将主动智能应用于云安全

据《财富》报道，2018年全球共有1200多个公开披露的安全漏洞，暴露记录的数量从2017年的1.976亿增加到去年的4.465亿*在过去的十年中，攻击的数量和规模一直在逐年增加，并且随着欧洲现行的通用数据保护法规（GDPR）的实施，报告的违规事件的数量很可能会继续增加。

随着云环境成为基金管理行业无处不在的特征，因为管理者寻求从规模和效率提升中受益，向网络空间的迁移增加了数据泄露的威胁。据Tripwire称，仅在2017年3月，数据泄露就丢失了14亿条记录，其中许多涉及云服务器。不安全的API是网络犯罪分子利用云安全性的一种方法，供应商选择和监督不善也是这种方法。

“缺乏对如何正确保护基于云的环境的了解，这为过去12个月中我们看到的许多较大的违规提供了动力，”基础架构云高级副总裁Jed Gardner说道。和安全服务在Linedata。

问题不是公司不知道自己在做什么。他们要么将大量的云安全性留给了开发运营团队，要么与可能完全了解或不完全了解他们希望实现的目标的提供商一起使用。此外，许多云提供商喜欢永久使用“全有或全无”模式，以确保客户可以在其自己的私有云环境中完全控制安全风险，而同时却忽略了与以微软和亚马逊为首的公共云提供商合作的好处。

主动情报

Linedata Gravitas私有云团队非常重视运营风险，并采用了一种主动的，由智能驱动的安全方法。单一租户架构利用了Cisco，NetApp和VMware的行业领先技术，可用于满足各种规模的基金经理的需求。安全一直是Linedata的关注重点：从第三方和专有应用程序托管到灾难恢复和云备份，其目的是始终尽可能稳固地维护每个客户端的安全状况。

其中一个关键部分是Linedata如何考虑供应商风险。

负责Linedata的安全咨询业务的James E认为，当今仍然存在的最大问题之一是对供应商和第三方风险的真正缺乏了解。能够理解和支持客户想要做的任何事情至关重要，这一过程从选择供应商开始。

这不是任何一个供应商的错，而是公司处理该问题的系统性问题。对冲基金经理将发送一份详细的尽职调查问卷（DDQ），其中包含400个数据点，并假定它将解决所有问题。但是，完整的DDQ，无论多么详细，都无法清楚地了解特定供应商可能出现的风险或潜在问题。

Linedata避免了这一点。最小化云计算操作安全风险的方法是使用主动情报来评估供应商风险，并让各方进行讨论。任何CCO或CFO无疑都会欢迎的。

DDQ本质上是主观的。您需要客观，可量化的数据，这就是Linedata用于公司和客户方面的风险管理方法。这包括社交媒体曝光，声誉风险，法律风险，技术漏洞等。

“我们进行的一些客户评估显示，人们对他们的供应商是谁的了解有限。一位Linedata拜访的客户认为他们有13个不同的供应商。建议首席财务官仔细检查过去两年中已付款的每个供应商后，很快得出结论，实际上他们有47个不同的供应商。” James透露。

第四方风险

安全的重点是为客户提供可操作的情报，并以可以做出自己明智决定的方式对其进行解释。Linedata不会向客户提供有关选择供应商的建议，而是会向他们提供一个时间点，以显示他们的安全状况是否逐月，逐年，逐年提高。

James具有情报背景，可以很好地理解在Linedata Gravitas私有云上评估供应商风险时要寻找的内容。James利用他在操作情报方面已精炼的信息收集技能，与云和网络安全咨询团队一起，评估了所有可公开获取的文件，违规的任何黑网风险，欺诈警报标识符和其他数据源，以查找尽可能多的信息。对公司。

这样做的原因是为了限制不是由第三方风险而是由第四方风险引起的操作风险；这是Linedata对云安全性的看法方面的一个关键区别。

“有一些与客户合作的独特第三方，但不仅客户之间存在重叠，而且一个客户卖方与同一客户的另一卖方之间也存在重叠。人们已经开始理解第三方卖方风险，但是当一个客户的两个或多个卖方依赖同一公司或服务时，第三方风险或流血的风险又如何呢？如果该供应商的供应商存在风险，则理所当然地认为客户将受到使用受影响服务的任何供应商的相同风险。” James解释说。

单独使用DDQ不能发现这一点。通过应用一系列智能技术并将新技术工具紧密集成到平台中，Linedata可以使用每个人都可以理解的指标使所有相关方的对话更加轻松。

“尤其是在另类基金管理领域，人们喜欢看到数字。他们不希望负担繁琐的详细报告，而只希望基于可量化数据的事实。” Gardner强调说。

Linedata贯穿安全和风险管理的所有途径，以使事情变得更加客观：提供可操作的情报和可持续指标，客户可用来制定明智的决策。

在当前的监管环境中，可操作的情报和可持续指标是Linedata看到一切趋势的地方。

改变观念

在过去的几年中，网络违规行为的发展越来越少，人们的观念已发生改变的事实更多。简而言之，随着基金经理将其业务运营的关键部分迁移到云中以及高层管理人员开始拥有更多的所有权，对威胁的态势感知明显增加。

作为公司领导层对安全重要性的看法发生了变化的一个例子，Linedata团队最近拜访了一位客户，以情报为主导的方法解释了第三方风险分析和第四方风险分析的概念，为此他们花了六个小时的时间。一位高级校长。Gardner解释说：“我们的目标是将这些问题传达给基金管理团队中的C级高管– CCO，CIO –我们今天正在以前所未有的水平与他们接触。”“我们相信，随着高级领导人越来越多地将网络安全视为衡量公司范围风险的一项核心指标，我们的方法越来越受关注。”

大多数供应商风险计划旨在通过DDQ和其他自我证明方法来监控风险，这些方法既缺乏透明度，也缺乏明确的，可操作的指标。从主观自我评估向客观可行的运营情报过渡是​​一个重要且不断增长的趋势。