1、 2023 云安全联盟大中华区版权所有.1 2023 云安全联盟大中华区版权所有.6序序言言洞察 2022-云上数据安全与重要事项(Understanding Cloud Data Security andPriorities in 2022)调查报告由 CSA 工作组专家编写,CSA 大中华区秘书处组织翻译并审校。报告的主要内容是关于云上数据安全和重要事项的洞察和建议。它包括了对云安全现状的分析、云安全风险的评估、云安全最佳实践的介绍以及未来云安全发展趋势的预测。通过报告,组织可以了解到如何加强自身能力、控制第三方访问权限、管理暗数据、定期进行漏洞扫描和安全评估、加强员工安全意识培训以及选择
2、可信赖的云服务提供商等方面来保护其云上敏感数据。这些建议和最佳实践将帮助组织更好地应对当前和未来的云安全挑战,确保其数据在云上得到充分的保护。CSA 于 2022 年 7 月通过线上开展这项调查,收到了 1633 份回复,分别来自于不同规模、不同地点组织内的信息技术和安全专业人员。CSA 的研究分析师对这份报告进行了数据分析和说明,阐述了 4 个重要发现,重要发现 1:各组织正在努力保护和跟踪云中的敏感数据;重要发现 2:第三方和供应商对敏感数据的访问权限相似;重要发现 3:暗数据问题源于人员配置问题和部门间的冲突;重要发现 4:大多数安全专业人士认为,他们的企业明年将会遭遇数据泄露。此调查报
3、告总结详尽,数据分析维度值得大家参考。李雨航 Yale LiCSA 大中华区主席兼研究院院长 2023 云安全联盟大中华区版权所有.7目目录录致致谢谢.4序序言言.6调调查查的的创创建建和和方方法法.8研究目标.8重重要要发发现现.9重要发现1:.9重要发现2:.10重要发现3:.11重要发现4:.11概概述述.12敏敏感感数数据据.16暗暗数数据据.18数数据据泄泄露露.21监监管管合合规规.22人人口口统统计计.23 2023 云安全联盟大中华区版权所有.8调调查查的的创创建建和和方方法法云安全联盟(CSA)是一个以广泛推广在云计算和IT技术领域保障网络安全最佳实践为使命的非营利性组织。C
4、SA还向行业中利益相关者们针对各类其他计算形式的安全问题提供教育。CSA会员是由行业从业者、企业和各专业团体所组成的多领域联盟。CSA的主要目标之一是开展评估信息安全趋势的调查,这些调查提供了有关组织当前在信息安全和技术方面的成熟度、意见、兴趣和意图等信息。BigID委托CSA进行了一项调查和报告,以便更好地了解业界对云数据安全的认知、态度和意见。BigID资助该项目并联合CSA研究分析师共同制定了调查问卷。CSA于2022年7月通过线上开展这项调查,收到了1633份回复,分别来自于不同规模、不同地点组织内的信息技术和安全专业人员。CSA的研究分析师对这份报告进行了数据分析和说明。研研究究目目
5、标标本研究目标是理解以下内容:实现云数据安全的方法云数据安全的优先事项敏感数据和暗数据的当前状态对数据泄露的担忧法律合规的困难 2023 云安全联盟大中华区版权所有.9重重要要发发现现重要发现1:各各组组织织正正在在努努力力保保护护和和跟跟踪踪云云上上的的敏敏感感数数据据总体而言,组织对其在云上保护数据的能力缺乏信心,报告显示,39%的组织有较高的信心。超过一半的组织(57%)表示其信心处于中等至较低水平。当讨论敏感数据时,明显更加缺乏信心。40%的组织表示,他们在云上的敏感数据只有50%或更少具有足够的安全性。只有4%的组织表示,他们在云端的所有数据具有足够的安全保障。这一发现表明,组织通常
6、对自己保护数据的能力有一定的信心,但在涉及敏感数据时却举步维艰。组组织织在在云云上上保保护护数数据据能能力力的的信信心心度度在在您您看看来来,您您的的组组织织中中有有多多少少敏敏感感数数据据是是在在云云上上得得到到了了充充分分保保护护的的?除了努力保护敏感数据,组织还在努力跟踪云上的数据。超过四分之一的组织没有跟踪受监管的数据,近三分之一的组织没有跟踪机密数据或内部数据,45%的组织没有跟踪未分类数据。这表明,组织目前对数据进行分类的方法不足以满足他们的需求。对于SaaS平台,76%的组织将跟踪数据的困难级别评为中级到高级。只有7%的组织表示跟踪数据根本不是问题。当考虑到组织在SaaS平台中拥
7、有的敏感数据量时,数据跟踪的难度尤其令人担忧。这些数据跟踪方面的难题可能与缺乏使用数据分类和发现机制有关,只有9%的组织使用这些功能。以上功能缺乏可能与缺乏能力(52%)和缺乏跨平台支持(41%)有关,这些都是需要选择第三方云数据安全供应商的原因。无论如何,使用数据分类和发现机制将使组织 2023 云安全联盟大中华区版权所有.10能够更好地跟踪其数据。SaaS 平平台台中中跟跟踪踪数数据据的的难难度度构构成成级级别别云云上上被被跟跟踪踪的的数数据据重要发现2:第第三三方方和和供供应应商商对对敏敏感感数数据据的的访访问问权权限限与与员员工工权权限限相相似似。组织似乎向员工、承包商、合作伙伴和供应
8、商提供了几乎相同级别的敏感数据访问权限。这一发现表明,第三方和供应商可能对组织的敏感数据有过多的访问权限,尤其是考虑到最近热门的供应链攻击。在CSA最近的一份关于云和网络攻击的调查报告中发现,第三方、承包商和合作伙伴是攻击中最常见的目标群体(58%)。此外,根据科罗拉多州立大学的一项研究,2/3的违规行为是由供应商和第三方漏洞造成的。考虑到这些影响的严重性,组织需要了解谁有权访问其敏感数据,并锁定访问权限,特别是第三方的访问权限。数据,并锁定访问权限,特别是第三方的访问权限。2023 云安全联盟大中华区版权所有.11重重要要发发现现3:暗暗数数据据问问题题源源于于人人员员配配置置问问题题和和部
9、部门门间间的的冲冲突突超过一半的组织(79%)对其组织中的暗数据扩散有中度到高度的担忧,但不确定如何解决这一问题。组织获取暗数据的三大障碍与人员配置有关:技能和知识的不足(50%)、缺乏跨部门合作(47%)和人力资源不足(44%)。组织需要致力于培训员工,并优先考虑能够弥补人员缺口的技术。此外,组织需定义一种统一的方法来处理暗数据,以避免孤立部门的优先事项相互竞争。建立单一的数据源(例如数据清单)可以为不同的部门提供他们所需的基础知识,以便他们更紧密地工作重重要要发发现现4:大大多多数数安安全全专专业业人人士士认认为为,他他们们的的企企业业明明年年将将会会遭遭遇遇数数据据泄泄露露。62%的组织
10、称他们在未来一年某种程度上极有可能遭遇云数据泄露。鉴于在过去的12个月里有大量的组织遭遇过云数据泄露事件,人们对未来12个月发生的未遂泄露有更大的担忧是有道理的。对于过去12个月没有遭遇过入侵的组织,22%的受访者表示,未来12个月发生入侵的可能性非常小。经历过数据泄露的组织认为,数据泄露的可能性更大,只有8%发生过泄密的组织受访者表示未来12个月内发生数据泄露的可能性很小。组织的一个关键步骤是锁定第三方对敏感数据的访问。组织还需要继续为其复杂的云环境(例如多云和混合云)确定跨平台支持的优先顺序,以确保所有环境的安全性。2023 云安全联盟大中华区版权所有.12概概述述用用于于数数据据存存储储
11、的的IaaS和和PaaS平平台台数数量量绝大多数(86%)的组织利用多个云平台存储数据。大多数组织使用2个(35%)或3个(37%)IaaS或PaaS云平台来存储数据。只有12%的组织使用了1个云平台。数数据据保保护护策策略略组织在其数据保护策略中通常使用4到5个不同的组件。一些最常见的组件包括数据备份和恢复(33%)、审计和评估数据保护过程(32%)、遵守标准和监管合规(31%)以及建立策略和流程(31%)。一些不太常用的组件包括分类告警(18%)、零信任(19%)和数据主权(19%)。看起来尽管是在朝着零信任的方向发展,但许多组织的数据保护尚未完全整合。2023 云安全联盟大中华区版权所有
12、.13云云数数据据安安全全使使用用的的服服务务类类型型组织主要依靠云服务提供商的功能,无论是原生功能(57%)还是附加功能(58%)。只有四分之一的组织使用了第三方服务。选选择择第第三三方方云云数数据据安安全全供供应应商商的的驱驱动动力力对于使用第三方服务实现云数据安全的组织来说,他们选择供应商时考虑的前三个因素是功能和特性(52%)、成本(41%)和跨平台支持(41%)。这表明,选择第三方服务的组织正在寻找更具成本效益或电信运营商不能够提供的附加功能。此外,多云和混合云环境的应用使组织关注于跨平台支持。数数据据安安全全优优先先事事项项组组织织使使 2023 云安全联盟大中华区版权所有.14应
13、应用用的的数数据据安安全全功功能能组织使用的最常见的数据安全功能是持续监测/学习(48%)、云工作负载安全(42%)、云数据安全(42%)以及数据检查和检测(41%)。有趣的是,最少利用到的数据安全功能是数据发现和数据分类。数据发现及数据分类使用率低的原因可能是因为组织认为数据发现和数据分类是数据安全生命周期的一部分。然而,使用率如此之低,这可能是导致暗数据问题的一个因素。组织需要利用数据发现和数据分类工具来正确理解他们拥有的数据以及如何保护这些数据,否则数据将继续成为暗数据。高高优优先先级级数数据据安安全全产产品品功功能能在组织使用的数据安全功能中,最优先的功能是云数据安全(26%)、持续监
14、控/学习(18%)、数据检查和检测(16%)以及云工作负载安全(16%)。这些结果遵循与组织通常使用的数据安全特性类似的模式。2023 云安全联盟大中华区版权所有.15当当前前的的数数据据互互操操作作性性方方法法总体而言,组织倾向于采用特定API的方法(59%)来实现数据互操作性,而不是平台无关(41%)。组织似乎对他们的方法感到满意。当被问及数据互操作性的理想方法时,回答基本相同,组织大都倾向于API特定的方法(59%),而不是平台无关的方法(41%)。组织需要能够轻松集成其当前解决方案并利用开放API的工具。数数据据互互操操作作性性的的当当前前方方法法组组织织数数据据互互操操作作性性的的理
15、理想想方方法法 2023 云安全联盟大中华区版权所有.16敏敏感感数数据据对对保保护护云云上上数数据据能能力力的的信信心心组织对他们保护云上数据的能力充满信心,39%组织高度自信,47%组织中度自信。虽然这些结果看起来令人鼓舞,理想情况下,大多数组织应该对其自身的能力感到高度自信。目前大多组织仅为中度自信的事实表明,组织的云上数据安全策略还有很大的改进空间。值得注意的是,组织的信心也受近期发生的数据泄露事件和受访者在组织的地位的影响。对于在过去一年中发生过数据泄露的组织,他们的信心会下降。在那些对自己保护云上数据的能力有高度信心的受访者中,36%在过去一年中发生过数据泄漏事件,40%没有发生数
16、据泄漏事件。最近没有发生过数据泄露的组织,可能对自己保护云上数据的能力过于自信,直到自己亲身经历了数据泄露。此外,经理(40%)选择高度自信的比例高于高管(35%)和员工(34%)。2023 云安全联盟大中华区版权所有.17云云上上敏敏感感数数据据具具有有足足够够安安全全性性的的比比例例分分布布40%的组织表示,他们在云上的敏感数据有足够安全性的不超过50%。只有4%表示,他们云上数据100%有足够的安全性。这也意味着96%的组织至少在敏感数据上没有足够安全性保障。这些数字相当震惊。这可能导致组织对自己保护云上数据的能力缺乏信心,或者意味着组织对其保护数据的能力过度自信。可可访访问问敏敏感感数
17、数据据的的员员工工比比例例分分布布组织给予员工和供应商对敏感数据几乎相同级别的访问权限。特别结合最近热门的供应链攻击事件,表明第三方合作伙伴和供应商对组织敏感数据有过高的访问权限。组织应该敏锐地掌握谁可以访问以及他们可以访问什么,以防止无意识的信息泄漏。2023 云安全联盟大中华区版权所有.18暗暗数数据据追追踪踪云云上上数数据据组织正在努力追踪云上数据。超过四分之一的组织没有对受监管的数据进行追踪,近三分之一的组织没有对机密的或内部数据进行追踪,45%的组织没有对未分类数据进行追踪。这表明,组织目前的数据分类方法不能满足他们的需求。暗暗数数据据百百分分比比诚然,如果没有合适的工具,很难评估组
18、织所拥有的暗数据数量。然而,当需要进行评估时,超过四分之一(27%)的安全和技术专业人士认为,他们组织的数据中有51%或更多是暗数据。虽然这个比例高的惊人,但实际数量可能更高。这也表明安全专业人员意识到存在问题,但难以理解问题的严重程度。这是一个严峻的问题,如果组织对数据以及其存放位置不具有适当的可见性,就无法保护数据。如果不解决暗数据的问题,组织就无法正确了解数据风险状况或者评估存在的攻击面,这会导致漏洞和安全问题。2023 云安全联盟大中华区版权所有.19SaaS平平台台追追踪踪数数据据的的难难度度等等级级组织努力在SaaS平台中进行数据追踪。76%的组织认为这对他们的组织来说是比较甚至极
19、其困难的。只有7%的组织表示这点对他们来说完全没有困难。这些困难可能是由于缺乏可见性、输入的数据量大,甚至缺乏合适的工具。许多组织(91%)表示没有使用数据分类或发现工具,这可能是造成此问题的原因之一。有可能是由于当前工具中缺乏相关功能(例如,它们无法为组织提供对SaaS应用程序中的敏感数据的可视化)。组织需要持续强调他们对第三方数据安全供应商的跨平台支持,以确保覆盖范围扩展到到他们整个数据生态系统,特别是SaaS平台。对对暗暗数数据据扩扩散散的的担担忧忧程程度度近一半(48%)的组织高度关注其组织中暗数据的激增。鉴于目前缺乏对其追踪以及在SaaS平台中追踪数据的难度,组织尚不清楚如何解决这个
20、问题。很明显,组织在数据资产管理方面举步维艰,并且缺乏完整的数据可见性和控制手段。2023 云安全联盟大中华区版权所有.20捕捕获获暗暗数数据据的的优优先先级级尽管存在困难,但组织对暗数据的担忧促使他们优先捕获暗数据。82%的组织表示这是中到高优先级的工作。组织似乎了解暗数据给其组织带来的安全、隐私和合规风险、成本和竞争劣势,更多的组织需要考虑使用数据发现工具来遏制暗数据问题。捕捕获获暗暗数数据据的的首首要要障障碍碍组织捕获暗数据的三大障碍与人员配备直接相关:缺乏技能/知识(50%)、缺乏部门间合作(47%)和缺乏人手(44%)。组织需要致力于培训他们员工,优先考虑可以弥补人员缺口的技术。还需
21、要利用自动化、机器学习或人工智能工具,帮助增加团队的知识/技能,并补充现有人员缺口。组织还应该建立统一的平台,以供各部门合作,提供团队协同工作所需要的统一基础知识。2023 云安全联盟大中华区版权所有.21数数据据泄泄露露过过去去12个个月月的的云云上上数数据据泄泄露露近一半(49%)的组织表示过去12个月发生过云上数据泄露事件。考虑到他们对保护云上数据能力的高度自信,现实情况似乎更加严峻。这可能是由于组织使用云环境越来越复杂,使得制定通用数据安全战略更加困难。在在未未来来12个个月月,发发生生云云上上数数据据泄泄露露的的可可能能性性62%的组织认为云数据泄露的可能性较高。鉴于在过去12个月经
22、历过云上数据泄露的组织数量众多,预计未来12个月会有更多人对企图泄露数据的行为感到担忧。对在过去12个月发生过数据泄漏的组织来说,他们普遍认为“有可能”对没有发生过数据泄漏的组织,他们的反应介于“非常不可能”和“有可能”之间数数据据泄泄露露的的影影响响数据泄露对组织最大的影响是财务方面。这很可能是因为所有潜在的影响如法律、声誉和运营停滞,最终都会归结为罚款、服务成本或工作损失给组织带来的成本。运营停滞带来影响的平均排名明显更低。这可能是因为冗余技术使用,可减少或消除此问题。2023 云安全联盟大中华区版权所有.22监监管管合合规规监监管管合合规规的的难难度度无论环境如何,合规性都会给组织带来一
23、定程度的挑战。本地部署的合规挑战仅仅略低于云服务或内部自研的应用程序。第第三三方方供供应应商商进进行行安安全全合合规规认认证证的的重重要要性性关于第三方供应商的安全合规认证,无论何种类型的认证,大多数认证对于组织重要性都处于中等重要水平。根据行业和组织使用的数据类型不同,重要性也会有不同。2023 云安全联盟大中华区版权所有.23填填定定问问卷卷的的人人员员信信息息统统计计这份调查在2022年7月进行,收集了1663份来自不同规模、行业、地区和角色的组织中IT和安全人员的调查问卷。你你的的工工作作角角色色是是什什么么?你你所所在在的的组组织织规规模模有有多多大大?2023 云安全联盟大中华区版权所有.24以以下下哪哪一一项项最最准准确确的的描描述述了了贵贵组组织织所所在在的的主主要要行行业业?您您所所在在地地区区?25
浙ICP备2021020529号-1 | 浙B2-20240490 
