在采訪中，Discover金融服務(wù)的CISO蘇尼爾·馬利克(Sunil Mallik)探討了金融機(jī)構(gòu)面臨的網(wǎng)絡(luò)安全威脅。他還分享了如何在合規(guī)與敏捷性之間保持平衡、監(jiān)管審計(jì)中的經(jīng)驗(yàn)教訓(xùn)以及Discover在風(fēng)險(xiǎn)管理和人才培養(yǎng)方面的方法。

信用卡和數(shù)字銀行平臺(tái)面臨的最緊迫的安全威脅是什么，企業(yè)應(yīng)如何調(diào)整防御措施來(lái)應(yīng)對(duì)這些威脅?

信用卡公司和數(shù)字銀行平臺(tái)面臨的最緊迫的安全威脅包括復(fù)雜的社交攻擊、支付欺詐和賬戶接管(ATO)欺詐。為了應(yīng)對(duì)這些威脅，金融服務(wù)企業(yè)應(yīng)實(shí)施先進(jìn)的威脅檢測(cè)系統(tǒng)，定期進(jìn)行安全評(píng)估，并教育客戶防范潛在的詐騙行為。在Discover，我們使用諸如去標(biāo)識(shí)化客戶數(shù)據(jù)等安全協(xié)議，這涉及移除或修改可識(shí)別信息以保護(hù)隱私并遵守行業(yè)規(guī)定。去標(biāo)識(shí)化客戶數(shù)據(jù)有助于降低數(shù)據(jù)泄露和濫用的風(fēng)險(xiǎn)，同時(shí)仍然可以將數(shù)據(jù)用于業(yè)務(wù)目的。

此外，通過(guò)減少攻擊者的潛在入口點(diǎn)并實(shí)施一種默認(rèn)不信任任何用戶或設(shè)備的架構(gòu)來(lái)縮小企業(yè)的攻擊面，這一點(diǎn)也很重要。這種方法可以加強(qiáng)身份驗(yàn)證并降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。最后，對(duì)員工和消費(fèi)者進(jìn)行持續(xù)的教育和宣傳計(jì)劃對(duì)于保護(hù)客戶數(shù)據(jù)、維護(hù)信任和強(qiáng)化人類防御層至關(guān)重要。在我看來(lái)，這些綜合努力可以幫助公司應(yīng)對(duì)不斷出現(xiàn)的新威脅，并確保數(shù)字銀行平臺(tái)的安全。

金融機(jī)構(gòu)傳統(tǒng)風(fēng)險(xiǎn)管理方法中存在哪些最大的缺陷，企業(yè)應(yīng)如何解決這些問(wèn)題?

傳統(tǒng)風(fēng)險(xiǎn)管理方法往往難以跟上迅速變化的監(jiān)管環(huán)境、新興的網(wǎng)絡(luò)安全威脅和市場(chǎng)波動(dòng)。一個(gè)顯著的缺陷是依賴靜態(tài)風(fēng)險(xiǎn)評(píng)估，這可能無(wú)法考慮到不斷變化的威脅環(huán)境。

此外，傳統(tǒng)方法可能缺乏與現(xiàn)代技術(shù)的融合，無(wú)法為企業(yè)提供全面的風(fēng)險(xiǎn)視圖。為了解決這些缺陷，金融機(jī)構(gòu)必須投資于穩(wěn)健的合規(guī)框架，這些框架能夠適應(yīng)不斷變化的監(jiān)管要求、威脅環(huán)境和業(yè)務(wù)流程的變化。此外，利用技術(shù)來(lái)簡(jiǎn)化合規(guī)流程并提高效率至關(guān)重要。

主動(dòng)網(wǎng)絡(luò)安全措施，如持續(xù)監(jiān)控和威脅情報(bào)共享，對(duì)于防范潛在威脅至關(guān)重要。在Discover，我們提高了數(shù)據(jù)分類和處理標(biāo)準(zhǔn)，以確保敏感信息得到適當(dāng)識(shí)別和保護(hù)。我們還推出了一項(xiàng)以安全為重點(diǎn)的實(shí)踐，將安全融入我們運(yùn)營(yíng)的各個(gè)方面，從開發(fā)到部署，確保采用全面的風(fēng)險(xiǎn)管理方法。

CISO如何在不犧牲安全運(yùn)營(yíng)敏捷性的前提下緊跟不斷變化的金融監(jiān)管?

緊跟不斷變化的金融監(jiān)管需要一種戰(zhàn)略方法，在合規(guī)性和運(yùn)營(yíng)敏捷性之間保持平衡。CISO可以通過(guò)從一開始就將合規(guī)性融入其網(wǎng)絡(luò)安全戰(zhàn)略來(lái)實(shí)現(xiàn)這一點(diǎn)。這涉及設(shè)計(jì)靈活的安全框架，使其能夠適應(yīng)新的法規(guī)，而無(wú)需進(jìn)行重大調(diào)整。利用AI和機(jī)器學(xué)習(xí)進(jìn)行監(jiān)管監(jiān)控可以幫助實(shí)時(shí)識(shí)別和應(yīng)對(duì)變化。

定期培訓(xùn)和與監(jiān)管機(jī)構(gòu)合作也很重要。通過(guò)及時(shí)了解即將到來(lái)的監(jiān)管變化并參與行業(yè)論壇，CISO可以預(yù)見并準(zhǔn)備應(yīng)對(duì)新要求。在Discover，我們優(yōu)先考慮團(tuán)隊(duì)的持續(xù)學(xué)習(xí)和技能提升，使我們能夠快速適應(yīng)監(jiān)管變化，同時(shí)保持強(qiáng)大的安全運(yùn)營(yíng)。例如，我參與了國(guó)家網(wǎng)絡(luò)安全聯(lián)盟、美國(guó)交易處理器聯(lián)盟和金融服務(wù)業(yè)信息共享與分析中心(FS-ISAC)，這有助于我與行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐保持聯(lián)系，確保我們保持敏捷和合規(guī)。

你從最近的監(jiān)管審計(jì)或合規(guī)評(píng)估中學(xué)到了哪些經(jīng)驗(yàn)教訓(xùn)，可能對(duì)其他金融CISO有價(jià)值?

最近的監(jiān)管審計(jì)和合規(guī)評(píng)估強(qiáng)化了與監(jiān)管機(jī)構(gòu)合作和主動(dòng)溝通的重要性。與監(jiān)管機(jī)構(gòu)和內(nèi)部利益相關(guān)者進(jìn)行清晰溝通至關(guān)重要，同時(shí)還需要進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估，這些評(píng)估不僅要包括技術(shù)分析，還要包括業(yè)務(wù)和運(yùn)營(yíng)風(fēng)險(xiǎn)。

在Discover，我們專注于將安全非功能性需求(NFR)融入我們的開發(fā)流程，以確保在每個(gè)階段都考慮安全性，并且我們?cè)谠O(shè)計(jì)上就做到合規(guī)。增強(qiáng)我們的分析環(huán)境也是一個(gè)優(yōu)先事項(xiàng)，使我們能夠更好地監(jiān)控和應(yīng)對(duì)潛在威脅。根據(jù)審計(jì)結(jié)果持續(xù)改進(jìn)是保持強(qiáng)大安全態(tài)勢(shì)的關(guān)鍵。通過(guò)解決已確定的差距并實(shí)施建議的更改，我們可以增強(qiáng)整體安全和合規(guī)工作。

你如何在主動(dòng)措施和反應(yīng)能力之間平衡網(wǎng)絡(luò)安全投資?

在主動(dòng)措施和反應(yīng)能力之間平衡網(wǎng)絡(luò)安全投資對(duì)于全面的安全戰(zhàn)略至關(guān)重要。主動(dòng)措施，如威脅搜尋、定期漏洞評(píng)估和安全培訓(xùn)，有助于在攻擊發(fā)生之前進(jìn)行防范。這些措施需要持續(xù)投資于工具、技術(shù)和人才，以應(yīng)對(duì)不斷出現(xiàn)的新威脅。

同樣重要的是反應(yīng)能力，如恢復(fù)力、事件響應(yīng)計(jì)劃和災(zāi)難恢復(fù)策略，以在事件發(fā)生時(shí)最大限度地減少損害。投資于強(qiáng)大的事件響應(yīng)團(tuán)隊(duì)，并確保他們擁有必要的資源和培訓(xùn)至關(guān)重要。人才也是你戰(zhàn)略的核心。在Discover，我們強(qiáng)調(diào)培養(yǎng)和留住頂尖人才，這是主動(dòng)和反應(yīng)網(wǎng)絡(luò)安全工作的關(guān)鍵。我們的戰(zhàn)略包括提供持續(xù)學(xué)習(xí)和技能提升的機(jī)會(huì)，確保我們的團(tuán)隊(duì)隨時(shí)準(zhǔn)備應(yīng)對(duì)任何挑戰(zhàn)。我們?yōu)閱T工提供內(nèi)部建立的專業(yè)認(rèn)證。通過(guò)在主動(dòng)和反應(yīng)投資之間保持平衡，我們可以有效保護(hù)客戶的數(shù)據(jù)并維護(hù)他們的信任。