Live Oak 银行在协调遵守数据隐私和安全规定的同时进行创新

行业

Financial Services

地区

North America

冠军

Thomas Hill ,
首席信息安全官(CISO)

云环境
AWSMicrosoft Azure
下载PDF
云安全挑战
  • 希望尽可能近于实时地执行安全评估
  • 需要在不限制开发人员或影响 IT 的前提下保护云环境
  • 必须符合 FDIC 对云安全的合规要求
云安全结果
  • 现在可以近于实时地全面了解风险和漏洞
  • 可以在不中断操作和生产访问的情况下支持开发维护过程,并且无需安装代理
  • 致力于完全支持 FDIC 指导原则和云网络安全的未来要求

“Orca 对我们来说是一个很优秀的解决方案,因为我们想给开发人员创新的能力,但又需要在不影响运营的情况下进行近于实时的扫描。”

Thomas Hill首席信息安全官(CISO)

Live Oak 银行自主研发的技术是一大优势

Live Oak 银行在许多方面与大多数银行不同。 Live Oak 最初是一家互联网银行,然后继续以没有实体地点的形式运营。 该公司专注于小型企业,并在兽医、药房、农业、医疗保健和其他等 20 多个特定垂直行业中拥有领域专业知识。 与竞争对手不同的是,Live Oak 银行的职员深度参与帮助客户经营业务并取得成功。 该银行的合作方式使贷款违约率低于 1% – 远低于行业平均水平的 3%。

该公司从一开始就采用了云技术。 Live Oak 不在传统的、基于数据中心的银行平台上建立业务,他们开发自己的软件。 该公司的一些技术已被独立出来,成为新的软件实体。 许多此类的金融科技公司仍然在与 Live Oak 银行合作,创建由 API 驱动的云核心。 云技术是 Live Oak 的核心。

托马斯·希尔在六年前加入 Live Oak 银行担任首席信息官。 随着公司及其自主技术的扩展,IT 和安全部门需要分开,因此希尔担任了首席信息官的职位。 “我们希望自己的业务可以快速、实时地进行。我们希望业务能够以光速前进和改变,”希尔说。 “我的工作是确保我们能够安全地在所有规管约束的范围内正常运行。”

强化而不是阻碍 DevOps

公司深受自行创建软件的传统的影响,鼓励 DevOps 团队大胆创新。 传统的安全领导可能会要求他们在每一步中都放慢速度,仔细考虑安全问题,从而阻碍 DevOps 的进度。 但是希尔不想成为开发团队的障碍。 “我们最不希望的就是对开发者造成任何约束,”他说。 “我们想他们打破常规,创造新事物,因此我们给予他们权力可以将任何需要的东西独立出来,但必须以负责任的方式实现。”

希尔说:“在过去,也就是三个月前,我们每个月对环境进行一次扫描。” “在我的潜意识里,我会担心开发人员编写一个脚本来构建整个环境、构建一个新的堆栈,然后开始进行测试。只需要一个错误的配置,他们就可能会把所有这些公开到互联网上。我们需要能检测出这个问题,但每个月扫描一次是不够的。如果你实时工作,你就需要实时看到所有内容。”

这就是 Orca 发挥作用的地方。 希尔说:“我们希望能够看到自己的整个环境,不仅仅是有 IP 地址的设备,还包括任何有可能被访问的设备和我们知道的设备。” “Orca 对我们来说是一个很优秀的解决方案,因为我们想给开发人员创新的能力,但又需要在不影响运营的情况下进行近于实时的扫描。”

“IT 基础设施团队也很高兴,因为我们获取整个环境的视图,并在其它地方进行设置,进行完全离线的扫描。我们不需要他们做任何事情,比如安装代理,来支持这个过程,”希尔说。

“Orca 告诉我们说它可以在 5 到 10 分钟内实现一些可视性,我想,‘这不可能。’好吧,我错了。他们真地做到了这一点,而且 SideScanning 对我们开发人员的工作没有任何影响。”
托马斯·希尔

首席信息安全官(CISO)

Orca 可以实现安全工具箱中多种工具的功能

希尔的团队对 Orca 进行了 PoC 测试,只过了几天,就知道了它会多么有用。 它为安全团队提供的可见性不同于其他工具,甚至是那些在设备上安装代理的工具。 “我不能轻视以离线方式查看整个云的重要性,以免中断操作和生产访问。 “它消除了我们与 IT 团队之间的任何摩擦。”

“对于安全人员来说,最重要的事情是了解存在什么,以便将正确的控制管理扩展到正确的环境中。Orca 给了我们充分的可见性,让我们知道应该将精力集中在哪里。”
托马斯·希尔

首席信息安全官(CISO)

Live Oak 一直在使用传统的业界领先的漏洞扫描器来评估云环境。 希尔发现 Orca 在扫描云资源方面做得更完整,而且不需要麻烦的代理。 “基于代理的工具的最佳运行实践是每月一次。我不是很喜欢扫描之间相隔的时间太长,”希尔说。 Orca 可以每天都运行,而且不会对生产造成任何影响。

“我们计划用 Orca 替代几个一次性解决方案,因为 Orca 的功能远不限于漏洞扫描。它预防数据丢失。它进行病毒扫描。它执行盘点。Orca 具有多方面功能,同时为我们节省时间和费用。”
托马斯·希尔

首席信息安全官(CISO)

Orca 有助于遵守金融机构的联邦法规

Live Oak 银行拥有一个庞大的 AWS 资产。 希尔说,他们有十几个组织,每个组织都有自己的 AWS 迷你数据中心。 此外,该银行的有些金融科技合作伙伴同时使用 AWS 和 Azure,并通过 Live Oak 的系统连接它们。

作为一家特许银行,Live Oak 必须遵守数据隐私和安全法规。 在这方面,作为联邦金融机构审查委员会(FFIEC)的成员,联邦存款保险公司 (FDIC) 针对金融服务行业中云计算服务的使用和安全风险管理原则发表了一份声明。 “联邦存款保险公司的声明信在今天只是一个指导,但我们预期它未来很快就会成为一项要求,”希尔说。 “Orca 帮助我们传达云环境的安全状况,这对我们银行来说非常重要。我们公司的风险团队发现,像 Orca 这样的工具对满足这一需求非常有利。”

根据监管金融数据的要求,Live Oak 使用了 Orca Security 的一个 SaaS 混合版本,称为 Orca Pod。 它允许银行将其数据保存在自己的环境中,并同时只向 Orca 传输元数据。

“当我的同行询问我关于 Orca 的情况时,我告诉他们,‘如果你在云中,或者考虑迁移到云,你就需要一个像 Orca 这样的工具,让你有能力主动防范。没有它的话,你只是在猜测”。
Nir Rothenberg

首席信息安全官

Live Oak Bank 用例研究

4 页面, 5.2MB

下载PDF
See Orca in action 查看 Orca 演示-> 观看 10 分钟的录制演示,或者注册以获取个性化一对一分步演示。