动的重要性。缩短暴露窗口和消除安全漏洞有助于机构在不影响生产应用程序的情况下，领先于这些波动性威胁。 DDoS攻击 DDoS攻击通过恶意流量淹没网络，对金融机构构成重大风险，导致服务中断和财务损失。通常被用作针对勒索软件等更恶劣活动的干扰手段，DDoS攻击会严重破坏运营。Akamai的Prolexic平台成功缓解了其中一次攻击。最大的DDoS攻击面对一家主要的美国金融机构。为了防御此类威胁，金融机构需要具有强大、多层次防御能力的体系，能够在不中断关键服务的情况下处理大规模攻击。一个弹性基础设施对于最小化运营中断并确保服务不间断可用至关重要。 勒索软件 勒索软件一直是金融机构的一项持续威胁，攻击者加密关键数据并索要赎金以获取其释放。然而，真正的危险在于勒索软件能够跨系统横向传播，导致大规模的运营失败 。为了减轻这些风险，机构必须专注于减少初始攻击向量，例如限制暴露的服务器并确保适当的补丁管理。网络分段和环形围困可以限制传播路径并防止勒索软件的传播 。定期的数据备份对于最小化停机时间和数据损失至关重要，确保在攻击后能够快速恢复和维持业务连续性。 akamaicom9 钓鱼攻击与社会工程学 网络钓鱼和社交工程攻击持续利用金融机构的员工，导致未经授权的访问和数据泄露。攻击者常常诱骗员工透露敏感信息或在不知情的情况下安装恶意软件。为了应对这些威胁，金融机构必须实施持续的员工教育、高级电子邮件过滤和严格的访问控制协议。持续的教育项目帮助员工对不断演变的钓鱼技巧保持警惕，从而保护内部系统和客户数据不受侵害 。高级电子邮件安全和积极监控对于降低这些风险至关重要。 API攻击 APIs越来越成为网络犯罪分子的关键目标，因为金融机构依赖它们来推动创新和促进交易 。安全性差的API可能允许攻击者访问敏感数据或启动欺诈性交易。确保全面的API安全性对于维护信任和遵守DORA等监管标准至关重要。Akamai的API安全解决方案提供实时监控、审计和威胁检测，以防止未经授权的访问，确保关键基础设施和敏感数据得到保护 。随着API成为金融服务的一个基本组成部分，保护它们对于减少攻击面和确保合规性至关重要。 品牌伪装 品牌模仿在金融服务领域成为一个日益增长的威胁，网络犯罪分子创建的虚假网站或社交媒体个人资料模仿了合法金融机构的样式。这些假冒网站诱使客户提供个人信息和财务信息，然后这些信息在暗网上出售或被用于清空账户。为了应对品牌模仿，金融机构必须采取主动措施，包括持续监控、快速取缔服务以及向客户教育关于风险的知识。保护品牌声誉至关重要，因为品牌模仿会侵蚀信任，而信任是维护今天数字经济中客户关系的基础。 akamaicom10 阿卡在合规方面作用 Akamai服务组合可以帮助金融机构抵御这些威胁，同时有效地应对监管挑战。Akamai解决方案包括： AkamaiAPISecurity API安全性提供了对API活动全面可见性，使机构能够利用实时分析来发现、监控和审计API行为，以检测并响应威胁和滥用。这对于保护敏感数据以及确保符合监管数据安全和隐私法规至关重要。 AkamaiGuardicore分区 微分段隔离关键应用程序和作业，从而降低了网络内部横向移动风险。这种遏制策略对于保持运营弹性和符合严格监管标准至关重要。 阿卡边缘DNS 边缘DNS为DNS服务提供高可用性和性能，保护本地、云和混合DNS基础设施。此解决方案对于保持服务连续性和抵御大规模网络威胁至关重要。 阿卡应用与API保护器 AppAPIProtector通过全面保护对抗第7层攻击。这包括防御DDoS、机器人以及OWASP前10大安全风险漏洞利用，确保Web应用和API强大安全性。 Akamai客户端保护与合规性 Akamai协助PCI合规并保护网站免受JavaScript攻击。这有助于作为金融机构合规计划一部分保护敏感客户数据。 AkamaiProlexic Prolexic保护基础设施免受