洞察2022云上数据安全与重要事项

©2023云安全联盟大中华区版权所有.1 ©2023云安全联盟大中华区版权所有.2@2023云安全联盟大中华区-保留所有权利。本文档发布在云安全联盟大中华区官网(http://www.c-csa.cn)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明；（e）引用本报告内容时，请注明来源于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有.3 ©2023云安全联盟大中华区版权所有.4致谢《洞察2022-云上数据安全与重要事项（UnderstandingCloudDataSecurityandPrioritiesin2022）》由CSA工作组专家编写，CSA大中华区秘书处组织翻译并审校。中文版翻译专家组（排名不分先后）：组长：郭鹏程翻译组：黄鹏华鹿淑煜陶瑞岩王彪薛琨余晓光审校组：郭鹏程王阳王亮顾伟感谢以下单位的支持与贡献：安易科技（北京）有限公司北京天融信网络安全技术有限公司北森云计算有限公司华为技术有限公司三未信安科技股份有限公司上海安几科技有限公司 ©2023云安全联盟大中华区版权所有.5英文版本编写专家主要作者：HillaryBaron贡献者：JoshBukerSeanHeideAlexKaluzaJohnYeoh设计师：ClaireLehnert特别鸣谢：NeilPatel在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。 ©2023云安全联盟大中华区版权所有.6序言《洞察2022-云上数据安全与重要事项》（UnderstandingCloudDataSecurityandPrioritiesin2022）调查报告由CSA工作组专家编写，CSA大中华区秘书处组织翻译并审校。报告的主要内容是关于云上数据安全和重要事项的洞察和建议。它包括了对云安全现状的分析、云安全风险的评估、云安全最佳实践的介绍以及未来云安全发展趋势的预测。通过报告，组织可以了解到如何加强自身能力、控制第三方访问权限、管理暗数据、定期进行漏洞扫描和安全评估、加强员工安全意识培训以及选择可信赖的云服务提供商等方面来保护其云上敏感数据。这些建议和最佳实践将帮助组织更好地应对当前和未来的云安全挑战，确保其数据在云上得到充分的保护。CSA于2022年7月通过线上开展这项调查，收到了1633份回复，分别来自于不同规模、不同地点组织内的信息技术和安全专业人员。CSA的研究分析师对这份报告进行了数据分析和说明，阐述了4个重要发现，重要发现1：各组织正在努力保护和跟踪云中的敏感数据；重要发现2：第三方和供应商对敏感数据的访问权限相似；重要发现3：暗数据问题源于人员配置问题和部门间的冲突；重要发现4：大多数安全专业人士认为，他们的企业明年将会遭遇数据泄露。此调查报告总结详尽，数据分析维度值得大家参考。李雨航YaleLiCSA大中华区主席兼研究院院长 ©2023云安全联盟大中华区版权所有.7目录致谢..................................................................................................................................................4序言..................................................................................................................................................6调查的创建和方法..........................................................................................................................8研究目标..................................................................................................................................8重要发现..........................................................................................................................................9重要发现1：............................................................................................................................9重要发现2：..........................................................................................................................10重要发现3：..........................................................................................................................11重要发现4：..........................................................................................................................11概述................................................................................................................................................12敏感数据........................................................................................................................................16暗数据............................................................................................................................................18数据泄露........................................................................................................................................21监管合规........................................................................................................................................22人口统计........................................................................................................................................23 ©2023云安全联盟大中华区版权所有.8调查的创建和方法云安全联盟(CSA)是一个以广泛推广在云计算和IT技术领域保障网络安全最佳实践为使命的非营利性组织。CSA还向行业中利益相关者们针对各类其他计算形式的安全问题提供教育。CSA会员是由行业从业者、企业和各专业团体所组成的多领域联盟。CSA的主要目标之一是开展评估信息安全趋势的调查，这些调查提供了有关组织当前在信息安全和技术方面的成熟度、意见、兴趣和意图等信息。BigID委托CSA进行了一项调查和报告，以便更好地了解业界对云数据安全的认知、态度和意见。BigID资助该项目并联合CSA研究分析师共同制定了调查问卷。CSA于2022年7月通过线上开展这项调查，收到了1633份回复，分别来自于不同规模、不同地点组织内的信息技术和安全专业人员。CSA的研究分析师对这份报告进行了数据分析和说明。研究目标本研究目标是理解以下内容：实现云数据安全的方法云数据安全的优先事项敏感数据和暗数据的当前状态对数据泄露的担忧法律合规的困难 ©2023云安全联盟大中华区版权所有.9重要发现重要发现1：各组织正在努力保护和跟踪云上的敏感数据总体而言，组织对其在云上保护数据的能力缺乏信心，报告显示，39%的组织有较高的信心。超过一半的组织(57%)表示其信心处于中等至较低水平。当讨论敏感数据时，明显更加缺乏信心。40%的组织表示，他们在云上的敏感数据只有50%或更少具有足够的安全性。只有4%的组织表示，他们在云端的所有数据具有足够的安全保障。这一发现表明，组织通常对自己保护数据的能力有一定的信心，但在涉及敏感数据时却举步维艰。组织在云上保护数据能力的信心度在您看来，您的组织中有多少敏感数据是在云上得到了充分保护的？除了努力保护敏感数据，组织还在努力跟踪云上的数据。超过四分之一的组织没有跟踪受监管的数据，近三分之一的组织没有跟踪机密数据或内部数据，45%的组织没有跟踪未分类数据。这表明，组织目前对数据进行分类的方法不足以满足他们的需求。对于SaaS平台，76%的组织将跟踪数据的困难级别评为中级到高级。只有7%的组织表示跟踪数据根本不是问题。当考虑到组织在SaaS平台中拥有的敏感数据量时，数据跟踪的难度尤其令人担忧。这些数据跟踪方面的难题可能与缺乏使用数据分类和发现机制有关，只有9%的组织使用这些功能。以上功能缺乏可能与缺乏能力（52%）和缺乏跨平台支持（41%）有关，这些都是需要选择第三方云数据安全供应商的原因。无论如何，使用数据分类和发现机制将使组织 ©2023云安全联盟大中华区版权所有.10能够更好地跟踪其数据。SaaS平台中跟踪数据的难度构成级别云上被跟踪的数据重要发现2：第三方和供应商对敏感数据的访问权限与员工权限相似。组织似乎向员工、承包商、合作伙伴和供应商提供了几乎相同级别的敏感数据访问权限。这一发现表明，第三方和供应商可能对组织的敏感数据有过多的访问权限，尤其是考虑到最近热门的供应链攻击。在CSA最近的一份关于云和网络攻击的调查报告中发现，第三方、承包商和合作伙伴是攻击中最常见的目标群体（58%）。此外，根据科罗拉多州立大学的一项研究，2/3的违规行为是由供应商和第三方漏洞造成的。考虑到这些影响的严重性，组织需要了解谁有权访问其敏感数据，并锁定访问权限，特别是第三方的访问权限。数据，并锁定访问权限，特别是第三方的访问权限。 ©2023云安全联盟大中华区版权所有.11重要发现3：暗数据问题源于人员配置问题和部门间的冲突超过一半的组织(79%)对其组织中的暗数据扩散有中度到高度的担忧，但不确定如何解决这一问题。组织获取暗数据的三大障碍与人员配置有关：技能和知识的不足(50%)、缺乏跨部门合作(47%)和人力资源不足(44%)。组织需要致力于培训员工，并优