信息來(lái)源：比特網(wǎng)

近日，全球領(lǐng)導(dǎo)廠商賽門(mén)鐵克公司發(fā)布一項(xiàng)針對(duì)企業(yè)安全現(xiàn)狀的全新調(diào)研報(bào)告。該報(bào)告覆蓋全球11個(gè)市場(chǎng)，共邀請(qǐng)1,100 名首席信息安全官參與調(diào)研。報(bào)告結(jié)果顯示，云安全是中國(guó)首席信息安全官(CISO)最擔(dān)憂(yōu)的挑戰(zhàn)。不僅如此，中國(guó)首席信息安全官更關(guān)注自身企業(yè)是否擁有快速應(yīng)對(duì)網(wǎng)絡(luò)攻擊的能力。

毫無(wú)疑問(wèn)，云計(jì)算擁有諸多優(yōu)勢(shì)，吸引越來(lái)越多行業(yè)的關(guān)注，例如卓越的可擴(kuò)展性、更短的上市時(shí)間、更低的成本費(fèi)用，以及出色的工作效率。但這一領(lǐng)域同樣吸引著網(wǎng)絡(luò)罪犯的目光。這個(gè)全新的無(wú)邊界基礎(chǔ)架構(gòu)在網(wǎng)絡(luò)攻擊者眼中成為一座潛在的金礦。

針對(duì)云的攻擊范圍不斷擴(kuò)大

賽門(mén)鐵克的調(diào)查顯示，云安全成為中國(guó)CISO所面臨的棘手問(wèn)題。絕大數(shù)的CISO(92%)都認(rèn)為，確保云應(yīng)用符合合規(guī)要求是他們所面臨的最大的工作壓力之一。在行業(yè)合規(guī)性方面，中國(guó)CISO最擔(dān)心自身企業(yè)是否能夠充分跟蹤已批準(zhǔn)的云應(yīng)用中的活動(dòng)(29%)，以及公司員工是否使用未被批準(zhǔn)的云應(yīng)用(23%)。

此外，中國(guó)CISO針對(duì)云安全的擔(dān)憂(yōu)還包括：在云應(yīng)用中廣泛分享合規(guī)所管控的敏感數(shù)據(jù) (21%)，對(duì)企業(yè)所屬移動(dòng)設(shè)備的管理(16%) 以及遵守國(guó)家和地區(qū)特定的數(shù)據(jù)保留和管理?xiàng)l例(11%)。

隨著云應(yīng)用的廣泛部署，以及企業(yè)缺乏對(duì)高風(fēng)險(xiǎn)用戶(hù)行為的深入了解，都進(jìn)一步導(dǎo)致了更大范圍的面向云的網(wǎng)絡(luò)攻擊。根據(jù)賽門(mén)鐵克調(diào)研顯示，中國(guó)CISO預(yù)計(jì)，自身企業(yè)所使用的基于云的應(yīng)用中，平均30% 為未經(jīng)批準(zhǔn)的應(yīng)用，或者為“影子應(yīng)用”。不僅如此，70%的受訪CISO認(rèn)為，無(wú)論是有意還是無(wú)意的舉動(dòng)，企業(yè)首席執(zhí)行官(CEO)在某些情況下可能破壞了企業(yè)的內(nèi)部安全協(xié)議。

賽門(mén)鐵克調(diào)研顯示，針對(duì)云安全話(huà)題，中國(guó)CISO在2017年最關(guān)注的企業(yè)外部威脅主要包括：數(shù)據(jù)泄露(30%)、系統(tǒng)漏洞利用(23%)、身份認(rèn)證及證書(shū)破壞(20%)。除此之外，CISO最關(guān)注的內(nèi)部威脅包括：?jiǎn)T工違反安全合規(guī)要求(26%)、不安全的企業(yè)應(yīng)用(22%)、數(shù)據(jù)丟失(21%)。

賽門(mén)鐵克大中華區(qū)首席運(yùn)營(yíng)官羅少輝

對(duì)端到端解決方案的需求

隨著企業(yè)愈加依賴(lài)云來(lái)改善協(xié)作和靈活性，中國(guó)首席信息安全官面臨越來(lái)越多的挑戰(zhàn)，例如，越來(lái)越難以對(duì)敏感的企業(yè)數(shù)據(jù)進(jìn)行跟蹤，以及來(lái)自監(jiān)管要求的巨大壓力。賽門(mén)鐵克的調(diào)研顯示，為了加強(qiáng)信息安全，所有受訪的中國(guó)CISO(100%)表示，計(jì)劃在今年增加IT人員安全培訓(xùn)的支出，確保企業(yè)數(shù)據(jù)在本地系統(tǒng)、移動(dòng)應(yīng)用和云服務(wù)之間傳輸?shù)陌踩?。新加入的IT員工在入職培訓(xùn)期間將接受平均13個(gè)小時(shí)的安全培訓(xùn)。 值得提出的是，中國(guó)CISO所計(jì)劃的支出高于所有其他受調(diào)研的國(guó)家。

對(duì)數(shù)據(jù)安全、滿(mǎn)足合規(guī)性和數(shù)據(jù)保留等方面的需求，促使中國(guó)CISO尋找加密(Encryption)和/或標(biāo)記化(Tokenization)解決方案來(lái)支持企業(yè)的軟件即服務(wù)(SaaS)計(jì)劃。賽門(mén)鐵克的調(diào)查顯示，絕大數(shù)(98%)的中國(guó)CISO認(rèn)為，云數(shù)據(jù)標(biāo)記化是滿(mǎn)足數(shù)據(jù)保留和數(shù)據(jù)管理?xiàng)l例的最佳方式 —— 80%的受訪者表示使用標(biāo)記化方法;77% 的中國(guó)CISO表示使用加密技術(shù)來(lái)保護(hù)云中數(shù)據(jù);60%的受訪者表示自身企業(yè)同時(shí)使用加密技術(shù)和標(biāo)記化方法。 值得一提的是，與其他受訪國(guó)家相比，中國(guó)CISO采用標(biāo)記化方法的比例更高。

網(wǎng)絡(luò)罪犯組織在進(jìn)行犯罪活動(dòng)時(shí)往往伺機(jī)而動(dòng)，他們會(huì)利用合法的操作系統(tǒng)、工具和云服務(wù)中的漏洞來(lái)破壞企業(yè)網(wǎng)絡(luò)。為了有效地對(duì)抗這些犯罪行為，首席信息安全官需要擁有卓越的可見(jiàn)性和管控力，對(duì)用戶(hù)通過(guò)云上傳、存儲(chǔ)和共享的敏感內(nèi)容進(jìn)行管理。出色的CISO不會(huì)依靠一次性修復(fù)和被動(dòng)的補(bǔ)丁來(lái)保護(hù)機(jī)密，而是通過(guò)主動(dòng)部署端到端解決方案來(lái)消除可被利用的潛在漏洞和威脅。

通過(guò)整體方案應(yīng)對(duì)云安全問(wèn)題

在使用云服務(wù)時(shí)，如果企業(yè)不能確保部署有效的安全保護(hù)，則會(huì)導(dǎo)致更為高額的成本損失和潛在的業(yè)務(wù)損失，抵消云計(jì)算的各種潛在優(yōu)勢(shì)。在面對(duì)云安全問(wèn)題上，企業(yè)需要一種新的整合型安全模式，為企業(yè)的關(guān)鍵資產(chǎn)、用戶(hù)和數(shù)據(jù)提供更加強(qiáng)大的保護(hù)、更出色的可見(jiàn)性和更高級(jí)別的管理能力。

在當(dāng)下數(shù)據(jù)驅(qū)動(dòng)時(shí)代，有效地應(yīng)對(duì)云安全問(wèn)題能夠提高企業(yè)的運(yùn)營(yíng)效率，在確保企業(yè)關(guān)鍵信息得到安全保護(hù)的同時(shí)，使首席信息安全官更加從容地利用云計(jì)算的優(yōu)勢(shì)，駕馭數(shù)字的力量。