面對洪水般一波又一波洶涌而來的威脅，安全從業人員似乎必須時刻警惕著以保證公司安全。但威脅如此之多，風險面如此之廣，安全從業人員如何界定處理優先級呢?波耐蒙研究所連同 Scale Venture Partners 和Informatica，對432位安全從業人員就令他們夜不能寐的因素進行了研究調查。

調查發現，數據泄露是安全從業人員最關心的問題，而且令人吃驚的是，有相當一部分安全從業人員缺乏必要的可見性工具以便得知敏感數據存放點，或者量化相關數據泄露的風險。

以下便是這份《波耐蒙數據泄露和敏感數據風險》報告的主要發現：

1. 安全從業人員不清楚所有敏感數據的存放點

62%的安全從業人員很在意自己無法全面掌握公司敏感或機密數據存放的地方。

2. 敏感數據風險量化困難

雪上加霜的是，超過半數的安全從業人員難以理清存于數據庫、電子郵件和文件中數據的真正風險。

3. 數據泄露位列IT安全風險之首

不清楚敏感數據存放點和真正風險的后果，就是安全從業人員無法保護自家公司免受數據泄露侵害。超過1/3的受訪者將數據泄露列為最大的IT安全風險。雇員/用戶疏忽是第二大，而不合規和惡意軟件/高級持續性威脅反而被認為是風險最低的。

4. 自動化安全正在興起

半數以上的受訪者稱自家公司采用自動化解決方案發現敏感數據，防止潛在的泄露事件。64%稱采用的是自研的自動化解決方案，而不是由第三方廠商提供的。這個比例高得令人驚訝。

5. 對實際監測數據的不確定

盡管很多公司采用自動化解決方案來監測用戶對敏感數據的操作，幾近半數的受訪者承認他們實際上并不清楚到底在監測什么。即便在對此有所心得的安全從業人員中間，實際監測的用戶活動和應該監測的活動之間也存在差異，尤其是在特權用戶訪問、跨邊界傳輸、高流量訪問和新增數據的時候。

6. 數據分類工具是最有效的泄露阻斷工具

接近3/4的受訪者采用數據分類工具改善數據安全。最常用的數據分類工具是數據監測(69%)，其次就是加密或標記工具(61%)，然后是數據發現工具(55%)。

7. 商業解決方案解決不了用戶行為風險

盡管市場似乎有無數的安全和風險管理廠商解決方案，越有2/3的受訪者表示，很難找到有助于緩解行為風險(如：雇員/用戶疏忽、惡意內部人員)的商業解決方案。因此，IT 安全團隊要么放棄此類保護，要么自己開發一套。

8. 情報分析越來越重要

被問及未來3到5年最重要的過程安全控制方法，超過半數的受訪者提到了安全情報分析。威脅反饋和情報共享(45%)、高級身份驗證和識別解決方案(40%)、用戶配置和身份管理(37%)也被認為是愈趨重要的。

9. 未來幾年云網關將是關鍵

安全從業者預測，云服務代理和云應用網關(40%)，以及用戶意識培訓(39%)將是未來幾年最重要的目標安全控制方法。受訪者還提到了信息防護和控制(如數據丟失預防、跟蹤、屏蔽和加密)，以及數據庫防火墻/行為監測。

10. 威脅和預算驅動安全項目改變

67%的受訪者稱，自家公司IT安全項目的改變，是由即時威脅和漏洞驅動的，第二大驅動因素就是預算和資源限制。

11. 影子IT將是下一個安全大挑戰

未來3到5年間，對自家公司安全項目決策影響最大的業界趨勢，將是IT/影子IT的消費化、流動性和日益增加的攻擊復雜性。