近日，全球網絡安全廠商賽門鐵克公司發布一項針對企業數據安全現狀的全新調研報告。該報告覆蓋全球11個市場，共邀請1,100 名首席信息安全官參與調研。報告結果顯示，云安全是中國首席信息安全官(CISO)最擔憂的挑戰。不僅如此，中國首席信息安全官更關注自身企業是否擁有快速應對網絡攻擊的能力。

　　timg

毫無疑問，云計算擁有諸多優勢，吸引越來越多行業的關注，例如卓越的可擴展性、更短的上市時間、更低的成本費用，以及出色的工作效率。但這一領域同樣吸引著網絡罪犯的目光。這個全新的無邊界基礎架構在網絡攻擊者眼中成為一座潛在的金礦。

　　針對云的攻擊范圍不斷擴大

賽門鐵克的調查顯示，云安全成為中國CISO所面臨的棘手問題。絕大數的CISO(92%)都認為，確保云應用符合合規要求是他們所面臨的最大的工作壓力之一。在行業合規性方面，中國CISO最擔心自身企業是否能夠充分跟蹤已批準的云應用中的活動(29%)，以及公司員工是否使用未被批準的云應用(23%)。

此外，中國CISO針對云安全的擔憂還包括：在云應用中廣泛分享合規所管控的敏感數據 (21%)，對企業所屬移動設備的管理(16%) 以及遵守國家和地區特定的數據保留和管理條例(11%)。

隨著云應用的廣泛部署，以及企業缺乏對高風險用戶行為的深入了解，都進一步導致了更大范圍的面向云的網絡攻擊。根據賽門鐵克調研顯示，中國CISO預計，自身企業所使用的基于云的應用中，平均30% 為未經批準的應用，或者為“影子應用”。不僅如此，70%的受訪CISO認為，無論是有意還是無意的舉動，企業首席執行官(CEO)在某些情況下可能破壞了企業的內部安全協議。

賽門鐵克調研顯示，針對云安全話題，中國CISO在2017年最關注的企業外部威脅主要包括：數據泄露(30%)、系統漏洞利用(23%)、身份認證及證書破壞(20%)。除此之外，CISO最關注的內部威脅包括：員工違反安全合規要求(26%)、不安全的企業應用(22%)、數據丟失(21%)。

對端到端解決方案的需求

隨著企業愈加依賴云來改善協作和靈活性，中國首席信息安全官面臨越來越多的挑戰，例如，越來越難以對敏感的企業數據進行跟蹤，以及來自監管要求的巨大壓力。賽門鐵克的調研顯示，為了加強信息安全，所有受訪的中國CISO(100%)表示，計劃在今年增加IT人員安全培訓的支出，確保企業數據在本地系統、移動應用和云服務之間傳輸的安全性。新加入的IT員工在入職培訓期間將接受平均13個小時的安全培訓。 值得提出的是，中國CISO所計劃的支出高于所有其他受調研的國家。

對數據安全、滿足合規性和數據保留等方面的需求，促使中國CISO尋找加密(Encryption)和/或標記化(Tokenization)解決方案來支持企業的軟件即服務(SaaS)計劃。賽門鐵克的調查顯示，絕大數(98%)的中國CISO認為，云數據標記化是滿足數據保留和數據管理條例的最佳方式 —— 80%的受訪者表示使用標記化方法；77% 的中國CISO表示使用加密技術來保護云中數據；60%的受訪者表示自身企業同時使用加密技術和標記化方法。 值得一提的是，與其他受訪國家相比，中國CISO采用標記化方法的比例更高。

網絡罪犯組織在進行犯罪活動時往往伺機而動，他們會利用合法的操作系統、工具和云服務中的漏洞來破壞企業網絡。為了有效地對抗這些犯罪行為，首席信息安全官需要擁有卓越的可見性和管控力，對用戶通過云上傳、存儲和共享的敏感內容進行管理。出色的CISO不會依靠一次性修復和被動的補丁來保護機密信息，而是通過主動部署端到端解決方案來消除可被利用的潛在漏洞和威脅。

通過整體方案應對云安全問題

在使用云服務時，如果企業不能確保部署有效的安全保護，則會導致更為高額的成本損失和潛在的業務損失，抵消云計算的各種潛在優勢。在面對云安全問題上，企業需要一種新的整合型安全模式，為企業的關鍵資產、用戶和數據提供更加強大的保護、更出色的可見性和更高級別的管理能力。

在當下數據驅動時代，有效地應對云安全問題能夠提高企業的運營效率，在確保企業關鍵信息得到安全保護的同時，使首席信息安全官更加從容地利用云計算的優勢，駕馭數字的力量。