发布日期:2025-09-01 浏览次数:
金融服务机构是全球经济中最重要的组成部分之一,同时也是最脆弱的群体之一。它们处理着海量宝贵的数据,对宕机的容忍度很低,并且通常依赖于遗留系统。保护它们的关键在于了解它们的优势、劣势以及面临的威胁。Thales 2025年数据威胁报告的金融服务版提供了这些信息。
不出所料,金融服务机构持续扩展其云环境,平均使用的 SaaS 应用程序数量从去年的 84 个增加到今年的 107 个,增幅达 27%。而且,随着云应用的增长,存储在这些平台上的数据的敏感度也随之增加:被归类为“敏感”的云数据平均比例将从 2024 年的 44% 上升到 2025 年的 59%。
然而,尽管数据安全有所增长,许多金融服务机构仍然缺乏最基本的数据安全控制措施。约22%的机构对确定其数据存储位置缺乏信心,只有15%的机构对80%或以上的敏感数据进行了加密。
与其他行业一样,金融服务机构对生成式人工智能风险表现出一定的担忧,59% 的受访者表示,快速发展的人工智能生态系统是他们最关心的问题。令人鼓舞的是,这种担忧已转化为实际行动:五分之四(81%)的受访者正在投资针对生成式人工智能的安全工具,24% 的受访者正在使用新分配的预算。
话虽如此,金融服务业不仅意识到了人工智能带来的安全风险,也意识到并抓住了它带来的机遇。2024年,金融服务业在人工智能部署方面已领先于整体市场,在赋能员工使用人工智能方面领先16个百分点,在人工智能整合方面领先7个百分点,这一势头持续到2025年。目前,45%的受访者表示他们正处于GenAI之旅的“整合”或“转型”阶段,而总体受访者中这一比例仅为33%。
API 对金融服务运营至关重要,它支持数字化服务,实现数据交换,并提升效率和客户体验。因此,API 的使用量大幅增长也就不足为奇了。超过五分之二的金融服务机构(41%)使用超过 500 个 API,22% 的机构使用超过 1,000 个 API,而调查显示,使用 API 的比例分别为 34% 和 22%。
关于应用程序安全优先级,虽然大多数金融服务组织都提到了左移安全控制,但受访者也强调了基础生产控制,例如动态应用程序安全测试 (DAST)、API 安全工具和 Web 应用程序防火墙 (WAF)。
在架构方面,机密管理引发了 DevOps 安全问题,但这并没有转化为更广泛的数据保护。
机密管理对于数据保护至关重要。它安全地存储和管理访问凭证(密码、密钥)。它确保只有授权用户/系统才能解锁敏感数据,从而防止未经授权的访问和数据泄露,从而降低风险并有助于合规。
然而,尽管机密管理至关重要,且使用的 API 数量迅速增长,但只有 16% 的金融服务业受访者认为其对数据保护至关重要。考虑到金融服务业机构报告称,凭证盗窃/泄露(包括机密信息被盗用)是云管理基础设施攻击增多的首要领域,这一结果尤其令人惊讶。
展望量子威胁,金融服务机构比总体受访者更有信心。近五分之三(57%)的受访者担心未来加密数据泄露,而调查中这一比例为63%。同样比例的受访者担心密钥分发,而调查中这一比例为61%。还有一半的受访者担心当前数据未来会被解密,包括现在收集,以后解密,而调查中这一比例为58%。
尽管存在一些安全漏洞,尤其是在机密管理方面,但金融服务业受访企业近期的数据泄露事件稳步下降。2021年,29%的组织报告了近期的数据泄露事件。今年,这一数字下降到仅为16%。
我们可以将这种改进的部分原因归因于强多因素身份验证 (MFA) 的健康采用:几乎所有 FinServ 受访组织 (98%) 的员工都采用了 40% 的身份验证,高于 2021 年组织的 21%。
这份报告的结果既令人鼓舞,又令人担忧。MFA 的采用率很高,违规行为有所下降,AI 技术的投资也保持健康。然而,关键的安全漏洞依然存在:对数据位置严重缺乏信心、敏感数据加密率低以及在机密管理方面令人意外的自满情绪仍然是关键且令人担忧的漏洞,如果企业领导者不采取行动,这些漏洞将困扰整个行业。必须弥合这些漏洞,以应对持续存在的复杂性挑战,而支持 AI 应用所需的新架构使这些挑战更加严峻。
想要进一步了解金融服务业不断发展的网络安全格局?欢迎联系揽阁信息,与我们的安全专家交流,获取更多信息。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
