云计算领导者就关键挑战发声
繁多的身份、系统和操作人员,使云变得像一个嘈杂的后厨。
三分之二以上的云决策者 (68%) 表示,企业的云部署(尤其是公有云和混合云部署)是其企业面临的最大暴露风险领域。 同时,如何管理谁有权访问这些系统也是一个重大挑战。
本文总结了一项委托调查的结果,该调查的受访对象包括 262 名对其所在企业的云基础设施拥有最终决策权的 IT 和安全专业人员。 Forrester Consulting 受 Tenable 委托于 2023 年开展了这项调查,调查结果揭示了云决策者认为代表了暴露风险最大的四个关键领域:
- 整个企业使用的云基础设施和服务中的错误配置 (68%)
- 整个企业使用的任何业务/IT 软件中的缺陷 (62%)
- 我所在的企业用于管理用户特权和访问权限的工具中的错误配置 (60%)
- 整个企业使用的任何运营技术软件中的缺陷 (46%)
在谈到评估风险暴露时,云决策者对云的担忧远远高于 IT 基础设施的其他领域。
以下哪一个领域的风险暴露最高?
| 技术 | 受访者百分比 |
| 公有云基础设施1 | 29% |
| 多云/混合基础设施2 | 28% |
| 物联网 (IoT) | 15% |
| 私有云基础设施 | 11% |
| 云容器管理工具 | 9% |
| 本地基础设施 | 5% |
| 运营技术/工业控制系统 (ICS)/监控与数据采集 (SCADA) | 3% |
1 公有云可以采用单个公有云提供商,如 Amazon Web Services (AWS)、Google Cloud Platform (GCP) 或 Microsoft Azure
2 多云/混合云是指两个或两个以上公有和/或私有云的组合
受访对象: 262 名对其所在企业的云基础设施/架构拥有最终决策权的 IT 和安全专业人士
原文:Forrester Consulting 受 Tenable 委托于 2023 年开展的研究
云决策者在未来一年的投资方向是什么?
目前,大多数企业都使用了一系列基于云的基础设施和业务系统,包括虚拟机和容器以及客户关系管理 (CRM) 和人力资源管理系统。
在谈到与在云中部署技术相关的投资领域时,受访者认为,他们计划在未来 12 个月内扩大采用的前三大技术类型分别是无服务器功能、虚拟机和容器。
贵企业当前使用以下哪些云基础设施技术?
| 技术 | 对云中的这项技术不感兴趣 | 感兴趣,但没有在云中实施的计划 | 计划在未来 12 个月内在云中实施 | 已经在云中实施,但未扩展/升级 | 正在扩展或升级在云中的使用 | 正在减少或取消在云中的使用 |
| 无服务器功能 | 8% | 21% | 39% | 24% | 7% | 0 |
| 虚拟机 | 3% | 14% | 33% | 34% | 13% | 3% |
| 容器 | 2% | 11% | 32% | 35% | 16% | 3% |
| 人力资源管理 | 2% | 12% | 26% | 40% | 18% | 2% |
| 电子邮件 | 2% | 5% | 25% | 35% | 26% | 7% |
| 财务 | 3% | 11% | 25% | 32% | 24% | 6% |
| IT 服务管理 (ITSM) | 0 | 5% | 24% | 34% | 30% | 8% |
| 企业资源规划 (ERP) | 1% | 4% | 17% | 37% | 32% | 9% |
| 客户关系管理 (CRM) | 0 | 6% | 14% | 42% | 28% | 10% |
受访对象: 262 名对其所在企业的云基础设施/架构拥有最终决策权的 IT 和安全专业人士
原文:Forrester Consulting 受 Tenable 委托于 2023 年开展的研究
数据过多,孤岛过多,利益相关者过多
考虑到大多数企业都已经采用了复杂的基于云的生态系统,因此云发现无疑会在云决策者用来确定总体风险暴露的数据源列表中占有重要地位。 但是,云发现并不是唯一的来源。 威胁情报源、漏洞披露和事件准备评估结果也是数据云决策者所依赖的来源。
贵企业使用以下哪些数据源来识别总体风险暴露?
| 数据源 | 受访者百分比 |
| 云调查结果 | 69% |
| 威胁情报源 | 55% |
| 漏洞披露 | 52% |
| 事件准备情况评估调查结果 | 52% |
| 渗透测试调查结果 | 47% |
| 外部攻击面调查结果 | 42% |
| 用户配置文件和特权 | 35% |
| 运营技术调查结果 | 31% |
| 资产清单 | 26% |
允许多选
受访对象: 262 名对其所在企业的云基础设施/架构拥有最终决策权的 IT 和安全专业人士
原文:Forrester Consulting 受 Tenable 委托于 2023 年开展的研究
从多个孤立的系统中聚合所有这些数据既耗时又复杂。 事实上,企业中的各自为政现象、缺乏数据安全机制以及专注于反应性而非预防性的网络安全,这些因素都给云安全带来了挑战。 具体来说:
- 七成 (70%) 云决策者表示,企业系统的各自为政对获取用户数据造成了障碍
- 一半的受访者表示,他们所在的企业缺乏有效的方法将用户数据集成到漏洞管理实践中
- 超过一半 (55%) 的受访者表示,他们所在企业的用户数据和漏洞管理系统缺乏安全机制,无法提取高质量的数据来帮助员工做出优先级分析决策
- 六成 (58%) 受访者表示,网络安全团队忙于应对重大事件,无法采取预防措施来减少企业风险暴露
- 近四分之三 (74%) 的受访者表示,如果企业在预防性网络安全方面投入更多资源,那么在防御网络攻击方面会取得更大成功
更为复杂的是,身份和访问管理系统的监督责任应该是一项团队工作,涉及 IT 和安全运营、风险和合规以及治理方面的专业人员。 绝大多数受访企业 (67%) 拥有三个或三个以上的身份和访问管理系统,可能有五种不同类型的团队参与管理这些系统,分别是: IT 运营 (77%)、安全运营 (61%)、身份和访问 (53%)、风险和合规性 (36%) 以及治理 (32%)。
谁负责管理贵企业所使用的身份和特权管理系统?
| 团队 | 受访者百分比 |
| IT 运营 | 77% |
| 安全运营 | 61% |
| 身份和访问团队 | 53% |
| 风险和合规性 | 36% |
| 治理 | 32% |
| 我所在的企业没有身份和特权管理系统 | 2% |
| 其他 | 1% |
允许多选
受访对象: 262 名对其所在企业的云基础设施/架构拥有最终决策权的 IT 和安全专业人士
原文:Forrester Consulting 受 Tenable 委托于 2023 年开展的研究
此外,大多数接受调查的云决策者身兼数职,认为自己也是许多其他关键领域的最终决策者,包括 DevSecOps、漏洞管理,甚至安全运营中心 (SOC)。
我是以下实践的最终决策者
| 实践 | 受访者百分比 |
| DevSecOps | 61% |
| 漏洞管理 | 58% |
| 安全运营/SOC | 57% |
| SaaS 应用程序/工具 | 56% |
| IT 运营 | 56% |
| 身份访问/特权管理 | 53% |
| DevOps | 53% |
受访对象: 262 名对其所在企业的云基础设施/架构拥有最终决策权的 IT 和安全专业人士
原文:Forrester Consulting 受 Tenable 委托于 2023 年开展的研究
然而,在技术部署的大多数阶段中,网络安全往往被排除在外。
在以下各个部署阶段,贵企业的网络安全团队多久参与一次?
| 阶段 | 从不参与 | 很少参与 | 有时会参与 | 大多数时候都会参与 | 全程参与 |
| 架构审查 | 1% | 10% | 38% | 35% | 15% |
| 范围界定 | 2% | 16% | 41% | 32% | 9% |
| 征求建议书 (RFP) | 3% | 10% | 31% | 35% | 21% |
| 供应商评估/概念验证 (PoC) | 2% | 10% | 33% | 31% | 24% |
| 配置和部署 | 0 | 5% | 27% | 42% | 26% |
| 用户特权和访问管理 | 0 | 2% | 23% | 38% | 35% |
| 持续的供应商管理和维护 | 1% | 9% | 27% | 40% | 23% |
| 治理和异常管理 | 1% | 11% | 21% | 45% | 22% |
受访对象: 262 名对其所在企业的云基础设施/架构拥有最终决策权的 IT 和安全专业人士
原文:Forrester Consulting 受 Tenable 委托于 2023 年开展的研究
DevOps 是云决策者关注的另一大领域:四成 (42%) 受访者表示,他们所在企业的 DevOps 团队在代码开发过程中不会对安全进行优先级分析。
关于受访者的更多信息
调查对象代表了从事 IT (65%) 和网络安全 (35%) 工作的云决策者。 他们更有可能担任副总裁或总监,而不是高管。 他们深度参与 IT 和安全战略。
以下哪一项最符合您当前的职位/部门?
| 职位/部门 | 受访者百分比 |
| IT | 65% |
| 网络安全/信息安全 | 35% |
受访对象: 262 名对其所在企业的云基础设施/架构拥有最终决策权的 IT 和安全专业人士
原文:Forrester Consulting 受 Tenable 委托于 2023 年开展的研究
哪一项职务名称最符合您在贵企业中的职位?
| 职称 | 受访者百分比 |
| 公司中最高级别的 IT 或安全决策者(如 CIO、CISO、CTO) | 22% |
| 业务信息安全官 (BISO) | 3% |
| IT 或安全副总裁 | 40% |
| IT 或安全总监 | 35% |
受访对象: 262 名对其所在企业的云基础设施/架构拥有最终决策权的 IT 和安全专业人士
原文:Forrester Consulting 受 Tenable 委托于 2023 年开展的研究
您在多大程度上参与了贵企业 IT/安全战略中以下领域的设置、管理和/或实施?
| 领域 | 轻度参与 | 中度参与 | 深度参与 |
| 预算 | 1% | 45% | 53% |
| 性能指标 | 0 | 40% | 59% |
| 业务战略 | 0 | 48% | 52% |
受访对象: 262 名对其所在企业的云基础设施/架构拥有最终决策权的 IT 和安全专业人士
原文:Forrester Consulting 受 Tenable 委托于 2023 年开展的研究
降低云安全风险的四条建议
保护复杂的云基础设施需要解决各种人员、流程和技术挑战。 以下是关于如何做好准备的四条建议:
- 消除孤岛。 制定计划实现各个业务部门的云安全标准化,提供一个可供安全、IT、DevOps 和 DevSecOps 团队使用的单一参考点。 您能否快速确定整个企业中用户、系统和资产之间的关系,以便能够真实地识别和解决他们的风险暴露? 还是说系统的各自为政造成了障碍,阻止您将这些数据有效地集成到云安全实践中? 标准化有助于最大限度地减少 IT、安全和开发团队之间的摩擦,并确保能够基于每个人都能理解的准确建议快速做出决策。
- 直观地绘制攻击面。 了解拥有哪些云资产只是一个起点。 企业还需要获得网络上每个资产的配置、数字身份和相关权限的可见性。 只有获得了资产、配置和身份的上下文视图,才能实现执行精确分析所需的可见性,从而使安全团队能够提供有针对性的建议来降低风险。
- 应对多云挑战。 每一家重要的公有云提供商,包括 Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和 Microsoft Azure 都会以各不相同的方式管理和配置云组件,导致持续安全监控产生不一致。 旨在将所有公有云提供商的信息整合到一个统一的监控和管理空间中。 这需要了解各种不同的机制,包括云提供商的基础设施和权限模型,并可以帮助企业为整合且精确的修复建议奠定基础。
- 寻求自动化解决方案。 自动化云安全解决方案可以帮助企业持续分析企业的风险暴露,并以一种简单、易用且可操作的方式呈现调查结果,而不需要团队拥有深厚的技术知识。 自动化安全工具为团队提供了在复杂环境中理解、调查和驾驭风险的能力。 有了合适的自动化解决方案,企业可以:获得云资产、用户和配置的全面可见性;将所有公共云提供商的信息整合到一个统一的监控和管理空间中;并根据风险严重性进行优先级分析和修复。 自动化可以为资源匮乏的安全团队带来成倍的助力。
在寻找合适的云安全解决方案时,企业应该专注于能够降低复杂性和风险的解决方案。 合适的云安全解决方案应该对用户友好,并实现跨各个业务部门的云安全标准化。 一个强大的解决方案应该是一位顾问,能够提供有关哪些漏洞或错误配置需要立即得到关注的深入洞察。 这样的解决方案还应该提供丰富的风险优先级分析和可操作的洞察,以便企业做出明智的缓解决策,并提供自动化和加速修复的工具。
相关文章
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
Cybersecurity Snapshot: Cyber Agencies Offer Secure AI Tips, while Stanford Issues In-Depth AI Trends Analysis, Including of AI Security
April 19, 2024Check out recommendations for securing AI systems from the Five Eyes cybersecurity agencies. Plus, Stanford University offers a comprehensive review of AI trends. Meanwhile, a new open-source tool aims to simplify SBOM usage. And don’t miss the latest CIS Benchmarks updates. And much more!
Cybersecurity Snapshot: CISA Says Midnight Blizzard Swiped U.S. Gov’t Emails During Microsoft Hack, Tells Fed Agencies To Take Immediate Action
April 12, 2024Check out CISA’s urgent call for federal agencies to protect themselves from Midnight Blizzard’s breach of Microsoft corporate emails. Plus, a new survey shows cybersecurity pros are guardedly optimistic about AI. Meanwhile, SANS pinpoints the four trends CISOs absolutely must focus on this year. And the NSA is sharing best practices for data security. And much more!
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Cloud
- Cloud
- Exposure Management