利用 CRI Profile 评估网络安全、恢复能力和效率

Cyber Risk Institute (CRI) Profile是金融服务业网络安全和恢复能力的基准，已成为该行业网络风险评估的全球标准。1CRI Profile v2.0与National Institute of Standardsand Technology (NIST) Cybersecurity Framework (CSF) v2.0完全一致，具有我们熟悉的治理、识别、保护、检测、响应和恢复功能，但已扩展到第三方风险，这是全球金融监管机构的另一个重点关注领域。50多名CRI成员来自不同规模的金融机构和与金融服务相关的行业协会，他们对CRI Profile起着直接的影响作用。为更好地评估金融机构(FI)的风险管理计划，Profile v2.0进行了扩展，不只是局限于网络安全，还纳入了企业技术、第三方风险管理和业务连续性等要素。 为何使用CRI Profile 金融业是全球监管最严格的行业之一。金融机构必须遵守促进数据隐私、消费者保护、单个公司的安全和稳健性以及最终金融体系稳定性的法规。为了证明符合这些纷繁复杂的法规，金融机构花费了无数的时间和大量的资源来获取并提供适当流程和控制的证据。随着金融机构面临的网络威胁不断增加，金融监管机构也针对数据保护、数据安全、网络卫生、第三方风险和运营恢复能力更新和/或制定了新的法规。对于金融机构来说，这增加了其监管合规性活动所需的时间、资源和成本。 为了帮助金融机构更好地管理其网络合规计划，CRI Profile v2.0将2500多项监管期望统一为300多条诊断声明（本质上是控制目标）—缩减至原来的1/8。CRI Profile通过映射和整合众多全球标准和监管期望，将关键网络安全控制原则与政府机构的指导联系起来。作为金融行业内部制定并服务于该行业的网络风险评估工具，该框架可被用作多个金融监管机构进行合规审查时的通用基准。这样，金融机构就能更有效地部署资源，开展合规相关工作，减少了协调解决审查问题所需的时间，并通过更好地梳理复杂风险来简化安全监督。根据CRI的数据，这可能会减少全面风险评估所需的工作量，最大的金融机构可减少36%，最小的金融机构可减少58%。 自推出以来，CRI Profile已得到许多监管机构的认可或承认，其中包括US Treasury、FederalFinancial Institutions Examination Council (FFIEC)、Federal Reserve Board、NIST、InternationalOrganization of Securities Commissions (IOSCO)、European Union Agency for Cybersecurity(ENISA)，以及Reserve Bank of New Zealand等。 Palo Alto Networks如何为CRI Profile提供支持 Palo Alto Networks是RI Innovators Program的一部分，致力于帮助金融机构评估和管理其网络风险，目标是让每一天都比以往更加安全可靠。Palo Alto Networks不断推陈出新，以实现安全的数字化转型，即使变革的步伐正在加快。我们行业领先的解决方案可智能协同运作，以增强安全性、简化运营并提高投资回报率(ROI)。我们所有的下一代安全平台都旨在阻止零日威胁，实现网络转型。这使金融机构能够识别对运营最严重的持续威胁，降低整体网络安全风险。通过使用下方图1所示的下一代平台的各种产品和功能，金融机构可以实现CRI Profile中确定的许多控制目标。 Strata™和Prisma®SASE：我们的网络安全平台包括机器学习提供支持的硬件和软件形式的新一代防火墙(NGFW)、云交付的安全服务(CDSS)、安全服务边缘(SSE)和软件定义广域网(SD-WAN)。这一网络安全平台可以阻止已知、未知和零日威胁，阻止横向移动，并成为零信任模式的基础，从而为内部用户和远程/移动用户执行最小权限原则。集成的数据丢失防护(DLP)功能增加了更多的数据安全措施。 Prisma®Cloud：我们的云原生应用程序保护平台(CNAPP)旨在为从代码到云的整个应用生命周期提供保护。在开发阶段，通过解决开源漏洞和修复基础设施即代码(IaC)模板中的配置错误，防止风险进入生产阶段。云基础设施的可视性和控制可检测配置错误、漏洞和恶意软件，还可管理身份和权限。最后，运行时措施还能保护云应用程序免受攻击，并为主机、容器、无服务器功能和API提供安全保护。Prisma Cloud可为您的公共云环境生成CRI Profile合规性报告，从而为您提供快速快照。 Cortex®：我们的安全运营产品组合是资产发现、攻击面管理、漏洞评估、端点威胁检测和响应、行为监控以及强大的自动化功能的集成产品，可减少人力投入。随着对金融业运营恢复能力的关注，最终目标是最大限度地缩短平均检测时间(MTTD)和平均响应时间(MTTR)，并限制任何网络攻击的爆炸半径。 Unit 42®：我们的威胁研究、事件响应和安全咨询小组提供威胁情报和咨询服务。该团队可积极协助设计安全计划，并提供网络风险评估、第三方风险评估、威胁简报、桌面演习、渗透测试、紫队以及制定或审查事件响应计划。在被动反应方面，Unit 42可参与事件响应和数字取证。顾问人员服务提供这些服务。 CRI Profile v2.0映射到Palo Alto Networks 就结构而言，Profile v2.0分为功能、类别、子类别和最终的诊断陈述，这可以看作是控制目标。 Palo Alto Networks的产品和服务可帮助金融机构在所有七(7)项功能、28个类别中的23个(82%)、119个子类别中的85个(71%)和318个诊断陈述中的171个(54%)方面达到CRI Profile的要求。有关CRI Profile v2.0功能、类别和子类别与相关Palo Alto Networks产品组合和Unit 42产品的映射，请参见附录。 要深入了解子类别级别以下的内容，请联系您的Palo Alto Networks经销商或客户团队，探讨可能适用于特定CRI Profile v2.0诊断声明的各种Palo Alto Networks产品和服务。 摘要 无论组织规模大小、网络安全风险程度或网络安全经验如何，Palo Alto Networks都能帮助全球各地的组织满足其安全要求，应用风险管理的关键原则和最佳实践来提高其安全性和复原力。随着金融行业越来越依赖CRI Profile作为网络风险和恢复能力评估工具，Palo Alto Networks的产品和服务可在所有七(7)项功能中除五(5)类之外的所有类别中发挥作用。在这方面，Palo Alto Networks可以提供控制措施、作为文件来源或提供其他证据，以支持这些领域的CRI Profile诊断声明评估。 要进一步了解Palo Alto Networks如何帮助金融机构改善网络安全风险管理，请访问我们网站的金融服务页面。 联系我们：请拨打咨询热 400-9911-194邮件: Contact._SalesChina@paloaltonetworks.com