2023年云安全报告

Introduction 《2023年云安全报告》强调了随着组织越来越多地采用多云环境，关键的网络安全问题、事件和趋势。尽管云计算成熟度不断提高，但仍有95％的安全专业人员对公共云安全感到担忧，强调迫切需要教育，培训和解决方案，以应对复杂的多云环境和不断变化的威胁。 网络安全专业人员面临的持续挑战是缺乏合格的安全人员（43％）。由于72％的受访者使用两个或多个云提供商，因此最重要的安全优先事项是防止错误配置，保护云应用程序，并实现法规遵从性由于复杂性和攻击面的增加-乘以网络安全人才缺口，变得越来越具有挑战性。通过网络安全解决人才短缺问题培训和认证成为组织的重要解决方案。 基于云的安全的障碍主要是与人员和流程相关，而不是以技术为中心。缺乏网络安全人员专业知识和培训(53%)仍然是最大的障碍，其次是预算挑战(44%)和数据隐私问题(38%)。合格的网络安全人才持续短缺也是实现更快的最大障碍云采用率（37%），其次是法律和监管合规问题（30%）以及数据安全和泄漏风险（29%）。 鉴于这些挑战，大多数组织(83%)承认他们的团队需要额外的云安全培训和认证，以更好地在云中运行环境。该报告强调了解决安全问题和投资于网络安全培训和认证，以解决人才短缺问题，并确保安全和强大的云生态系统。 我们要感谢（ISC）2支持这项独特的研究。我们希望您喜欢这份报告。 谢谢, HolgerSchulze HolgerSchulze首席执行官和创始人网络安全内部人士 云安全问题 尽管云技术日益成熟，但95%的安全专业人员仍然对公共云安全表现出中等至极端的担忧。这种持续的趋势凸显了对持续的云安全教育和开发能够适应不断变化的多云环境和威胁环境的解决方案的关键需求。因此，组织应该高度重视云安全，投资于全面的保护策略，并为团队提供持续的培训，以维护安全的云环境。 您对公共云的安全性有多关注？ 您如何描述您组织的云成熟度级别？ 云安全事件 安全事件经常发生：24%的组织在过去的12个月中经历了与公共云相关的安全事件。错误配置是主要原因，其次是帐户泄露和漏洞利用。 Thisfi nding suggests that organizations should prioritize enhancing their cloud security measures andimprovingincident detection and reporting.Continuous monitoring and regular security audits can helporganizations better understand reduce the risk of cl 您的组织在过去12个月中是否经历过与公共云相关的安全事件？ 随着多云复杂性的上升，67%的网络安全专业人员充其量只是对其组织的云安全状况有适度的看法也就不足为奇了。调查结果强调了持续改进云安全策略、持续培训和实施最佳实践的重要性，以提高可信度，并确保在不断变化的威胁面前保持稳健的安全态势。 您对组织的云安全状况有多自信？ 云安全风险 云安全专业人员如何看待云与本地环境的风险级别？三分之一的受访者(30%)认为风险级别大致相等，43%的受访者认为云中的风险程度更高。四分之一的受访者(27%)认为公共云泄露的风险较低。 这些发现展示了网络安全专业人员对公共云环境中安全漏洞风险的一系列意见。它强调了理解组织的特定安全要求并实施适当措施以减轻潜在风险的重要性，无论选择的环境如何。 与传统的本地IT环境相比，您会说公共云环境中安全漏洞的风险更高还是更低？ 显著降低显著升高 公共云应用/SaaS（如Salesforce和Office365）是否更多或不如本地应用程序安全？ 云工作负载 组织正在迅速将工作负载转移到云中，39%的组织已经将一半以上的工作负载放在云中。此外，58%的受访者计划在未来12-18个月内做出这一转变。值得注意的是，在云中拥有超过50%工作负载的组织将经历重大变化。在未来12-18个月内，云工作负载占51%至75%的组织将从20%增加到27%，云工作负载占75%以上的组织预计将从19%增加到31%。 这些发现表明人们越来越认识到云计算的好处，导致组织计划进一步将工作负载迁移到云。随着云采用的不断扩大，企业不断增强其云安全措施和策略至关重要。这确保了对工作负载的保护并建立了强大的安全态势。 在未来12-18个月内，您的工作负载将在云中的百分比是多少？ 多个云 结果反映了多云战略的趋势，这些战略提供了更高的灵活性、冗余和利用不同提供商优势的能力。然而，这种多云方法也带来了与多个云提供商一起管理和保护复杂环境的挑战。 72%的受访者使用两个或两个以上的云提供商，最重要的安全优先事项（例如防止错误配置、保护云应用程序和达到法规遵从性）随着复杂性和攻击面的增加而成倍增加。 云使用72%在两个或多个云提供商 云采用的障碍 是什么阻碍了组织增加对云的投资？持续缺乏具备有效实施和管理云解决方案所需知识和经验的合格网络安全人才仍然是加快云采用速度的最关键障碍（37%）。其次是法律和监管合规问题（30％）以及数据安全和泄漏风险（29％）。 为了克服这些障碍，组织应该投资于员工培训和认证，制定强大的安全和合规策略，并与云服务提供商密切合作，以确保无缝集成并解决安全问题。 阻碍企业采用云的最大障碍是什么? 保护多云的挑战 多云增加了复杂性并带来了新的安全挑战。多云环境所需要的技能和专业知识在以下事实中得到了明确的强调：四个顶级挑战中有三个与拥有合适的人才以及对每个云平台的深入理解有关。 持续的技能差距显然是最重要的挑战，强调拥有一支能够有效管理和部署跨多个云平台的安全解决方案的熟练劳动力的重要性。 保护多云环境的最大挑战是什么？ 首选云提供商 组织优先考虑哪些提供商的云使用？知名提供商，例如Microsoft Azure（72％）和Amazon Web Services（67％），继续主导市场。但是，预计未来的云采用率对于Google Cloud Platform（21％）和Oracle Cloud（20％）很高。 您当前使用或计划将来使用哪些云IaaS提供商？ 云安全选择 在选择云安全交付时，大多数组织都依赖其云提供商提供的原生安全工具（74%）。这些内置工具提供了针对特定云环境的保护和集成水平，使其成为热门选择。 大量组织（47%）选择与托管服务提供商合作，以满足其云安全需求。通过外包给托管服务提供商，组织可以从提供商的专业知识和资源中获益，这可以帮助他们管理保护其云环境的复杂性。许多组织还选择第三方云安全供应商来提高他们的安全状况(46%)。这些供应商提供专门的解决方案，可以补充或扩展云提供商提供的本地安全工具的功能。 您如何获取云安全？ 本地安全与第三方 当被问及第三方安全解决方案与云运营商提供的原生云安全平台相比如何时，一半的网络安全专业人员认为两者的性能相似(50%)，其次是44%的人认为专用第三方安全解决方案的性能更好。 这些发现表明，网络安全专业人员普遍认为，与云供应商相比，第三方安全供应商可以提供类似的或在某些情况下更好的云安全性。这强调了评估安全选项并选择最适合组织特定需求和要求的解决方案的重要性。 您如何看待来自第三方安全供应商的云安全比较使用来自云供应商的云安全？ 44% 认为来自独立安全供应商的云安全比云供应商更好 最佳原生云安全 网络安全专业人员如何评价其云提供商的原生安全性的完整性？大多数受访者认为Azre提供了最有效的原生云安全控制和服务（73％），反映了对Microsoft安全特性和功能的高度信任。AWS的原生云安全控制(66%)也受到受访者的高度评价，这表明人们对亚马逊的安全产品有着强烈的信任。尽管与Azre和AWS相比不太受欢迎，但仍有一部分受访者认为Google Clod的原生安全控制和服务是有效的（35％）。 以下哪个平台提供了最充足的原生云安全控制和服务？ 基于云的安全的障碍 缓慢迁移到基于云的安全性的最大障碍是什么？有趣的是，组织面临的最大挑战主要不是安全技术，而是人员和流程。缺乏网络安全人员专业知识和培训(53%)仍然是迁移到基于云的安全解决方案的最大障碍。组织在提高团队技能并为他们提供有效管理和保护云环境所需的知识方面继续面临挑战。 其次是预算挑战（44％）和数据隐私问题（38％）。 迁移到基于云的安全解决方案的主要障碍是什么？ 操作安全头痛 总体而言，关键发现表明组织在保护其云工作负载方面面临着多种挑战，包括缺乏熟练的员工（43％），确保合规性（37％）以及对基础架构安全性的可见性（32％）。解决这些问题需要结合改进的安全工具和流程，并增加对网络安全培训和劳动力发展的投资。 试图保护云工作负载，您最大的日常运营难题是什么？ 个人设备安全 个人设备是员工访问云数据和服务的一个受欢迎且重要的端点，但它们也是一个薄弱环节。组织如何保护访问、使用和存储在个人设备上的云数据？ 最常见的安全措施是安装MDM代理，以监控个人设备上数据和云服务的使用（42%），其次是使用受信任的设备型号（23%）。而且，17%的组织甚至不允许个人设备访问敏感的云资源。 贵组织如何保护员工个人设备上的云数据？ 云合规性挑战 组织在维护云合规性方面面临的最大挑战是缺乏员工的专业知识和知识(55%)。组织努力寻找能够有效管理和确保云环境合规性的合格人员-这个问题多年来一直是最大的挑战。 其次是作为云环境持续保持合规性的挑战变更（43%）和进行定期审计/风险评估（37%）。 为了克服这些挑战，组织应该投资于员工培训和认证，制定有效的合规性监控流程，并及时了解云环境中的监管变化和新出现的威胁。 云合规流程的哪一部分最具挑战性？ 缺乏工作人员的专业知识/知识 随着云环境的变化，持续保持合规性 在云环境中进行审计/风险评估 对安全的信心 在更广泛的云环境中，哪些组件是网络安全专业人员对他们在云中的安全能力最满意的？核心云组件，如服务器（43％），网络（37％）和Web应用程序（32％）获得了最高的信心得分，这表明受访者对保护这些组件感到更自在。另一方面，工业控制系统（ICS）/ SCADA设备和物联网（IoT）在受访者中的信任度最低，表明这些领域可能需要额外的关注，教育和资源。 在以下组件中，您最有信心能够在云中安全吗？ 不断变化的安全需求 组织如何应对不断变化的安全需求？组织中最流行的方法是投资于现有IT和信息安全员工的培训和认证（63%）。这有助于弥合技能差距，并使员工能够更好地应对云环境中出现的独特安全挑战。 紧随其后的是使用本地云提供商安全工具（61％）-也许表明云提供商在面对不断变化的安全风险时适应其平台。雇用新的云安全人员仅排在第三位（35％）。 通过投资于IT / IS员工的培训和认证，组织可以更好地应对云环境不断变化的安全需求，并充分利用本地云提供商的安全工具。 迁移到云时，您如何处理不断变化的安全需求？ 云业务成果 调查结果揭示了一些企业通过迁移到云已经实现的业务成果，突出了云采用的不同好处。组织将对客户需求的响应性（52%）列为他们通过迁移到云计算获得的最常见的好处。其次是加速上市时间（48％）。组织还看到了一定程度的风险降低(42%)，紧随其后的是成本降低(41%)。 这些结果表明，采用云不仅可以节省成本和运营EFfi的效率，但也促进了创新、敏捷性和市场竞争力。 通过迁移到云，您实现了哪些业务成果？ 云安全培训 调查结果突出了受访者对云安全培训和认证的强烈需求。绝大多数受访者认为他们或他们的团队会从云安全培训和/或认证中受益（83%），这表明为了在云环境中有效运行，需要技能发展。 您认为您或您的团队需要云安全培训和/或认证可以更好地在云环境中运行？ 我们询问了网络安全专业人员，他们是否偏爱供应商特定