数据不再仅仅是用于改进业务战略的工具。 数据越来越成为推动组织发展的资产，尤其是在处理大量个人身份信息 (PII) 的企业中，例如银行和金融公司。 恶意行为者将这些数据作为目标，因为它在实施身份盗用、诈骗信用卡公司和直接从银行账户中窃取方面具有价值。

数据泄露经常发生，并且代价高昂。 大流行加速了向数字优先经济的转变，增加了数据泄露的平均成本，根据 IBM Security 的《2021 年数据泄露成本报告》，从 2020 年到 2021 年，平均成本上升了 10%。 数据泄露的成本为 424 万美元，其中包括数据泄露后恢复数据和服务的成本以及业务损失成本。

然而，完全实施安全人工智能和自动化的企业与未实施安全人工智能和自动化的企业的平均成本存在显着差异。 在未能部署人工智能和自动化安全措施的组织中，数据泄露的成本比部署人工智能和自动化安全措施的组织高 80%。 这些数字突出了一个事实，即数据安全对所有企业都至关重要，尤其是那些处理 PII 的企业。

数据状态和安全漏洞

保护所有状态的数据是有效数据安全的基础。 数据可以频繁更改状态或在其整个生命周期中保持一种状态。 当数据容易受到攻击、秘密捕获和损坏时，每个州都有不同的攻击面。 完整的数据安全计划需要包括自动化协议，以保护数据在使用、移动和静止时的机密性和完整性。

静态数据

当前未被访问或传输的数据称为“静态”。 静态数据存储在硬盘驱动器、存储区域网络 (SAN) 或异地备份服务器上。 由于数据已到达目的地，因此与其他数据状态相比，它被认为是稳定的。 保护静态数据的方法包括加密、分层密码保护、安全服务器和外部数据保护服务。

无论使用何种加密方法，都应该能够进行 AES-256 加密。 一些网络攻击依赖于蛮力或隐身攻击，并且可以在很长一段时间内保持不被发现。 即使是依赖于以低于警报级别的阈值泄露数据的攻击也无法破解 AES-256 加密，至少目前无法破解。 然而，网络犯罪分子如果不是有创造力就什么都不是，因此数据安全必须贯穿整个开发过程的每一步。

动态数据

当数据在位置之间或计算机系统内传输时，很容易受到攻击。 移动中的数据——还包括存储在计算机 RAM 中随时可以访问的数据或在云存储和本地存储之间移动的数据——可以通过在传输前加密数据或加密通道来保护。 同样，加密应使用 AES-256 加密以获得最佳保护。

使用中的数据

最脆弱的数据状态是正在使用的数据。 一个或多个用户可以直接访问它，因此此时加密是必不可少的。

使用中数据的其他数据保护方法包括：

-实施零信任模型，包括在所有访问阶段对所有用户进行身份验证 - 强大的身份管理协议 -维护良好的权限配置文件 -金融业数据保护条例

在美国，联邦贸易委员会拥有广泛的执法权力，可以保护消费者免受不公平或欺诈行为的侵害，并执行联邦隐私和数据保护法规。 但是，没有一项总体数据保护立法。 相反，有数百种不同的州和联邦法律适用于旨在保护 PII 的不同行业或情况。
向数字优先业务格局的转变和远程工作的兴起增加了数据安全挑战。 正因为如此，近年来银行和金融安全方面的监管合规变得更加重要。

适用于金融服务和银行业的一些最相关的数据保护法规包括：

格拉姆-里奇-比利利法案 (GLBA)
该立法也称为《金融服务现代化法案》，于 1999 年出台。金融机构必须遵守 GLBA，并要求满足以下条件：
- 向消费者发布的财务隐私声明，解释收集的信息、使用信息的方式以及共享信息的位置
- 描述机构将如何保护客户的非公开信息的安全计划
- 防止外部行为者操纵客户放弃他们的个人信息

萨班斯-奥克斯利法案 (SOX)
SOX 于 2002 年通过，旨在保护投资者在发生多起广泛欺诈案件（包括安然丑闻）后免受欺诈性报告的侵害。 SOX 合规涉及建立内部控制以防止欺诈和滥用，保护数据隐私，并让高级管理人员对财务报告的准确性负责。

纽约金融服务监管部 (NYDFS)
NYDFS 于 2017 年推出，旨在应对网络犯罪对金融机构日益增长的威胁。 它适用于受金融服务部及其州外和海外分支机构监管的所有组织。 它要求公司评估其网络安全风险并实施全面计划以减轻其风险。

软件安全
鉴于无数的访问点，数据保护的复杂性和广泛的攻击面要求软件安全成为软件供应链所有阶段不可或缺的一部分。 云计算、远程访问和开源代码的广泛采用已经使软件安全边界模型过时了。

相反，组织需要从 DevSecOps 的角度来处理安全性，其中安全性是持续集成和持续部署 (CI/CD) 管道中每个位置的主要考虑因素。 在流程的早期测试代码的安全漏洞可以更快地检测和修复。

在 CI/CD 管道的早期测试代码有两种主要方法，用于检查未编译的代码是否存在安全漏洞。 软件组合分析 (SCA) 和静态应用程序安全测试 (SAST) 可以消除许多代码缺陷，这些缺陷会导致部署易受注入、泄漏、溢出和跨站点脚本等网络攻击的应用程序。
早期检测和修复有助于缓解一系列安全漏洞，包括：

- 损坏的访问控制
-缓冲区溢出
- 密码失败
- 以不必要的权限执行
-射出
- 缺少身份验证
- 缺少加密
-易受攻击和过时的组件
-路径遍历

SCA
Kiuwan 的 Insights Open Source (SCA) 测试扫描代码以查找可能包含漏洞的开源软件 (OSS)。 开源代码之所以被广泛使用，是因为它高效并且允许开发人员快速部署应用程序。 然而，开源代码中未修补的安全漏洞是一个重要的风险来源。
此外，如果不清楚地了解各种开源软件程序经常相互冲突的许可条款，组织可能会将其知识产权置于风险之中。 SCA 测试可以解决使用来自 OSS 应用程序的代码片段时的任何许可问题。

SAST 代码安全性 (SAST) 与 SCA 相结合，使开发人员可以在流程中更早地测试和修复代码，这样可以用更少的精力和费用来完成。 SAST 在代码执行之前扫描漏洞，以防止其部署并成为可利用的弱点。 SAST 兼容所有主要语言，并符合金融行业所有最严格的安全标准。

SAST 在整个软件开发生命周期中与领先的 DevOps 工具集成，因此很容易在早期将安全性纳入 DevOps 流程。 自动代码扫描允许开发人员创建一个行动计划来降低他们的安全风险。 Kiuwan 让团队左移并将安全融入应用程序设计中。