外包会保护您免受网络威胁吗？

就在十年前，网络威胁的情况还远没有那么明显，但是由于IT，移动技术和数字平台的重大进步，网络犯罪的威胁呈指数增长，并给全球行业和国家关键基础设施（发电站）带来风险，医院，水坝，金融服务）。

随着金融服务行业的管理人员越来越多地采用数字技术，他们增加了网络中攻击面和弱点的数量。当基金经理将新的交易对手引入他们的网络时，确切的风险增加是未知的，但可能是巨大的。

Eze Castle Integration首席战略官Mark Coriaty（如图）说：“除非您正在运行一个处于关闭状态，完全封闭的网络环境，否则，您总是会面临有人试图访问您的网络的风险。”

“也就是说，当您查看当今存在的不同技术–下一代防火墙，端点保护，主动威胁防护–有很多方法可以控制网络风险。安全分析师可以通过实时监控来增强这些保护层。运营安全运营中心（SOC）的公司也可以带来人员互动。他们将主动监视跨数千个网络的活动威胁，这使它们在识别和防止入侵方面具有优势。”

外包提供商：主动不反应

由于当今网络攻击的广度和深度，绝大多数另类基金经理根本没有内部管理和缓解网络威胁的能力。

七八年前的金融危机之后，新法规（Dodd-Frank，AIFMD）的出台迫使CFO成为CCO和/或COO。

从处理合规性规则的角度来看，多任务处理是可能的，但是当人们跳入网络安全性时，这是一个高度动态的技术角色，需要始终担当重任。C级高管通常不能像CFO曾经为了合规所做的那样承担其他工作。

“我们强烈建议将首席信息安全官（CISO）的角色外包给我们的客户：他们可以使用我们或第三方，但是无论哪种方式，它都已成为至关重要的角色，” Coriaty建议。

他说，看待外包的最好方法是，“我如何让第三方主动满足我的维护和网络安全需求？”

很多时候，那些在内部处理事情的人倾向于变得被动。他们提出了一个解决方案并按季度审查情况，而外包提供商将每天审查网络威胁并安装更新。上个月发生WannaCry事件时，Coriaty说，随着游戏的进行，Eze Castle必须实时掌握在它上面。

“基金管理小组的某人不一定能够做到这一点，尤其是在周末发生的时候。因此，我认为外包是主动的，而外包是被动的。” Coriaty评论。

外包的逻辑理由很明确。当替代方案将其交给专家时，为什么公司要花费时间和资金不断更新软件许可协议和系统功能，监视活动以及管理权限和内部对数据的访问？一个人每时每刻都在关注网络发展，并且可以带来可扩展性的好处。

第三方主动威胁防护服务提供商就是一个很好的例子。例如，诸如Eze Castle Integration之类的公司可以紧密监视跨数千个不同端点的不同勒索软件，病毒和渗透活动，并希望将更新应用于其端点传感器，以防止任何恶意行为进入其客户的网络。

“如果您试图提供这种资源，则基本上是希望端点传感器足够好，而不是主动。将解决方案放在一起需要花费大量时间。安全捆绑中可能包含五个或六个组件，并且确保您正确执行此操作确实应该留给专家。

“我们会不断监视，评估并适当地推出所有各种更新；这些可能是标准更新或关键更新。与客户一起制定时间表很重要，以确保我们正在监视所有内容，并在必要时和必要时通知他们，尤其是考虑到WannaCry事件，尤其是对于新补丁之类的东西。” Coriaty解释说。

WannaCry和补丁管理

这是一次有趣的攻击，表明无法及时更新IT系统有可能对关键基础架构造成真正的破坏。例如，由于医院计算机使用的是微软操作系统的过时版本，英格兰的NHS曾多次关闭系统。

WannaCry通过利用该操作系统中的漏洞而精确地工作。即使Microsoft在第一季度发布了补丁，但无论出于何种原因，许多公司都未能应用它。

“每个人的运营方式都不一样。所有受此影响的人都根本没有进行基本的补丁程序管理。这恰恰是我们提供的服务之一。我们将进入并更新客户的网络。

“这里的主要收获是补丁管理很重要，但是如果公司依赖于旧技术或不优先考虑技术管理，则可以忽略它。客户必须确保内部或使用第三方保险库定期备份所有数据，并防止其IT技术过时。” Coriaty建议。

在这方面，至关重要的是，基金经理应对基础架构进行定期风险评估，以找出差距，包括补丁管理失误所导致的差距。在风险评估方面，科里亚蒂（Coriaty）认为，至少应该每年进行一次，如果不是更频繁的话。

“包括网络安全保护在内的技术预算也很重要，但应在降低风险的宏伟计划中评估成本，以使IT预算与关键功能保持一致。最重要的是确保减轻风险。相应地为年度预算，但是每季度更新您的文档并审查您的服务提供商。

“我们的产品团队和工程师一直在寻找新技术，新的部署方法，并始终了解市场上任何冲突的技术。我们花费了大量时间来做。在业务方面，我们会花时间为基金经理完成DDQ，并与客户一起进行预算计划和业务连续性计划，以确保客户的业务目标与他们的技术目标保持一致。”

我们生活在一个充满活力的世界中。技术变得越来越快，外包变得越来越有意义。

“当您考虑公司的整体风险时，为外包服务提供商付费似乎不仅是增值服务，而且越来越有必要。当您收到诸如WannaCry之类的活动时，客户在维护整个系统方面开始看到我们的劳动成果。

Coriaty总结道：“最终，我们要确保我们建立起能够主动应对未来网络事件的基础架构和解决方案集。”