2024年云原生安全的現(xiàn)狀報(bào)告-派拓網(wǎng)絡(luò)PANW

2024年報(bào)告2023年，敏捷開發(fā)、開源軟件和云原生技2023年，敏捷開發(fā)、開源軟件和云原生技術(shù)的發(fā)展勢(shì)頭十分強(qiáng)勁，而針對(duì)應(yīng)用層的攻擊也成了一種必然趨勢(shì)。云原生生態(tài)系統(tǒng)面臨著供應(yīng)鏈攻擊激增的問題，這表明開源軟件和第三方庫中普遍存在的漏洞。我們的Unit42團(tuán)隊(duì)分析的真實(shí)世界數(shù)據(jù)坐實(shí)了這種局面，將云確定為主要的攻擊面，80%的中度、高度和嚴(yán)重暴露都存在第三個(gè)懸而未決的重要因素。2023年，全在開始探討2024年云原生安全現(xiàn)狀時(shí)，我們首先回顧一下2023年發(fā)生的事件以及產(chǎn)生的影響，這些事件和影響都與我們當(dāng)前的態(tài)勢(shì)、我們面臨的挑戰(zhàn)以及我們?yōu)閷?shí)現(xiàn)預(yù)期成果而選擇2DataCreatedWorldwide2010-2025云安全與我們努力實(shí)現(xiàn)的其他目空出世，成為了一種突破性技術(shù)，它有可能將開發(fā)時(shí)間和成本減半，最終重新定義應(yīng)用經(jīng)濟(jì)。3但就像云技術(shù)及其無數(shù)好處與我們必須解決的挑戰(zhàn)密不可分一樣，作為一種開發(fā)工具，生成式人工智能也伴隨著令人擔(dān)憂的問題。就在我們剛剛開始思考潛在的問題時(shí)，OWASP就面向安全團(tuán)隊(duì)發(fā)布了十大LLM安全風(fēng)險(xiǎn)，提醒我們注意提示詞注入、不安全的輸出處理，以及但挑戰(zhàn)對(duì)我們來說并不陌生?？梢哉f，生成式人工智能就像云技術(shù)一樣，已經(jīng)成為一種主流。我們將以責(zé)任意識(shí)和安全優(yōu)先展望未來，當(dāng)我們?cè)谧非竽繕?biāo)的道路上不們努力實(shí)現(xiàn)的任何其他目標(biāo)一樣，都是我有備無患，時(shí)預(yù)測(cè)威脅并調(diào)整戰(zhàn)略可以確保在與時(shí)間的賽跑中，做好充分準(zhǔn)備才是游戲的奧義。除了時(shí)間的束縛，幾乎聽不到云安全從業(yè)者談?wù)撈渌袋c(diǎn)。畢竟，他們有備無患，時(shí)預(yù)測(cè)威脅并調(diào)整戰(zhàn)略可以確保受訪者希望更好地確定風(fēng)險(xiǎn)優(yōu)先級(jí)，這是可以理解的。超過90%的人表示，自己使用的單點(diǎn)工具數(shù)量過多，造成了盲點(diǎn)，影響了確定風(fēng)險(xiǎn)優(yōu)先級(jí)和防范威脅的能力。62%的安全從業(yè)人員希望獲得方便使用的安全解決方案，每3位受訪者中就有務(wù)提供商(CSP)為其部署的應(yīng)用程序提供強(qiáng)調(diào)了減少安全工具數(shù)量的重要性，從簡(jiǎn)4源源不斷的問題，例如與人工智能生成的代碼和未管理的API相關(guān)的安全風(fēng)險(xiǎn)，加上訪問管理不完善和攻擊面不斷擴(kuò)大等傳統(tǒng)挑戰(zhàn)，凸顯了云安全威脅不斷變化的本質(zhì)。各企業(yè)正在重新思考其戰(zhàn)略，許多企業(yè)強(qiáng)調(diào)需要進(jìn)行根本性變革，從一開始就增強(qiáng)云安全性。要為安全和DevOps團(tuán)隊(duì)各企業(yè)正在采取哪些措施來有效保障數(shù)據(jù)安全并滿足快速部署的需求？各企業(yè)在哪些方面遇到了挑戰(zhàn)？企業(yè)如何在安全和開發(fā)團(tuán)隊(duì)之間架起橋梁？企業(yè)應(yīng)對(duì)人工智能相關(guān)安全風(fēng)險(xiǎn)的準(zhǔn)備情況如何？如何有效我們一年一度的多行業(yè)調(diào)查旨在回答這些問題以及更多問題，深入探索塑造云原生2024年調(diào)查發(fā)現(xiàn)當(dāng)被問及如果是首次遷移到云，他們會(huì)采取哪些不同的做當(dāng)被問及如果是首次遷移到云，他們會(huì)采取哪些不同的做法時(shí)，50%的受訪者表示會(huì)花更多時(shí)間重構(gòu)應(yīng)用程序，而不我們的調(diào)查顯示，將工作負(fù)載轉(zhuǎn)移到云端但未針對(duì)云端進(jìn)行優(yōu)化的企業(yè)，其總體擁有成本較高，這也印證了上述觀點(diǎn)。更重要的是，他們的應(yīng)用程序并沒有獲得云技當(dāng)安全被視為一種障礙48%48%52%</></>人工智能生成的代碼比人工智能輔助的攻擊更超過五分之二(43%)的安全專業(yè)人士預(yù)測(cè)，人工智能驅(qū)動(dòng)的威脅將避開傳統(tǒng)檢測(cè)技術(shù)，成為更常見的威3838%38%的受訪者將人工智能驅(qū)動(dòng)的攻擊列為首要的云安4444%100100%24624625283440擁抱未知：人工智能對(duì)應(yīng)用程序生命周4343第四年《云原生安全現(xiàn)狀報(bào)告》對(duì)全球企業(yè)為利用云服務(wù)和新的應(yīng)用技術(shù)堆棧而采用的安全實(shí)踐、工具和技術(shù)我們的研究樣本涵蓋了主要行業(yè)部門，其中包括消費(fèi)品和服務(wù)、能源資源和工業(yè)、金融服超過50%的樣本來自企業(yè)規(guī)模的組調(diào)查參與者中既有高管領(lǐng)導(dǎo)，也有從業(yè)人員，涵蓋了各企業(yè)的廣泛觀點(diǎn)。從業(yè)人員級(jí)別的參與者具體來自開發(fā)、信息技術(shù)或信息安全職能所有受訪者都表示自己對(duì)企業(yè)的云業(yè)務(wù)和云安全狀況了如指掌，并且數(shù)據(jù)來源于專業(yè)調(diào)PaloAltoNetworks與Wakefield進(jìn)行，收集了來自澳大利亞、巴西、法國(guó)、德國(guó)、印度、日本、墨西哥、新加坡、英國(guó)和美在各個(gè)地區(qū)，云計(jì)算投資趨勢(shì)都全球各企業(yè)對(duì)云基礎(chǔ)設(shè)施、服務(wù)和運(yùn)營(yíng)效率進(jìn)行了大量投資，希望推動(dòng)數(shù)字化轉(zhuǎn)型和擴(kuò)張。總體趨勢(shì)顯示，云計(jì)算支出激增，50%以上的企業(yè)每年在云服務(wù)上的投務(wù)運(yùn)營(yíng)各個(gè)方面的做法表明，隨著企業(yè)追求更高的敏捷性、可擴(kuò)展性和創(chuàng)新性，投 新加坡澳大利亞 德國(guó) 70%1,000萬美元或以上不到1,000萬美元1,000萬美元或以上在各地區(qū)之間，我們看到了細(xì)微但有說服力的差異。澳大利亞、墨西哥和新加坡在較高的投資區(qū)間內(nèi)表現(xiàn)出強(qiáng)勁的云計(jì)算支出，而美國(guó)和英國(guó)則繼續(xù)在中等范圍內(nèi)進(jìn)行大量投資。法國(guó)和德國(guó)的云計(jì)算支出模式顯示出成熟而謹(jǐn)慎的態(tài)度，大部分投資都在900萬相比之下，在巴西、印度和日本等新興市場(chǎng)中，投資額低于1,000萬美元的企業(yè)比例較高，分別為40%、41%和43%。除了云計(jì)算的成熟度之外，這一趨勢(shì)還可能反映出這些地區(qū)中小型企業(yè)的增多以及保守與擁有“初級(jí)基礎(chǔ)設(shè)施”的企業(yè)相比，自稱“廣泛集成”或“完全原生環(huán)境”的企業(yè)傾向于在云技術(shù)上投入更多。例如，在英國(guó)，32%投資不足1000萬美元的企業(yè)處于探索云計(jì)算的初始階段，而76%投資1000萬美元或以上的企業(yè)已經(jīng)實(shí)現(xiàn)了廣泛的云計(jì)算集成。這種局面在各地區(qū)都是一致的，表明隨著企業(yè)在云計(jì)算領(lǐng)域的發(fā)展日趨成熟，云計(jì)算支出也在增加，這很可能是由于采用了更先進(jìn)的云服務(wù)和架構(gòu)，以云計(jì)算的成熟度不僅限于技術(shù)的采用，而是既反映了一個(gè)企業(yè)的文化、流程以及駕馭云計(jì)算實(shí)現(xiàn)業(yè)務(wù)轉(zhuǎn)型的能力，又對(duì)其產(chǎn)生了影響。在今年的調(diào)查受訪者中，成熟云計(jì)算的成熟度不僅限于技術(shù)的采用，而是既反映了一個(gè)企業(yè)的文化、流程以及駕馭云計(jì)算實(shí)現(xiàn)業(yè)務(wù)轉(zhuǎn)型的能力，又對(duì)其產(chǎn)生了影響。在今年的調(diào)查受訪者中，成熟度涵蓋針對(duì)特定項(xiàng)目使用基本云基礎(chǔ)設(shè)在這一范圍內(nèi)，我們看到應(yīng)用程序部署方云計(jì)算之旅不是線性的。這是一個(gè)適應(yīng)、學(xué)習(xí)和轉(zhuǎn)型的連續(xù)過程，由戰(zhàn)略投資、成熟度、部署50%50%的受訪者表示，自己會(huì)花更多時(shí)間重構(gòu)應(yīng)用程序。直接遷移重構(gòu)云原生36%重構(gòu)云原生對(duì)直接遷移的部署偏好(35%)與許多企業(yè)在云遷移過程中采取的務(wù)實(shí)方法相一致。雖然云原生和重構(gòu)部署可帶來長(zhǎng)期效益，但最初關(guān)注快速、低干從直接遷移開始的企業(yè)通常會(huì)通過重構(gòu)發(fā)展到云原生開發(fā)，從尋求速贏發(fā)展到擁抱云優(yōu)先戰(zhàn)略，以提高性能、可擴(kuò)展性和成本效益。我們的調(diào)查證實(shí)了這一趨勢(shì)，在使用云技術(shù)3年或以上的企業(yè)中，云原生部署取代直接性能、可擴(kuò)展性成本效益>速贏從各地區(qū)的成熟度趨勢(shì)來看，澳大利亞(26%)、一左右擁有完全云原生的環(huán)境。法國(guó)和德國(guó)緊隨其隨著企業(yè)深化云投資，他們也在不斷改進(jìn)應(yīng)用程序的規(guī)模較大的企業(yè)更傾向于采用先進(jìn)的部署方法，這可能是由于他們擁有更多的資源、復(fù)雜的要求以及對(duì)創(chuàng)德國(guó)大多數(shù)受訪者（全球67%）表示，用于傳統(tǒng)應(yīng)用程序現(xiàn)代化的支出占其云總體擁有大多數(shù)受訪者（全球67%）表示，用于傳統(tǒng)應(yīng)用程序現(xiàn)代化的支出占其云總體擁有中，成本飆升超過30%，這凸顯了平衡運(yùn)30%的云計(jì)算成本用于改造傳統(tǒng)應(yīng)用$傳統(tǒng)應(yīng)用程序的現(xiàn)代化消耗了云計(jì)算總體擁有成本的很大一部分，強(qiáng)調(diào)了戰(zhàn)略性云用于改造傳統(tǒng)應(yīng)用$用程序架構(gòu)問題耗費(fèi)了在地區(qū)差異方面，拉丁美洲、日本和亞太地區(qū)有更高比例的受訪者（分別為29%和26%）將30%或更多的云計(jì)算總體擁有成本用于傳統(tǒng)應(yīng)用程序的優(yōu)化。印度尤為突出，42%的受訪者表示，他們的云計(jì)算總體擁有成本中有30%或更多用于面向云端優(yōu)化傳統(tǒng)應(yīng)用程序。當(dāng)被問及為什么開發(fā)人員的時(shí)間被挪用到解決錯(cuò)誤和代碼漏洞時(shí)，45%的人將原因歸咎于應(yīng)用程傳統(tǒng)應(yīng)用程序現(xiàn)代化方面的巨額支出突出表明，云遷移項(xiàng)目需要進(jìn)行戰(zhàn)略規(guī)劃。各企業(yè)應(yīng)評(píng)估哪些應(yīng)用程序適合直接遷移，哪些應(yīng)用程序需要重構(gòu)或完全重新開發(fā)，以優(yōu)化成本和效益。安全和合規(guī)方面的挑戰(zhàn)使得這一點(diǎn)尤為重要，因?yàn)榕f的應(yīng)用程序在設(shè)計(jì)時(shí)可能根本就沒有考慮到云原生眾所周知，云是模糊的。這里增加一個(gè)云服務(wù)提供商(CSP)，那里增加一個(gè)安全工具。生態(tài)系統(tǒng)不斷延伸，再延伸。復(fù)雜性始終眾所周知，云是模糊的。這里增加一個(gè)云服務(wù)提供商(CSP)，那里增加一個(gè)安全工具。生態(tài)系統(tǒng)不斷延伸，再延伸。復(fù)雜性始終以這樣或那樣的形式承擔(dān)復(fù)雜性是每年出版的《云原生安全現(xiàn)狀報(bào)告》中反復(fù)出現(xiàn)的主題。迄今為止，我們還沒有看到這方面取得進(jìn)展的跡象。事實(shí)上，專用于云安全的工具數(shù)量比去年的調(diào)查結(jié)果增加了60%。然而，對(duì)于經(jīng)常面對(duì)復(fù)雜性的人來說，解決復(fù)雜性問題的動(dòng)力是發(fā)自內(nèi)98%98%的受訪者認(rèn)為，現(xiàn)在平均有16種云安全工具，必須將其2024年，多云將轉(zhuǎn)化為每個(gè)企業(yè)約12家云等。而這僅代表生態(tài)系統(tǒng)中的公有云部分，占企業(yè)云工作負(fù)載的一半多一點(diǎn)(52%)。隨確保安全策略、訪問控制和數(shù)據(jù)保護(hù)的一致性就會(huì)變得越來越困難。對(duì)于一半以上的調(diào)查受訪者(54%)來說，云環(huán)境的復(fù)雜性和分雜性和分散性對(duì)安全構(gòu)成了重大19VM20%20%云架構(gòu)引入了另一層復(fù)雜性。2024年調(diào)查受訪者的工作負(fù)載在不同架構(gòu)中的分布情況表明，企業(yè)正在傳統(tǒng)架構(gòu)（虛擬機(jī)）與現(xiàn)代架構(gòu)（無服務(wù)器）之間游這種多樣性要求安全團(tuán)隊(duì)為這些環(huán)境打造一致的策略短暫性和異構(gòu)性為特征，擴(kuò)大了攻擊面。這就需要一種不同的安全方法，一種具有可操作洞察力、監(jiān)控和調(diào)查結(jié)果表明，企業(yè)正在傳統(tǒng)架構(gòu)和現(xiàn)代架構(gòu)之間徘徊，云技術(shù)正處于過渡階段。20在探討云安全的首要關(guān)注點(diǎn)時(shí)，調(diào)查反饋顯示，全球社會(huì)對(duì)云環(huán)境面臨的多方面威脅有著深刻的認(rèn)識(shí)。從確保人工智能生成的代碼和在探討云安全的首要關(guān)注點(diǎn)時(shí)，調(diào)查反饋顯示，全球社會(huì)對(duì)云環(huán)境面臨的多方面威脅有著深刻的認(rèn)識(shí)。從確保人工智能生成的代碼和API安全所面臨的細(xì)微挑戰(zhàn)，到不完善的訪問管理和內(nèi)部風(fēng)險(xiǎn)帶來的普遍威脅，這些2API風(fēng)險(xiǎn)一系列威脅帶來了嚴(yán)重的安全隱患，這說明采取積極主2API風(fēng)險(xiǎn)3人工智能驅(qū)動(dòng)的攻擊4訪問管理不完善5CI/CD對(duì)攻擊面的影響667未知、未管理的資產(chǎn)44%的企業(yè)對(duì)人工智能生成的代碼引入的不可預(yù)見的漏洞和利用感到擔(dān)憂。在算法自主創(chuàng)建軟件的過程中，由于缺乏人為監(jiān)督，可能會(huì)此外，人工智能生成代碼的開發(fā)速度之快可能會(huì)超過傳統(tǒng)的安全測(cè)試方法，從而導(dǎo)致漏洞可能進(jìn)入生產(chǎn)雖然這方面的擔(dān)憂普遍存在，但美緊隨其后的首要問題，43%的全球受訪者將目光投向了API相關(guān)風(fēng)險(xiǎn)。作為應(yīng)用程序之間進(jìn)行數(shù)據(jù)交經(jīng)授權(quán)的訪問，暴露敏感數(shù)據(jù)，并企業(yè)的擔(dān)憂主要集中在未管理和不企業(yè)的擔(dān)憂主要集中在未管理和不從地區(qū)來看，巴西最高，52%的受訪者認(rèn)為這是一個(gè)重223人們?cè)絹碓揭庾R(shí)到人工智能可能會(huì)被當(dāng)作武器，再加上人工智能的不人工智能的復(fù)雜性和針對(duì)性可能會(huì)導(dǎo)致更大的破壞，這應(yīng)該引起各企35%35%的企業(yè)將訪問管理不完善列為首要關(guān)注問題，這凸顯了企業(yè)在控制在拉丁美洲等地區(qū)，訪問控制問題尤為突出，44%的受訪者表示CI/CDCI/CD對(duì)攻擊面的影響由于CI/CD管道有可能引入漏洞并快速將漏洞部署到生產(chǎn)中，因此236632%的受訪者擔(dān)心內(nèi)部威脅。各地區(qū)的這一比例相當(dāng)一致，從而加劇了降低與內(nèi)部人員（包括業(yè)務(wù)合作伙伴、第三方供應(yīng)商和承包商以及員工）泄密相關(guān)的風(fēng)險(xiǎn)這一普遍鑒于鑒于98%的企業(yè)稱自己在眾多環(huán)境中存儲(chǔ)數(shù)據(jù)，因此內(nèi)部威脅的機(jī)會(huì)事實(shí)上，45%的企業(yè)稱，機(jī)會(huì)增加可能導(dǎo)致了高級(jí)持續(xù)威脅(APT)的最后，29%的受訪者擔(dān)心云中未表明人們更加意識(shí)到資產(chǎn)管理和可視性方面可能存在差距，從而可能云安全事故呈上升趨勢(shì)，其中通常最嚴(yán)重的事故（數(shù)據(jù)泄露）的數(shù)量不斷增加，高云安全事故呈上升趨勢(shì)，其中通常最嚴(yán)重的事故（數(shù)據(jù)泄露）的數(shù)量不斷增加，高另有48%的企業(yè)報(bào)告違規(guī)行為增加，隨后是45%的企業(yè)報(bào)告因配置錯(cuò)誤導(dǎo)致的運(yùn)行安全事故要求企業(yè)不斷調(diào)整和改進(jìn)自身的實(shí)踐，以保持領(lǐng)先安全事故增幅最大的前三位#2違規(guī)行為$$$$$$$$$$#3#3由于錯(cuò)誤配置導(dǎo)致停機(jī)$$$2525 數(shù)據(jù)泄露 重大違規(guī)行為 不安全的API 由于錯(cuò)誤配置導(dǎo)致停機(jī) 高級(jí)持續(xù)性威脅 訪問權(quán)限過于寬松的身份 脆弱或中毒的工作負(fù)載映像 工作負(fù)載之間不受限制的網(wǎng)絡(luò)訪問數(shù)據(jù)泄露數(shù)據(jù)泄露的權(quán)限增加令人感到不安。各企業(yè)都知道身份管理是云環(huán)境的關(guān)鍵，但權(quán)限問題依然存在。從破壞和數(shù)據(jù)泄露到違反合規(guī)性和機(jī)密暴露，所有這些事故的上升事故的上升趨勢(shì)突出表明，必須嚴(yán)格控制訪問權(quán)限并遵守最低特權(quán)原則，才能保護(hù)的日益頻繁表明，安企業(yè)目睹了高級(jí)持續(xù)性威脅(APT)的增加，這些威脅以其復(fù)雜性、隱蔽性和滲透網(wǎng)絡(luò)的能力而聞名，同時(shí)可以長(zhǎng)時(shí)間不被發(fā)現(xiàn)。令人擔(dān)憂的是，盡管企業(yè)報(bào)告稱在檢測(cè)和應(yīng)對(duì)事故方面沒有遇到不尋常的挑戰(zhàn)，但他們?nèi)匀磺鼜挠谶@種高風(fēng)險(xiǎn)的危險(xiǎn)。APT發(fā)生頻率的增加表明整體安全態(tài)勢(shì)存在缺口。鑒于APT經(jīng)常利用零日漏洞或使用社會(huì)工程戰(zhàn)術(shù)來繞過傳統(tǒng)的檢測(cè)機(jī)制，這樣的情景強(qiáng)調(diào)了采取主動(dòng)而非被動(dòng)的安全方法的必要性。這促使人們認(rèn)識(shí)到，需要進(jìn)行持續(xù)監(jiān)控、威脅搜尋并實(shí)施先進(jìn)的安全措施，才能在攻擊發(fā)生之前進(jìn)行預(yù)測(cè)和預(yù)防。如上所述，風(fēng)險(xiǎn)評(píng)估可以從仔細(xì)保護(hù)云中敏感企業(yè)面臨著巨大的數(shù)據(jù)安全挑戰(zhàn)，許多企業(yè)依靠的方法不足在我們調(diào)查的企業(yè)中，有50%會(huì)進(jìn)行人工審核，以識(shí)別云中的敏感數(shù)據(jù)并對(duì)其進(jìn)行分類，這是數(shù)據(jù)安全現(xiàn)狀的一個(gè)令人擔(dān)憂的指標(biāo)。人工審核耗時(shí)、容易出錯(cuò)，而且往往不全面，使企業(yè)容易受到數(shù)據(jù)泄露的保護(hù)云中敏感企業(yè)面臨著巨大的數(shù)據(jù)安全挑戰(zhàn)，許多企業(yè)依靠的方法不足98%的企業(yè)在多個(gè)位置存儲(chǔ)敏感數(shù)據(jù)，包括內(nèi)部服務(wù)器、公有云、帶有本地存儲(chǔ)的50%的企業(yè)依賴手動(dòng)審查282823%22%私有云分散在多個(gè)位置的數(shù)據(jù)難以跟蹤和保護(hù)。安全團(tuán)隊(duì)需要深入了解每個(gè)環(huán)境的控制和配置，并有能力協(xié)調(diào)多個(gè)團(tuán)隊(duì)的安全工作。管理既復(fù)雜又耗時(shí)，我們從數(shù)據(jù)安全的首要挑每3位網(wǎng)絡(luò)安全專業(yè)人員中就有2位(64%)發(fā)現(xiàn)數(shù)據(jù)泄露事2950%48%38%54%50%48%38%54%機(jī)密管理不善寬松的IAM機(jī)密管理不善寬松的IAM實(shí)踐或權(quán)限不夠細(xì)化對(duì)敏感數(shù)據(jù)的監(jiān)控不足復(fù)雜性和分散性有趣的是，過去12個(gè)月，雖然只有38%的企企業(yè)發(fā)現(xiàn)機(jī)密暴露有所上升。更奇怪的是，報(bào)告機(jī)密管理不善的拉丁美洲企業(yè)(47%)比其他地區(qū)都多。與此同時(shí)，26%拉丁美洲企業(yè)的機(jī)密暴露有所下降，這一比例高于其他任何地區(qū)。這就提出了一個(gè)問題：對(duì)問題的認(rèn)識(shí)是否43%的企業(yè)發(fā)現(xiàn)機(jī)密30當(dāng)企業(yè)回憶起第一次向云遷移時(shí)，事后看來，在哪些方面可以采用不同的方法來降低當(dāng)企業(yè)回憶起第一次向云遷移時(shí)，事后看來，在哪些方面可以采用不同的方法來降低通過探索這些見解，我們獲得了集體經(jīng)驗(yàn)—融合了戰(zhàn)略規(guī)劃、安全重點(diǎn)、技術(shù)調(diào)整和市場(chǎng)調(diào)研，每一點(diǎn)都有助于實(shí)現(xiàn)更有效、更安后見之明為改進(jìn)云遷移提供了倉促部署帶來了安全多達(dá)53%的受訪者強(qiáng)調(diào)了投資治理框架來管理云資源的重要性。這也是我們從客戶那里聽到的，有些客戶將自己早期使用云計(jì)算的日子政策和流程，企業(yè)可以確保高效、安全地使用資源。從一開始就建立這樣一個(gè)框架，可以提供一個(gè)結(jié)構(gòu)化的環(huán)境，以適應(yīng)變化并與企業(yè)一倉促部署帶來了安全半數(shù)半數(shù)(50%)的調(diào)查參與者建議將更多時(shí)間花在重構(gòu)應(yīng)用程序上，而不是只做極少改動(dòng)就能遷移應(yīng)用程序。這一戰(zhàn)略涉及重新構(gòu)想應(yīng)用程序的架構(gòu)和開發(fā)方式，充分利用云原生功能和服務(wù)，從而顯著提高可擴(kuò)展性、性能和成本效益。調(diào)查反饋反映了企業(yè)各角色之間的平衡觀點(diǎn)，凸顯了這種觀點(diǎn)在面對(duì)云環(huán)境加強(qiáng)應(yīng)用準(zhǔn)各企業(yè)正在重新思考其戰(zhàn)略，許多企業(yè)強(qiáng)調(diào)需要革，從一開始就3250%50%50%的企業(yè)從一開始50%的受訪者認(rèn)為，云安全與傳統(tǒng)的企業(yè)內(nèi)部安全有著本質(zhì)區(qū)別，因此主張從云遷移過程一開始就優(yōu)先考慮安全性和合規(guī)性。通過將安全和合規(guī)考量納入遷移戰(zhàn)略，企業(yè)可以避免導(dǎo)致漏洞、數(shù)據(jù)泄露和違規(guī)處罰的隱患。信息安全和IT部門強(qiáng)調(diào)了這種方法，突出了他們對(duì)保護(hù)企業(yè)資產(chǎn)的重視。從地區(qū)來看，這對(duì)拉丁50%的企業(yè)從一開始云環(huán)境的復(fù)雜性和分散性給50%以上的受訪者帶來了云環(huán)境的復(fù)雜性和分散性給50%以上的受訪者帶來了挑戰(zhàn)。33安全流程會(huì)引發(fā)延遲、壓力以及DevOps與SecOps之間的沖突，這表明需要采用以人為本的方法來確保應(yīng)用程序開發(fā)安全流程會(huì)引發(fā)延遲、壓力以及DevOps與SecOps之間的沖突，這表明需要采用以人為本的方法來確保應(yīng)用程序開發(fā)全流程導(dǎo)致了項(xiàng)目時(shí)間進(jìn)度的延誤，這至少是探討這個(gè)問題的一這可能是83%的人認(rèn)為安全流程是一個(gè)負(fù)擔(dān)的原因。另有79%的人表示，員工經(jīng)常忽視或繞過安全流程。還有71%的人承認(rèn)3492%的企業(yè)將DevOps和SecOps團(tuán)隊(duì)之間的優(yōu)先級(jí)沖突歸咎于開發(fā)和部署效率對(duì)于在云DevOps團(tuán)隊(duì)中配備了云安全專業(yè)人員的94%的企業(yè)來說，這些數(shù)據(jù)點(diǎn)是如何體現(xiàn)的呢？對(duì)許多人來說，防御戰(zhàn)略就是由安全人員生成無數(shù)工單讓開發(fā)人員解決。往好了說，這是不可持續(xù)的。往差了說，這會(huì)導(dǎo)致錯(cuò)過最后期限、效率低開發(fā)人員在組織結(jié)構(gòu)的推動(dòng)下創(chuàng)建代碼、進(jìn)行創(chuàng)新并交付有收入潛力的功能。換句話說，工單容易累積，造成安全問題積壓。這也是大多數(shù)人錯(cuò)過上市日期的原因受訪者的壓力可想而知，71%的受訪者表示不僅自己壓力大，隊(duì)友的壓力也很大。93%的受訪者認(rèn)為，離職率高是不難86%的受訪者認(rèn)為，安全是阻礙軟的人表示開發(fā)人員需要編寫更安全35DevOps與SecOps之間沖突變化速度快，時(shí)間緊迫對(duì)被黑客攻擊負(fù)責(zé)員工流失率員工流失率在領(lǐng)導(dǎo)層考慮工作場(chǎng)所的士氣問題時(shí)，他們需要意識(shí)到組織結(jié)構(gòu)沖突和程序錯(cuò)位是如何導(dǎo)致士氣低落的，以及士氣低落是如何侵蝕文化上對(duì)生產(chǎn)力的強(qiáng)調(diào)似乎削弱了生產(chǎn)力，因?yàn)樯a(chǎn)力最終既成為沖突的催化劑，也成為沖多達(dá)92%的受訪者都認(rèn)為，DevOps和云SecOps優(yōu)先級(jí)的沖突阻礙了高效的開發(fā)和部生產(chǎn)力既是沖突的根源，也是沖突的36工具問題在很大程度上導(dǎo)致了安全缺陷和漏洞解決的延遲，影響了40%調(diào)查受訪者的開發(fā)進(jìn)程。每工具問題在很大程度上導(dǎo)致了安全缺陷和漏洞解決的延遲，影響了40%調(diào)查受訪者的開發(fā)進(jìn)程。每3位安全從業(yè)人員中就有握威脅載體。近五分之二(38%)的人認(rèn)為在多云環(huán)境中管理安全具有挑戰(zhàn)性。這需要一個(gè)高度詳細(xì)的大局觀戰(zhàn)略，包括對(duì)所有云資產(chǎn)的無死角可視性、跨提供商的一致安全策略執(zhí)行、高級(jí)威脅檢測(cè)和響應(yīng)能各企業(yè)都在尋求高效的安全工具，這些工具具有自動(dòng)化、集中可視性和易于使用的功能，40%的企業(yè)在解決缺陷和漏洞時(shí)因工具不完善在工具方面，在工具方面，2024年受訪者的首要主題是提高效率和效益。各企業(yè)正在認(rèn)識(shí)到精簡(jiǎn)運(yùn)營(yíng)的重要性，這不僅是為了成本管理，也是量造成了盲點(diǎn)，影響了確定風(fēng)險(xiǎn)優(yōu)先級(jí)和預(yù)泛濫的影響，希望減少正在使用的云安全工方面舉步維艱。與去年相比，這一群體大幅增加，這表明離散工具選項(xiàng)的激增使整合目不過，團(tuán)隊(duì)確實(shí)知道自身需要哪些能力。個(gè)解決方案能夠自動(dòng)發(fā)現(xiàn)相互關(guān)聯(lián)的漏洞和配置錯(cuò)誤，并知道哪些攻擊成功的可能性最93%93%的人認(rèn)為，如果有一個(gè)解決方案能夠自動(dòng)發(fā)現(xiàn)相互關(guān)聯(lián)的云安全缺陷，那么他們的企38便于SecOps學(xué)習(xí)和使用便于DevOps學(xué)習(xí)和使用有競(jìng)爭(zhēng)力的價(jià)格和/或成本一流的安全功能支持各種各樣的平臺(tái)和技術(shù)堆棧對(duì)應(yīng)用程序和網(wǎng)絡(luò)性能的潛在影響（如延遲）安全團(tuán)隊(duì)(90%)需要更自動(dòng)化的風(fēng)險(xiǎn)優(yōu)先級(jí)排序，這將有助于減輕上一節(jié)討論的一些安全負(fù)擔(dān)。超過十分之九(92%)的人認(rèn)為，云安全需要更多開箱即用的可視性和風(fēng)險(xiǎn)優(yōu)先級(jí)過濾功能，而且只需最低限度的學(xué)習(xí)。事實(shí)上，在52%的企業(yè)中，易用性是選擇解決方案時(shí)最重雖然他們關(guān)注的重點(diǎn)是威脅，但安全專業(yè)人員受訪者認(rèn)為，自己將受益于跨所有云賬戶和服益于云計(jì)算和應(yīng)用程序安全與傳統(tǒng)網(wǎng)絡(luò)安全的94%的企業(yè)將受益于39人工智能對(duì)應(yīng)用程序生命周在人工智能驅(qū)動(dòng)的世界中，各企業(yè)展示了應(yīng)對(duì)未來的云和應(yīng)人工智能已經(jīng)到來，可以說，各企業(yè)既焦慮又樂觀，并且全力以赴。是的，近五分之二的云安全專業(yè)人士(38%)認(rèn)為人工智能驅(qū)動(dòng)的攻擊是最令人擔(dān)憂的問題。在具人工智能對(duì)應(yīng)用程序生命周在人工智能驅(qū)動(dòng)的世界中，各企業(yè)展示了應(yīng)對(duì)未來的云和應(yīng)超過五分之二的受訪者(43%)預(yù)測(cè)，人工智能驅(qū)動(dòng)的威脅將避開傳統(tǒng)的檢測(cè)技術(shù)，變得更加普遍。他們預(yù)計(jì)最令人擔(dān)憂的趨勢(shì)是什么？47%的人預(yù)計(jì)，由人工智能引發(fā)的供應(yīng)鏈攻擊會(huì)危及軟件組件或云服務(wù)。緊隨其后的是通過個(gè)性化網(wǎng)絡(luò)釣魚、社交工程或深度偽造來欺騙用戶(45%)，以及操縱輸出或利用人工智能系統(tǒng)的漏洞40生成的代碼相關(guān)的安全風(fēng)險(xiǎn)納入了視線。盡管如此，100%的受訪者都在接納人工智能輔助應(yīng)用程序開發(fā)—這在PaloAltoNetworks的《云原生安全現(xiàn)狀報(bào)告》歷史上尚屬首次。人工智能不僅已經(jīng)到來，各企業(yè)目前正處于人工智能發(fā)展的不同階段。相當(dāng)一部分受訪者(50%)廣泛使用人工智能來生成和優(yōu)化代碼。這方面的地區(qū)性先驅(qū)包括新加坡(60%)、印度(58%)和略高于半數(shù)的企業(yè)采用了較為保守的方100%100%PaloAltoNetworks的90%90%的企業(yè)表示開發(fā)人員需要編47%的企業(yè)已經(jīng)將與人工智能生成的代碼相關(guān)的安全風(fēng)險(xiǎn)納入了各企業(yè)認(rèn)識(shí)到，人工智能是創(chuàng)新的推動(dòng)力，也是潛在的無論如何，企業(yè)都不能掉以輕心。當(dāng)被問及2024年的重中之重時(shí)，100%的企業(yè)都致力于了解其人工智能部署的整個(gè)流程?？梢曅陨婕傲税舾袛?shù)據(jù)和推斷情境的數(shù)據(jù)集。幾乎每個(gè)企業(yè)(99%)都會(huì)制定相關(guān)政策，確保對(duì)人工智能模型和服務(wù)的訪問權(quán)限是在“需要知道”的基礎(chǔ)上授予的。另有98%的企業(yè)計(jì)劃建立一個(gè)清單來盤點(diǎn)人工智能模型及其部署的在開發(fā)過程中擁抱人工智能，同時(shí)高度關(guān)注人工智能帶來的威脅，表明了一種知情的觀點(diǎn)。各企業(yè)認(rèn)識(shí)到，人工智能既是創(chuàng)新的推動(dòng)力，也是潛在的攻擊載體，因此似乎敏銳地意識(shí)到，必須在追求人工智能效益與采取嚴(yán)格的安全措施防范人工智能帶來的威脅之100%的企業(yè)將優(yōu)先考慮了解其整個(gè)AI部署42 2024年的云原生安全需要采取2024年的云原生安全需要采取全面、多面的方法，從戰(zhàn)略上關(guān)注長(zhǎng)期存在的挑戰(zhàn)和新出現(xiàn)的風(fēng)險(xiǎn)。PaloAltoNetworks的研究人員建議優(yōu)先考慮五個(gè)考慮使用集中式安全管理平臺(tái)，這種平臺(tái)將在您的云計(jì)算成熟之旅中跟隨您，為您的應(yīng)用程序和數(shù)據(jù)提供端到端的保護(hù)。隨著企業(yè)擴(kuò)展其云并使其架構(gòu)使用多樣化，一種全面的、與架構(gòu)無關(guān)的云安全方法對(duì)于實(shí)現(xiàn)最佳可視性、控制和為滿足新的云安全要求做好準(zhǔn)備的一種戰(zhàn)略方法是，首先選擇一家能夠擴(kuò)展到未來用例的平臺(tái)供應(yīng)商，其中包括應(yīng)用程序和運(yùn)營(yíng)安全。這樣，您的安全團(tuán)隊(duì)就能快速響應(yīng)新要求，降低培訓(xùn)成本，43確保為開發(fā)人員制定政策并提供安全的開發(fā)環(huán)境，這樣安全團(tuán)隊(duì)才不至于2人工智能在應(yīng)用程序開發(fā)中發(fā)揮著巨大且快速成長(zhǎng)的作用—包括GenAI加速代碼開發(fā)、用作訓(xùn)練數(shù)據(jù)的企業(yè)數(shù)據(jù)以及利用新訓(xùn)練的人工智能模型這些趨勢(shì)加劇了云安全的挑戰(zhàn)。由于人工智能生成的代碼可能會(huì)導(dǎo)致錯(cuò)誤配置、漏洞和缺陷更快地?cái)U(kuò)散，因此保護(hù)您的軟件供應(yīng)鏈，使您的開發(fā)人員能夠在其應(yīng)用程序投入生產(chǎn)之前提高代碼的安全等級(jí)。自動(dòng)發(fā)現(xiàn)敏感數(shù)據(jù)，確為利用這些模型而編寫的應(yīng)用程序也需要得到保護(hù)。確保為開發(fā)人員（包括人工智能開發(fā)人員）制定政策并提供安全的開發(fā)環(huán)境，這樣安全團(tuán)隊(duì)才不至于苦4433實(shí)施數(shù)據(jù)安全戰(zhàn)略，確定如何保護(hù)敏感數(shù)據(jù)，無論這些數(shù)據(jù)存儲(chǔ)在哪里。戰(zhàn)略應(yīng)包括加密數(shù)據(jù)、控制數(shù)據(jù)訪問和監(jiān)控?cái)?shù)據(jù)可疑活動(dòng)的措施。應(yīng)通過技術(shù)控制投資自動(dòng)化數(shù)據(jù)發(fā)現(xiàn)和分類解決方案。具有數(shù)據(jù)檢測(cè)和響應(yīng)(DDR)功能的數(shù)據(jù)描大量數(shù)據(jù)，包括以文本文檔和圖像等非結(jié)構(gòu)化格式存儲(chǔ)的數(shù)據(jù)。選擇包含大量全球最佳實(shí)踐和開箱即用的合規(guī)性報(bào)告的云安全工具。這將使您的安全團(tuán)隊(duì)做好準(zhǔn)備，應(yīng)對(duì)創(chuàng)新企業(yè)迅速提出的新定期審查和更新數(shù)據(jù)安全措施，確保這些措施能有效地應(yīng)對(duì)不斷變化的威脅環(huán)境，并對(duì)員工進(jìn)行數(shù)據(jù)安全最佳實(shí)踐培訓(xùn)。員工需要了解數(shù)據(jù)泄露的風(fēng)險(xiǎn)以及如何保護(hù)敏感數(shù)據(jù)。安全團(tuán)隊(duì)?wèi)?yīng)提供有關(guān)數(shù)據(jù)安全最佳實(shí)踐的培訓(xùn)，并定期提員工需要了解數(shù)據(jù)泄露員工需要了解數(shù)據(jù)泄露的風(fēng)險(xiǎn)以及如何保護(hù)敏安全團(tuán)隊(duì)?wèi)?yīng)提供有關(guān)數(shù)據(jù)安全最佳實(shí)踐的培訓(xùn)，并定期提醒員工注4544評(píng)估您的DevOps成熟度和工作流程。無論將代碼推向生產(chǎn)的頻率是每天、每周還是每月，都