2023云原生應(yīng)用保護(hù)平臺(tái)(CNAPP)調(diào)查報(bào)告

44云原生應(yīng)用保護(hù)平臺(tái)PAGEPAGE10目錄調(diào)查的創(chuàng)立和方法論 9研究目標(biāo) 9關(guān)鍵發(fā)現(xiàn) 10云原生應(yīng)用程序保護(hù)平臺(tái):四分之三的組織選擇使用CNAPP來保護(hù)其多云環(huán)境 云安全態(tài)勢(shì)管理：安全團(tuán)隊(duì)需要明確的信息以進(jìn)行適當(dāng)?shù)膬?yōu)先級(jí)排序 11DevOps安全：DevOps安全的重要性日益得到認(rèn)可，但缺乏專業(yè)知識(shí)和人才阻礙了進(jìn)程 云工作負(fù)載保護(hù)：圍繞事件響應(yīng)的挑戰(zhàn)回歸為人員、流程和技術(shù) 13網(wǎng)絡(luò)安全：最成熟的實(shí)現(xiàn)，但威脅檢測(cè)仍為挑戰(zhàn) 14云基礎(chǔ)設(shè)施授權(quán)管理:高度關(guān)注權(quán)限配置錯(cuò)誤 16結(jié)論 16調(diào)研發(fā)現(xiàn) 17云的使用和安全 17云原生應(yīng)用保護(hù)熟悉云原生應(yīng)用保護(hù)平臺(tái) 21云安全態(tài)勢(shì)管理 23云工作負(fù)載保護(hù)事件響應(yīng)的挑戰(zhàn) 25安全DevOps 26網(wǎng)絡(luò)安全和云上權(quán)限 29統(tǒng)計(jì)來源 31調(diào)查的創(chuàng)立和方法論云安全聯(lián)盟（CSA）是一個(gè)非營利組織,其使命是廣泛推廣確保云計(jì)算和IT技術(shù)中的網(wǎng)絡(luò)安全最佳實(shí)踐。CSA還就所有其他形式的計(jì)算中的安全問題向這些行業(yè)的各個(gè)利益相關(guān)者進(jìn)行教育。CSA的會(huì)員包括行業(yè)從業(yè)者、企業(yè)和專業(yè)協(xié)會(huì)的廣泛聯(lián)盟。CSA的主要目標(biāo)之一是進(jìn)行調(diào)查,評(píng)估信息安全趨勢(shì)。這些調(diào)查提供了關(guān)于組織當(dāng)前的成熟度、意見、興趣和有關(guān)信息安全和技術(shù)的意圖的信息。CSA開展一項(xiàng)調(diào)查和報(bào)告,以更好地了解行業(yè)對(duì)云原生應(yīng)用程序保護(hù)平臺(tái)（CNAPP）的知識(shí)、態(tài)度和觀點(diǎn)。微軟為該項(xiàng)目提供了資金支持,并與CSACSA20234,收到了來自各種規(guī)模和地點(diǎn)的組織中的IT1201份回復(fù)。CSA的研究目標(biāo)調(diào)查的主要目標(biāo)是更深入地了解以下內(nèi)容:行業(yè)對(duì)CNAPP安全態(tài)勢(shì)管理、云工作負(fù)載保護(hù)和DevSecOps（開發(fā)、安全和運(yùn)營）的關(guān)鍵發(fā)現(xiàn)隨著組織越來越多地利用多云策略,傳統(tǒng)的安全解決方案通常很難為這些動(dòng)態(tài)和分布式應(yīng)用程序提供充分的保護(hù)。近年來，由于全面保護(hù)多云環(huán)境的復(fù)雜性以及整合組織當(dāng)前部署的許多安全工具的能力，云原生應(yīng)用保護(hù)平臺(tái)已成為關(guān)鍵的安全工具類別，其中包括云安全態(tài)勢(shì)管理（CSPM）、云工作負(fù)載保護(hù)（CWP）、云基礎(chǔ)設(shè)施權(quán)限管理（CIEM）DevOps。這項(xiàng)調(diào)查CNAPP部署的當(dāng)前狀態(tài)的見解,識(shí)別需要支持的領(lǐng)域,云原生應(yīng)用程序保護(hù)平臺(tái):四分之三的組織選擇使用CNAPP來保護(hù)其多云環(huán)境大多數(shù)組織(75%)CNAPP84%CNAPP30%的組織通常將部署的安全工具（如CSPM、CWPCIEM）CNAPP憑借其在解決安全態(tài)勢(shì)可見性方面的重要性成為關(guān)鍵吸引因素(25%)CNAPP云安全態(tài)勢(shì)管理：安全團(tuán)隊(duì)需要明確的信息以進(jìn)行適當(dāng)?shù)膬?yōu)先級(jí)排序臨管理和優(yōu)先級(jí)排序的困難。32%的受訪者透露，由于他們收到的信息數(shù)量龐34%的人發(fā)現(xiàn)自己被安全建議所困擾，而同等比例的人缺乏相關(guān)或可操作的見解來做出明智的決策。他們可能會(huì)收到大量警報(bào)或建議，但這些信息未能提供必要的詳細(xì)信息以指導(dǎo)他們采取正確的行動(dòng)方向。信息管理的問題與調(diào)查的另一個(gè)關(guān)鍵發(fā)現(xiàn)相關(guān)，即不同組織之間的監(jiān)控設(shè)置存在廣泛差異。有趣的是，33%的受訪者使用完全基于代理的監(jiān)控系統(tǒng)，而37%的受訪者則主要采用無代理方法，盡管他們還是會(huì)輔以一些基于代理的監(jiān)控。這種差異很可能受到特定供應(yīng)商和組織可以訪問的技術(shù)類型的影響。總的來說，組織可能需要找到能夠通過自動(dòng)化和集中式的安全工具和技術(shù)來支持其安全態(tài)勢(shì)管理。自動(dòng)化將有助于緩解在優(yōu)先級(jí)和建議（最佳實(shí)踐）間的一些混淆。集中式的安全工具和供應(yīng)商將幫助合并警報(bào)并提供更好的上下文信息，從而幫助團(tuán)隊(duì)調(diào)整合適的優(yōu)先級(jí)；最終幫助他們采取正確的行動(dòng)。DevOps安全：DevOps安全的重要性日益得到認(rèn)可，但缺乏專業(yè)知識(shí)和人才阻礙了進(jìn)程DevSecOps是發(fā)展趨勢(shì)，但是由于一些重大的問題阻礙了完全融合的進(jìn)程，將穩(wěn)健的安全措施整合入DevOps仍然處于早期階段。目前，有51%組織正在將安全集成到他們的DevOps35%組織聲稱已經(jīng)完成了整合。其中的主要挑戰(zhàn)在于：缺乏安全專業(yè)知識(shí)，自動(dòng)化不足，過多的誤報(bào)以及缺乏可操作的反饋。組織必須直面并解決這些問題以實(shí)現(xiàn)成功的整合。在這些障礙中，首要的問題是缺乏安全專業(yè)知識(shí)，有46%的受訪者報(bào)告了這一問題這種不足可能會(huì)在DevOps的流程中引入漏洞，攻擊者可能會(huì)潛在地利用這些漏洞。更麻煩的在于關(guān)于DevOps安全的責(zé)任和問責(zé)制存在模糊不清，不同的團(tuán)隊(duì)經(jīng)常假設(shè)這是對(duì)方的責(zé)任。為了解決這個(gè)問題，組織應(yīng)該為DevOps團(tuán)隊(duì)提供安全培訓(xùn)，聘請(qǐng)安全專家，并在組織內(nèi)打造“安全為先”的文化。其它主要挑戰(zhàn)都與技術(shù)相關(guān)，這其中最大的挑戰(zhàn)是缺乏自動(dòng)化，由43%的受訪者指出。缺乏自動(dòng)化流程會(huì)使組織難以有效地管理和展開DevOps的落地。誤報(bào)也是另一個(gè)重要的問題，有42%的組織被誤報(bào)困擾。高誤報(bào)率使得安全團(tuán)隊(duì)疲于應(yīng)付，效率低下。最后，有42%的組織報(bào)告了缺乏可操作的反饋，這阻礙了他們對(duì)安全實(shí)踐的有效響應(yīng)。與在安全態(tài)勢(shì)管理上面臨的挑戰(zhàn)類似，教育、培訓(xùn)以及工具的質(zhì)量是成功實(shí)現(xiàn)安全集成的要素。組織必須密切關(guān)注這些方面，以確保安全與DevOps的有效集成，從而更有效地保護(hù)其運(yùn)營。云工作負(fù)載保護(hù)：圍繞事件響應(yīng)的挑戰(zhàn)回歸為人員、流程和技術(shù)在DevOps中，人員和技術(shù)挑戰(zhàn)一直是焦點(diǎn)，但在涉及云工作負(fù)載保護(hù)和事件響應(yīng)方面，問題涉及到所有方面：人員、流程和技術(shù)。25%29%應(yīng)團(tuán)隊(duì)的職責(zé)和行動(dòng)步驟。定期測(cè)試和更新響應(yīng)計(jì)劃以確保其有效性也至關(guān)重要。組織應(yīng)積極發(fā)現(xiàn)并主動(dòng)彌補(bǔ)事件響應(yīng)計(jì)劃中的潛在不足。技術(shù)：缺乏自動(dòng)化是組織正在努力解決的另一個(gè)關(guān)鍵挑戰(zhàn)，有39%的受訪者報(bào)告了這一問題。自動(dòng)化工具可以大幅減少響應(yīng)時(shí)間，提高威脅調(diào)件響應(yīng)流程的工具可以實(shí)時(shí)查看潛在的安全事件,CNAPP和安全信息和事件管理（SIEM）有效應(yīng)對(duì)安全事件并保護(hù)云工作負(fù)載的能力源自人員、流程和技術(shù)。優(yōu)先考慮這些領(lǐng)域?qū)⑹菇M織能夠強(qiáng)化其事件響應(yīng)能力，從而確保其云工作負(fù)載得到堅(jiān)實(shí)的保護(hù)。網(wǎng)絡(luò)安全：最成熟的實(shí)現(xiàn)，但威脅檢測(cè)仍為挑戰(zhàn)在所有類別中，網(wǎng)絡(luò)安全是最成熟的。值得關(guān)注的是，43%的受訪者報(bào)告在多云環(huán)境中實(shí)現(xiàn)了網(wǎng)絡(luò)安全的全面整合，而CSPM的整合率僅為28%。零信任戰(zhàn)略的普及可能是這種成熟水平背后的一項(xiàng)關(guān)鍵驅(qū)動(dòng)因素。然而，組織在網(wǎng)絡(luò)安全方面仍然面臨重要的挑戰(zhàn)，在威脅檢測(cè)和大量安全警報(bào)的管理方面尤甚。威脅的數(shù)量之多可能與組織環(huán)境的復(fù)雜性和大量網(wǎng)絡(luò)流量有關(guān)。這種情況可能會(huì)使有效識(shí)別和跟蹤潛在的安全威脅變得困難。推薦充分利用支持多云環(huán)境并提供智能威脅防護(hù)的安全工具。如CNAPP之類的此外，減少安全警報(bào)的數(shù)量對(duì)于網(wǎng)絡(luò)安全管理也很重要。一個(gè)可能的方向是對(duì)于能夠有效區(qū)分真實(shí)威脅和誤報(bào)的智能安全工具進(jìn)行投入。這可以顯著減盡管網(wǎng)絡(luò)安全是多云環(huán)境涵蓋的范圍中最成熟的領(lǐng)域，但組織仍然面臨重大挑戰(zhàn)，特別是在威脅檢測(cè)和安全警報(bào)管理方面。通過采用基于風(fēng)險(xiǎn)的方法，同時(shí)充分利用先進(jìn)的安全工具，組織可以增強(qiáng)多云環(huán)境中的網(wǎng)絡(luò)安全并且有效保護(hù)其資產(chǎn)。云基礎(chǔ)設(shè)施授權(quán)管理:高度關(guān)注權(quán)限配置錯(cuò)誤云基礎(chǔ)設(shè)施授權(quán)管理（CIEM）遇到了一些顯著的挑戰(zhàn)，特別是在配置錯(cuò)誤方面。近一半(43%)的組織認(rèn)為他們最擔(dān)心的問題是權(quán)限配置錯(cuò)誤。這個(gè)普遍存在的問題可能會(huì)產(chǎn)生嚴(yán)重的后果，可能會(huì)導(dǎo)致未經(jīng)授權(quán)的訪問，甚至災(zāi)難性的數(shù)據(jù)丟失。錯(cuò)誤的配置可能會(huì)在無意中暴露敏感數(shù)據(jù)或授予不必要的特權(quán)，從而創(chuàng)建可能被惡意行為者利用的漏洞。為了解決這些問題，自動(dòng)化安全工具越來越被認(rèn)為是支持云基礎(chǔ)設(shè)施授權(quán)管理（CIEM）的關(guān)鍵。這些工具可以對(duì)多云環(huán)境進(jìn)行全方位掃描，允許對(duì)權(quán)限配置進(jìn)行全面的觀測(cè)和控制。這些工具通過主動(dòng)檢測(cè)和對(duì)配置錯(cuò)誤告警，可以幫助組織快速解決問題，顯著減少漏洞的窗口期。結(jié)論雖然CNAPP在幾年前才被定義，但很快就被廣泛接受了。許多企業(yè)目前正在使用或計(jì)劃使用CNAPP。對(duì)于企業(yè)的吸引力在于能夠提供全面的態(tài)勢(shì)管理和可見性，以及為了降低風(fēng)險(xiǎn)而采用的代碼上云的方法，這是企業(yè)最優(yōu)先考慮的安全事項(xiàng)。CNAPP特別擅長(zhǎng)保護(hù)多云環(huán)境，并為整合各種安全工具提供了統(tǒng)一的解決方案。從調(diào)查結(jié)果中可以看出，企業(yè)面臨的挑戰(zhàn)往往圍繞著兩個(gè)核心因素：人員和技術(shù)。一方面，需要培養(yǎng)訓(xùn)練有素的專業(yè)安全人員，讓他們清楚地了解自己的職責(zé)。另一方面，迫切需要有效的技術(shù)和工具來應(yīng)對(duì)快速演變的網(wǎng)絡(luò)安全威脅，并有效地支持安全團(tuán)隊(duì)。像CNAPP這類的技術(shù)必須能夠?yàn)榘踩珗F(tuán)隊(duì)提供所需的正確信息和可見性，以便通過端到端實(shí)現(xiàn)平臺(tái)治理的一致性，從而有效地保護(hù)多云環(huán)境。這種需求跨越了幾個(gè)關(guān)鍵領(lǐng)域：云安全態(tài)勢(shì)管理（CSPM）、云工作負(fù)載保護(hù)（CWP）、安全開發(fā)運(yùn)維（DevSecOps）、云基礎(chǔ)設(shè)施授權(quán)管理（CIEM）和網(wǎng)絡(luò)安全。隨著企業(yè)云上業(yè)務(wù)的發(fā)展，企業(yè)必須利用諸如CNAPP來為安全性提供集成解決方案，同時(shí)解決人員和技術(shù)方面的問題。這樣，可以更好地為應(yīng)對(duì)當(dāng)今和未來的復(fù)雜網(wǎng)絡(luò)安全挑戰(zhàn)。調(diào)研發(fā)現(xiàn)云的使用和安全云環(huán)境大多數(shù)組織都有兩個(gè)或更多云的多云環(huán)境（84%）。只有15%使用單一云環(huán)境。云中管理的工作負(fù)載數(shù)量大多數(shù)組織在云中管理適量的工作負(fù)載。具體而言，28%的受訪者表示管101-50030%501-1000個(gè)工作負(fù)載。只有3%的組織報(bào)告工作負(fù)載超過10,000個(gè)。今年安全工作重點(diǎn)組織希望通過投資先進(jìn)的安全工具和技術(shù)來改善其云安全狀況。根據(jù)最近的一項(xiàng)調(diào)查，明年的三大優(yōu)先事項(xiàng)是提高安全態(tài)勢(shì)的可見性（42％的受訪者）、增加威脅防護(hù)自動(dòng)化的使用（35％）、提高SOC（安全運(yùn)營中心）效率以及通過減少攻擊面來主動(dòng)預(yù)防風(fēng)險(xiǎn)（37%）。這些優(yōu)先事項(xiàng)表明，組織正在尋求更好地識(shí)別潛在漏洞，更快地檢測(cè)和響應(yīng)潛在威脅，并降低潛在安全漏洞的風(fēng)險(xiǎn)。期望的安全結(jié)果對(duì)于組織來說，最重要的安全成果是提高可見性，43%的受訪者選擇將此作為首要任務(wù)這表明組織正在尋求更好地了解其云安全狀況以識(shí)別潛在的漏洞并減少潛在安全漏洞的風(fēng)險(xiǎn)第二個(gè)最重要的成果是減少手工工作，32%的受訪者選擇了這一選項(xiàng)。這表明組織正在尋求自動(dòng)化其安全流程，以提高效率并降低人為錯(cuò)誤的風(fēng)險(xiǎn)。跨多云環(huán)境的安全工具的成熟度網(wǎng)絡(luò)安全在多云環(huán)境中具有最高水平的完全集成，43%的受訪者表示完全集成。DevSecOps的完全集成程度位居第二，41%的受訪者報(bào)告跨多云環(huán)境的集成。CWP和CIEM的集成程度相似，30%的受訪者表示兩者完全集成。CSPM數(shù)據(jù)安全態(tài)勢(shì)管理的完全集成28%34%受訪者分別報(bào)告了跨多云環(huán)境的集成。這些結(jié)果表明，組織在跨多個(gè)環(huán)境管理云安全時(shí)面臨挑戰(zhàn)，某些領(lǐng)域（例如網(wǎng)絡(luò)安全和DevSecOps）顯示出更高級(jí)的集成。組織可能需要重新評(píng)估他們正在使用的安全工具，以確保其完整的多云環(huán)境受到保護(hù)和保障。云原生應(yīng)用保護(hù)熟悉云原生應(yīng)用保護(hù)平臺(tái)大多數(shù)受訪者（89%）都表示熟悉云原生保護(hù)平臺(tái)（CNAPPs），只有11%的受訪者表示不熟悉CNAPP。云原生應(yīng)用保護(hù)平臺(tái)的核心價(jià)值受訪者對(duì)云原生應(yīng)用保護(hù)平臺(tái)（CNAPP）25%。其次，有16%的受訪者選擇了解數(shù)據(jù)態(tài)勢(shì)和保護(hù)敏感數(shù)據(jù)作為核心價(jià)值。多云威脅保護(hù)，以13%。正在使用或計(jì)劃使用CNAPP實(shí)施云原生應(yīng)用保護(hù)平臺(tái)(CNAPP)似乎是許多組織的首要任務(wù)，40%的受訪者表示他們目前正在使用CNAPP解決方案。此外，31%的受訪者表示計(jì)劃在未來6個(gè)月內(nèi)實(shí)施CNAPP，14%的受訪者表示計(jì)劃在未來12個(gè)月內(nèi)實(shí)施CNAPP。只有8%的受訪者表示有實(shí)施計(jì)劃CNAPP但時(shí)間未定，剩下7%的受訪者表示沒有計(jì)劃實(shí)施CNAPP。云安全態(tài)勢(shì)管理安全態(tài)勢(shì)管理的最大挑戰(zhàn)企業(yè)面臨安全態(tài)勢(shì)的一些列挑戰(zhàn)，其中背景或可操作性見解的缺乏和太多的安全建議是被選擇最多的兩項(xiàng)，分別有34%的受訪者選擇了這兩項(xiàng)挑戰(zhàn)這表明企業(yè)正在努力獲取正確的信息，以便對(duì)其安全狀況做出明智的決策；同時(shí)也被大量無法提供清晰解決方案的建議所困擾此外，有32%的受訪者表示安全改進(jìn)的優(yōu)先級(jí)是一個(gè)重大的挑戰(zhàn)。設(shè)置監(jiān)控agent調(diào)查結(jié)果表明，企業(yè)在設(shè)置監(jiān)控的agent方面采取了不同的方法。17%的受訪者報(bào)告使用完全無agent的監(jiān)控，而33%的受訪者報(bào)告使用完全基于agent的監(jiān)控。更多的受訪者（37%）表示組合使用兩種監(jiān)控方法，但以無agent的監(jiān)控方式為主。還有13％的受訪者表示使用兩種監(jiān)控方法的，但以基于agent企業(yè)在監(jiān)控環(huán)境時(shí)有不同的偏好和要求，可能需要根據(jù)具體需求或供應(yīng)商來綜合考慮各種方法。管理和保護(hù)賬戶的能力和流程以及管理漏洞是被選擇最多的兩個(gè)能力，各有被41%的受訪者選擇。攻擊路徑分析也是一個(gè)高度受歡迎的能力，被37%訪者選擇。較少被選擇為：敏感數(shù)據(jù)暴露（31%），訪問和權(quán)限管理（27%）及糾正錯(cuò)誤配置（23%）。云工作負(fù)載保護(hù)事件響應(yīng)的挑戰(zhàn)當(dāng)涉及到事件響應(yīng)時(shí)，組織面臨著一系列挑戰(zhàn)，技術(shù)缺陷是最受關(guān)注的問題。39%受訪者選擇了缺少自動(dòng)化、31%選擇了與SIEM的集成，29%選擇了缺乏正式的響應(yīng)計(jì)劃。此外，27%的受訪者提到了響應(yīng)時(shí)間遲緩。值得注意的是，缺乏正式的響應(yīng)計(jì)劃會(huì)影響事件響應(yīng)團(tuán)隊(duì)有效利用技術(shù)的能力，這對(duì)于任何有效的事件響應(yīng)都是必要的。檢測(cè)到威脅后的平均響應(yīng)時(shí)間當(dāng)涉及到在云環(huán)境中實(shí)時(shí)檢測(cè)到的潛在威脅時(shí)，組織的響應(yīng)時(shí)間不同。13%的受訪者聲稱在幾分鐘內(nèi)響應(yīng)，31%在幾小時(shí)內(nèi)響應(yīng)，30%在一天內(nèi)響應(yīng)。值得注意的是，幾分鐘內(nèi)的響應(yīng)時(shí)間可能需要供應(yīng)商或自動(dòng)化在事件響應(yīng)過程中提供協(xié)助。另一方面，16%的受訪者需要超過一周的時(shí)間來響應(yīng)，只有2%的受訪者沒有設(shè)定響應(yīng)的時(shí)間框架。安全DevOps將安全性集成到DevOps實(shí)踐中大多數(shù)受訪者（87%）報(bào)告說，他們的組織已經(jīng)實(shí)施或部分實(shí)施了DevSecOps實(shí)踐，只有8%尚未實(shí)施。這與在軟件開發(fā)生命周期中進(jìn)行安全左移并將安全性集成到開發(fā)過程中的趨勢(shì)是一致的。這也反映了支持這些實(shí)踐的工具和技術(shù)的日益增加的可用性。實(shí)現(xiàn)DevOps安全性的障礙實(shí)現(xiàn)DevOps安全性的最大障礙似乎是出現(xiàn)在實(shí)施過程，最大的挑戰(zhàn)集中在早期階段。28%的受訪者認(rèn)為，定義和模板化IaC（基礎(chǔ)設(shè)施即代碼）框架，并包括安全策略和合規(guī)要求，是最大的障礙。緊隨其后的是在組織當(dāng)前的IT環(huán)境中部署IaC框架（25%）。管理IaC更新、測(cè)試和擴(kuò)展（17%）以及選擇IaC工具（13%）也被認(rèn)為是障礙。人員配備和技能組合問題（8%）是最不常見的挑戰(zhàn)。DevOps在安全性方面面臨的主要挑戰(zhàn)當(dāng)涉及到DevOps安全性時(shí)，組織面臨著幾個(gè)關(guān)鍵挑戰(zhàn)。最大的挑戰(zhàn)是缺乏安全專業(yè)知識(shí)，46%的受訪者認(rèn)為這是一個(gè)問題。缺少自動(dòng)化是第二常見的挑戰(zhàn)，占43%。太多的誤報(bào)和缺乏可操作的反饋也構(gòu)成了重大問題，42%的受訪者認(rèn)為這些都是挑戰(zhàn)。其他常見的問題包括團(tuán)隊(duì)之間缺乏溝通和缺乏關(guān)于業(yè)務(wù)影響的上下文。解決這些挑戰(zhàn)可以幫助組織更好地將安全性集成到他們的DevOps流程中，并確保他們的環(huán)境更加安全。DevOps安全關(guān)注領(lǐng)域DevOps安全主要關(guān)注領(lǐng)域包括：在軟件成分分析中對(duì)代碼依賴性和漏洞的理解（54%），應(yīng)用安全測(cè)試（45%）以及代碼掃描工具（41%）。其他重要的關(guān)注