2023云上數(shù)據(jù)安全重要事項

442023云上數(shù)據(jù)安全重要事項PAGEPAGE7目錄調(diào)查的創(chuàng)建和方法 8研目標(biāo) 8重要發(fā)現(xiàn) 9重發(fā)現(xiàn)1： 9重發(fā)現(xiàn)2： 10重發(fā)現(xiàn)3： 11重發(fā)現(xiàn)4： 11概述 12敏感數(shù)據(jù) 16暗數(shù)據(jù) 18數(shù)據(jù)泄露 21監(jiān)管合規(guī) 22人口統(tǒng)計 23調(diào)查的創(chuàng)建和方法云安全聯(lián)盟(CSA)是一個以廣泛推廣在云計算和IT技術(shù)領(lǐng)域保障網(wǎng)絡(luò)安全最佳實踐為使命的非營利性組織。CSA還向行業(yè)中利益相關(guān)者們針對各類其他計算形式的安全問題提供教育。CSA會員是由行業(yè)從業(yè)者、企業(yè)和各專業(yè)團體所組成的多領(lǐng)域聯(lián)盟。CSA的主要目標(biāo)之一是開展評估信息安全趨勢的調(diào)查，這些調(diào)查提供了有關(guān)組織當(dāng)前在信息安全和技術(shù)方面的成熟度、意見、興趣和意圖等信息。BigID委托CSA進行了一項調(diào)查和報告，以便更好地了解業(yè)界對云數(shù)據(jù)安全的認(rèn)知、態(tài)度和意見。BigID資助該項目并聯(lián)合CSA研究分析師共同制定了調(diào)查問卷。CSA于2022年7月通過線上開展這項調(diào)查，收到了1633份回復(fù)，分別來自于不同規(guī)模、不同地點組織內(nèi)的信息技術(shù)和安全專業(yè)人員。CSA的研究分析師對這份報告進行了數(shù)據(jù)分析和說明。研究目標(biāo)本研究目標(biāo)是理解以下內(nèi)容：重要發(fā)現(xiàn)重要發(fā)現(xiàn)1：各組織正在努力保護和跟蹤云上的敏感數(shù)據(jù)總體而言，組織對其在云上保護數(shù)據(jù)的能力缺乏信心，報告顯示，39%的組織有較高的信心。超過一半的組織(57%)組織在云上保護數(shù)據(jù)能力的信心度 在您看來，您的組織中有多少敏感數(shù)據(jù)是在云上得到了充分保護的？除了努力保護敏感數(shù)據(jù)，組織還在努力跟蹤云上的數(shù)據(jù)。超過四分之一的組織沒有跟蹤受監(jiān)管的數(shù)據(jù)，近三分之一的組織沒有跟蹤機密數(shù)據(jù)或內(nèi)部數(shù)據(jù)，45%的組織沒有跟蹤未分類數(shù)據(jù)。這表明，組織目前對數(shù)據(jù)進行分類的方法不足以滿足他們的需求。對于SaaS平臺，76%的組織將跟蹤數(shù)據(jù)的困難級別評為中級到高級。只有7%的組織表示跟蹤數(shù)據(jù)根本不是問題。當(dāng)考慮到組織在SaaS平臺中擁有的敏感數(shù)據(jù)量時，數(shù)據(jù)跟蹤的難度尤其令人擔(dān)憂。9%能夠更好地跟蹤其數(shù)據(jù)。SaaS平臺中跟蹤數(shù)據(jù)的難度構(gòu)成級別 云上被跟蹤的數(shù)據(jù)重要發(fā)現(xiàn)2：第三方和供應(yīng)商對敏感數(shù)據(jù)的訪問權(quán)限與員工權(quán)限相似。（58%）2/31010重要發(fā)現(xiàn)3：暗數(shù)據(jù)問題源于人員配置問題和部門間的沖突(79%)(50%)、缺(47%)(44%)。重要發(fā)現(xiàn)4：大多數(shù)安全專業(yè)人士認(rèn)為，他們的企業(yè)明年將會遭遇數(shù)據(jù)泄露。62%的組織稱他們在未來一年某種程度上極有可能遭遇云數(shù)據(jù)泄露。鑒于在過去的12個月里有大量的組織遭遇過云數(shù)據(jù)泄露事件，人們對未來12個月發(fā)生的未遂泄露有更大的擔(dān)憂是有道理的。對于過去12個月沒有遭遇過入侵的組織，22%的受訪者表示，未來12個月發(fā)生入侵的可能性非常小。經(jīng)歷過數(shù)據(jù)泄露的組織認(rèn)為，數(shù)據(jù)泄露的可能性更大，只有8%發(fā)生過泄密的組織受訪者表示未來12個月內(nèi)發(fā)生數(shù)據(jù)泄露的可能性很小。組織的一個關(guān)鍵步驟是鎖定第三方對敏感數(shù)據(jù)的訪問。組織還需要繼續(xù)為其復(fù)雜的云環(huán)境(例如多云和混合云)確定跨平臺支持的優(yōu)先順序，以確保所有環(huán)境的安全性。1111PAGEPAGE12概述用于數(shù)據(jù)存儲的IaaS和PaaS平臺數(shù)量絕大多數(shù)(86%)的組織利用多個云平臺存儲數(shù)據(jù)。大多數(shù)組織使用2個(35%)或3個(37%)IaaS或PaaS云平臺來存儲數(shù)據(jù)。只有12%的組織使用了1個云平臺。數(shù)據(jù)保護策略45(32%)(31%)(18%)(19%)(19%)云數(shù)據(jù)安全使用的服務(wù)類型（57%）（58%）

選擇第三方云數(shù)據(jù)安全供應(yīng)商的驅(qū)動力對于使用第三方服務(wù)實現(xiàn)云數(shù)據(jù)安全的組織來說，他們選擇供應(yīng)商時考慮的前三個因素是功能和特性（52%）、成本（41%）和跨平臺支持（41%）。這表明，選擇第三方服務(wù)的組織正在尋找更具成本效益或電信運營商不能夠提供的附加功能。此外，多云和混合云環(huán)境的應(yīng)用使組織關(guān)注于跨平臺支持。應(yīng)用的數(shù)據(jù)安全功能（48%）、（42%）（42%）（41%）。高優(yōu)先級數(shù)據(jù)安全產(chǎn)品功能在組織使用的數(shù)據(jù)安全功能中，最優(yōu)先的功能是云數(shù)據(jù)安全（26%）、持續(xù)監(jiān)控/學(xué)習(xí)（18%）、數(shù)據(jù)檢查和檢測（16%）以及云工作負(fù)載安全（16%）。這些結(jié)果遵循與組織通常使用的數(shù)據(jù)安全特性類似的模式。1414當(dāng)前的數(shù)據(jù)互操作性方法總體而言，組織傾向于采用特定API的方法（59%）來實現(xiàn)數(shù)據(jù)互操作性，而不是平臺無關(guān)（41%）。組織似乎對他們的方法感到滿意。當(dāng)被問及數(shù)據(jù)互操作性的理想方法時，回答基本相同，組織大都傾向于API特定的方法（59%），而不是平臺無關(guān)的方法（41%）。組織需要能夠輕松集成其當(dāng)前解決方案并利用開放API的工具。數(shù)據(jù)互操作性的當(dāng)前方法組織數(shù)據(jù)互操作性的理想方法1515PAGEPAGE16敏感數(shù)據(jù)對保護云上數(shù)據(jù)能力的信心(40%)(35%)和員工(34%)。云上敏感數(shù)據(jù)具有足夠安全性的比例分布40%50%4%96%組織給予員工和供應(yīng)商對敏感數(shù)據(jù)幾乎相同級別的訪問權(quán)限。特別結(jié)合最近熱門的供應(yīng)鏈攻擊事件，表明第三方合作伙伴和供應(yīng)商對組織敏感數(shù)據(jù)有過高的訪問權(quán)限。組織應(yīng)該敏銳地掌握誰可以訪問以及他們可以訪問什么，以防止無意識的信息泄漏。暗數(shù)據(jù)追蹤云上數(shù)據(jù)組織正在努力追蹤云上數(shù)據(jù)。超過四分之一的組織沒有對受監(jiān)管的數(shù)據(jù)進行追蹤，近三分之一的組織沒有對機密的或內(nèi)部數(shù)據(jù)進行追蹤，45%的組織沒有對未分類數(shù)據(jù)進行追蹤。這表明，組織目前的數(shù)據(jù)分類方法不能滿足他們的需求。暗數(shù)據(jù)百分比51%1818SaaS平臺追蹤數(shù)據(jù)的難度等級SaaS76%7%(91%)(例如，SaaS)SaaS對暗數(shù)據(jù)擴散的擔(dān)憂程度SaaS19捕獲暗數(shù)據(jù)的優(yōu)先級盡管存在困難，但組織對暗數(shù)據(jù)的擔(dān)憂促使他們優(yōu)先捕獲暗數(shù)據(jù)。82%的組織表示這是中到高優(yōu)先級的工作。組織似乎了解暗數(shù)據(jù)給其組織帶來的安全、隱私和合規(guī)風(fēng)險、成本和競爭劣勢，更多的組織需要考慮使用數(shù)據(jù)發(fā)現(xiàn)工具來遏制暗數(shù)據(jù)問題。捕獲暗數(shù)據(jù)的首要障礙組織捕獲暗數(shù)據(jù)的三大障礙與人員配備直接相關(guān)：缺乏技能/知識（50%）、缺乏部門間合作（47%）和缺乏人手（44%）/2020數(shù)據(jù)泄露過去12個月的云上數(shù)據(jù)泄露近一半(49%)的組織表示過去12個月發(fā)生過云上數(shù)據(jù)泄露事件?？紤]到他們對保護云上數(shù)據(jù)能力的高度自信，現(xiàn)實情況似乎更加嚴(yán)峻。這可能是由于組織使用云環(huán)境越來越復(fù)雜，使得制定通用數(shù)據(jù)安全戰(zhàn)略更加困難。在未來12個月，發(fā)生云上數(shù)據(jù)泄露的可能性數(shù)據(jù)泄露的影響2121PAGEPAGE22監(jiān)管合規(guī)監(jiān)管合規(guī)的難度無論環(huán)境如何，合規(guī)性都會給組織帶來一定程度的挑戰(zhàn)。本地部署的合規(guī)挑戰(zhàn)僅僅略低于云服務(wù)或內(nèi)部自研的應(yīng)用程序。第三方供應(yīng)商進行安全合規(guī)認(rèn)證的重要性關(guān)于第三方供應(yīng)商的安全合規(guī)認(rèn)證，無論何種類型的認(rèn)證，大多數(shù)認(rèn)證對于組織重要性都處于中等