絕大數(shù)的中國(guó)CISO 認(rèn)為,確保云應(yīng)用符合合規(guī)要求是面臨的最大工作壓力之一 。
近日,全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)廠商賽門(mén)鐵克公司發(fā)布一項(xiàng)針對(duì)企業(yè)數(shù)據(jù)安全現(xiàn)狀的全新調(diào)研報(bào)告。該報(bào)告覆蓋全球11個(gè)市場(chǎng),共邀請(qǐng)1,100 名首席信息安全官參與調(diào)研。報(bào)告結(jié)果顯示,云安全是中國(guó)首席信息安全官(CISO)最擔(dān)憂的挑戰(zhàn)。不僅如此,中國(guó)首席信息安全官更關(guān)注自身企業(yè)是否擁有快速應(yīng)對(duì)網(wǎng)絡(luò)攻擊的能力。
毫無(wú)疑問(wèn),云計(jì)算擁有諸多優(yōu)勢(shì),吸引越來(lái)越多行業(yè)的關(guān)注,例如卓越的可擴(kuò)展性、更短的上市時(shí)間、更低的成本費(fèi)用,以及出色的工作效率。但這一領(lǐng)域同樣吸引著網(wǎng)絡(luò)罪犯的目光。這個(gè)全新的無(wú)邊界基礎(chǔ)架構(gòu)在網(wǎng)絡(luò)攻擊者眼中成為一座潛在的金礦。
針對(duì)云的攻擊范圍不斷擴(kuò)大
賽門(mén)鐵克的調(diào)查顯示,云安全成為中國(guó)CISO所面臨的棘手問(wèn)題。絕大數(shù)的CISO(92%)都認(rèn)為,確保云應(yīng)用符合合規(guī)要求是他們所面臨的最大的工作壓力之一。在行業(yè)合規(guī)性方面,中國(guó)CISO最擔(dān)心自身企業(yè)是否能夠充分跟蹤已批準(zhǔn)的云應(yīng)用中的活動(dòng)(29%),以及公司員工是否使用未被批準(zhǔn)的云應(yīng)用(23%)。
此外,中國(guó)CISO針對(duì)云安全的擔(dān)憂還包括:在云應(yīng)用中廣泛分享合規(guī)所管控的敏感數(shù)據(jù) (21%),對(duì)企業(yè)所屬移動(dòng)設(shè)備的管理(16%) 以及遵守國(guó)家和地區(qū)特定的數(shù)據(jù)保留和管理?xiàng)l例(11%)。
隨著云應(yīng)用的廣泛部署,以及企業(yè)缺乏對(duì)高風(fēng)險(xiǎn)用戶行為的深入了解,都進(jìn)一步導(dǎo)致了更大范圍的面向云的網(wǎng)絡(luò)攻擊。根據(jù)賽門(mén)鐵克調(diào)研顯示,中國(guó)CISO預(yù)計(jì),自身企業(yè)所使用的基于云的應(yīng)用中,平均30% 為未經(jīng)批準(zhǔn)的應(yīng)用,或者為“影子應(yīng)用”。不僅如此,70%的受訪CISO認(rèn)為,無(wú)論是有意還是無(wú)意的舉動(dòng),企業(yè)首席執(zhí)行官(CEO)在某些情況下可能破壞了企業(yè)的內(nèi)部安全協(xié)議。
賽門(mén)鐵克調(diào)研顯示,針對(duì)云安全話題,中國(guó)CISO在2017年最關(guān)注的企業(yè)外部威脅主要包括:數(shù)據(jù)泄露(30%)、系統(tǒng)漏洞利用(23%)、身份認(rèn)證及證書(shū)破壞(20%)。除此之外,CISO最關(guān)注的內(nèi)部威脅包括:?jiǎn)T工違反安全合規(guī)要求(26%)、不安全的企業(yè)應(yīng)用(22%)、數(shù)據(jù)丟失(21%)。
對(duì)端到端解決方案的需求
隨著企業(yè)愈加依賴云來(lái)改善協(xié)作和靈活性,中國(guó)首席信息安全官面臨越來(lái)越多的挑戰(zhàn),例如,越來(lái)越難以對(duì)敏感的企業(yè)數(shù)據(jù)進(jìn)行跟蹤,以及來(lái)自監(jiān)管要求的巨大壓力。賽門(mén)鐵克的調(diào)研顯示,為了加強(qiáng)信息安全,所有受訪的中國(guó)CISO(100%)表示,計(jì)劃在今年增加IT人員安全培訓(xùn)的支出,確保企業(yè)數(shù)據(jù)在本地系統(tǒng)、移動(dòng)應(yīng)用和云服務(wù)之間傳輸?shù)陌踩浴P录尤氲腎T員工在入職培訓(xùn)期間將接受平均13個(gè)小時(shí)的安全培訓(xùn)。 值得提出的是,中國(guó)CISO所計(jì)劃的支出高于所有其他受調(diào)研的國(guó)家。
對(duì)數(shù)據(jù)安全、滿足合規(guī)性和數(shù)據(jù)保留等方面的需求,促使中國(guó)CISO尋找加密(Encryption)和/或標(biāo)記化(Tokenization)解決方案來(lái)支持企業(yè)的軟件即服務(wù)(SaaS)計(jì)劃。賽門(mén)鐵克的調(diào)查顯示,絕大數(shù)的中國(guó)CISO認(rèn)為,云數(shù)據(jù)標(biāo)記化是滿足數(shù)據(jù)保留和數(shù)據(jù)管理?xiàng)l例的最佳方式 —— 80%的受訪者表示使用標(biāo)記化方法;77% 的中國(guó)CISO表示使用加密技術(shù)來(lái)保護(hù)云中數(shù)據(jù);60%的受訪者表示自身企業(yè)同時(shí)使用加密技術(shù)和標(biāo)記化方法。 值得一提的是,與其他受訪國(guó)家相比,中國(guó)CISO采用標(biāo)記化方法的比例更高。
網(wǎng)絡(luò)罪犯組織在進(jìn)行犯罪活動(dòng)時(shí)往往伺機(jī)而動(dòng),他們會(huì)利用合法的操作系統(tǒng)、工具和云服務(wù)中的漏洞來(lái)破壞企業(yè)網(wǎng)絡(luò)。為了有效地對(duì)抗這些犯罪行為,首席信息安全官需要擁有卓越的可見(jiàn)性和管控力,對(duì)用戶通過(guò)云上傳、存儲(chǔ)和共享的敏感內(nèi)容進(jìn)行管理。出色的CISO不會(huì)依靠一次性修復(fù)和被動(dòng)的補(bǔ)丁來(lái)保護(hù)機(jī)密信息,而是通過(guò)主動(dòng)部署端到端解決方案來(lái)消除可被利用的潛在漏洞和威脅。
通過(guò)整體方案應(yīng)對(duì)云安全問(wèn)題
在使用云服務(wù)時(shí),如果企業(yè)不能確保部署有效的安全保護(hù),則會(huì)導(dǎo)致更為高額的成本損失和潛在的業(yè)務(wù)損失,抵消云計(jì)算的各種潛在優(yōu)勢(shì)。在面對(duì)云安全問(wèn)題上,企業(yè)需要一種新的整合型安全模式,為企業(yè)的關(guān)鍵資產(chǎn)、用戶和數(shù)據(jù)提供更加強(qiáng)大的保護(hù)、更出色的可見(jiàn)性和更高級(jí)別的管理能力。
在當(dāng)下數(shù)據(jù)驅(qū)動(dòng)時(shí)代,有效地應(yīng)對(duì)云安全問(wèn)題能夠提高企業(yè)的運(yùn)營(yíng)效率,在確保企業(yè)關(guān)鍵信息得到安全保護(hù)的同時(shí),使首席信息安全官更加從容地利用云計(jì)算的優(yōu)勢(shì),駕馭數(shù)字的力量。