应对新威胁克服旧挑战（全球版）

报告在新时代威胁中导航并克服旧挑战 目录表 引言03确保未来的机遇04关键发现06企业观察08威胁态势10构建客户信任——客户身份和访问管理（CIAM）13开发者之旅——云与DevOps15开发者利益与关切——通用人工智能18用户，边界 —— 劳动力IAM20无处不在的连接，无处不在的威胁——物联网/5G23实现量子飞跃 —— 后量子密码学24选择与检查——主权26结论与下一步行动29关于本研究31 引言 随着经济不确定性的持续以及威胁格局日益复杂，企业正在努力应对日益增加的监管要求，同时改善其安全态势。《2024年赛门铁克全球数据威胁报告》提供了对新技术、其安全影响以及未来成功所需的组织变革的见解。该报告分析了全球数据威胁的趋势、基础的控制、法规、风险和需要应对的新兴技术。报告反映了近3000名受访者（包括个人贡献者、经理和高层管理人员）在来自18个国家的37个行业的见解，并探讨了他们的数据安全经验、挑战、策略和成果。 来源：2024年数据威胁报告定制调查，由Thales委托，S&P全球市场情报机构提供。 赞助商： 确保未来的机遇 2024年数据威胁报告（DTR）分析了核心安全实践如何应对或预期变化的威胁而发生变化。本报告还提供了关于组织如何利用数据资产来扩大业务敏捷性并与其客户建立信任的观点。 内部和外部利益相关者的多样性表明，安全倡议必须考虑到那些解释、实施和遵守政策、规则和控制的各方。这些倡议涵盖各种情境，可能具有多重动机，例如为扩大容量而确保云环境的安全或确保符合监管和数据主权要求。本报告提供了关于这些挑战正在进行的情况和可能性的视角。 市场不确定性、新的监管要求和地缘政治紧张局势进一步加剧了原本就复杂的努力。2023年7月，美国证券交易委员会宣布了新规定，要求包括美国和外国私营发行人在内的注册人披露重大证券事件。在同一个月，欧盟通过了欧盟-美国数据隐私框架（DPF）。DPF面临着与先前的隐私盾框架（2015年）和美国-欧盟安全港框架（2000年）类似的欧盟法律挑战，为企业增加了更大的不确定性。 威胁增加和威胁类型的变化推动了这些法规的制定。根据2024年DTR的调查结果，绝大多数（93%）的企业报告称威胁有所增加。他们识别出恶意软件、网络钓鱼和勒索软件为增长最快的攻击手段，分别有41%、36%和32%的受访者选择了这些手段，并报告称云资产，如SaaS应用程序、基于云的存储和云基础设施管理是攻击的最大目标。人为因素仍然是云数据泄露的主要原因，其中用户错误是最常见的原因，占31%，而未将对特权账户应用多因素认证（MFA）也是重要因素之一，占17%。 本年度报告通过考虑劳动力身份和访问管理（劳动力IAM）以及客户身份和访问管理（CIAM）这两个方面，对这些人为因素进行了深入分析。 由于这些挑战，信息安全支出仍然强劲：根据451研究公司的《企业声音：信息安全、预算与展望2023》，93%的受访者正在增加他们的预算。 近期在量子计算、云计算、外部用户体验（UX）和生成式人工智能（GenAI）方面的创新引起了行业的关注。本报告既考虑了确保GenAI的使用，也探讨了如何利用GenAI更好地保障企业安全。不同职能领导者以及外部利益相关者的不同优先级要求安全与风险管理领导者建立更牢固的关系。 而当企业进一步追求这些新技术时，数据安全卫生挑战成为一个更好的实施的障碍。 分类问题持续存在。 过去4年间，至少每6家企业受访者中就有1家表示他们能对非常少或没有数据进行分类。 对系统、应用程序和数据因监管和威胁环境变化而面临风险的基本理解持续落后。在过去四年中，至少有六分之一的受访企业表示，他们能够对非常少或没有数据进行分类。尽管敏感数据发现和分类是管理者计划在接下来12个月内实施的最受推崇的安全技术，根据451 Research的《企业之声：信息安全，技术路线图 2023》报告企业将需要提升其在主权和外部利益相关者中的地位，以更好地采用5G/IoT和云计算等新技术。 今年的研究还探讨了技术和选择的原因以及方式。这些见解可以帮助企业更好地指导成功和安全的采用。 关键发现 数据泄露趋势与威胁 人为因素仍然是云数据泄露的主要原因；人为错误是 49% 的组织报告称其系统遭到入侵在某些历史时期，但最近的违约历史已从2021年的24%降至2024年的15%。 49% 主要原因占31%，而对于特权账户未能应用多因素认证构成了另外17%。 31% 勒索软件攻击更加普遍，在28%的人遭遇攻击（去年为22%）的情况下，但规划仍然不足，仅有21%的人表示在遭受攻击时会遵循正式计划。 多云增长正在趋于平稳，但是，金融服务公司现在略有增加。 在多云架构中（平均有2.03个云服务提供商）比整个企业调查的平均值（2.02个云服务提供商）更多。 28% 新兴技术风险 生成式AI的繁荣正在展开：22%计划在未来12个月内将通用人工智能（GenAI）集成到产品/服务中，另外33%将尝试将这项技术进行集成。 原型化后量子密码学（PQC）据说，这是解决未来古典加密技术妥协问题的首选方法（52%）。 “先收集，后解密”攻击（68%）是68 %主导对PQC的兴趣。 数据在5G网络中的安全性是近三分之二（65%）的首要关注问题。 65% 合规性与主权关切 三十九 percent of allrespondents said that数据驻留将不再 近70%的企业只能对其敏感数据中的50%或更少进行分类。 存在问题是只要外部加密、密钥管理和职责分离得到实施。 身份复杂性与妥协 The企业网络访问的外部客户身份范围广泛；平均而言，所有接入中约有六分之一（16%）由客户完成。 16% 在CIAM（身份访问管理）项目中实现安全一致性是提到最多的挑战（62%）。 不断增长的DevOps挑战 56% 秘密管理（56%）是DevOps面临的首要挑战。紧随其后的是劳动力身份访问管理（IAM）挑战，例如特权用户管理（52%）。 5.4操作复杂性仍然是一个安全关注点。尽管报告有五项或以上关键管理系统的人的数量下降了（从去年62%降至53%），平均数量仅略有下降（从5.6降至5.4个关键管理系统）。 企业观察 今年DTR提供了关于内部企业组织的进一步见解。数据安全作为一门学科，在企业内部的需求仍较为分散。如合规性、市场营销、供应链和设计等职能都包含了数据安全的内容。 安全与合规性举措正在融合，因为在输入、流程和结果方面两者趋于一致。多年来，DTR调查结果表明，合规目标的实现与减少违规行为之间存在更强的相关性。在2024年，那些未能通过合规审计的组织中，84%报告称在其历史上有一些违规行为，其中31%的人表示在过去12个月内经历了违规行为。相比之下，那些通过了合规审计的组织中，只有21%有违规历史，并且只有3%在过去的12个月内遭受了违规行为。 相关性——合规与安全结果 在2024年，对于那些组织未能通过合规审计的受访者中，84%的人报告称有某些违规历史，其中31%的人表示在过去的12个月内遭遇过违规事件。 84% 相比之下，对于那些通过了合规审计的公司，只有21%有违规历史，并且只有3%在过去12个月内遭受了违规。 合规与安全确实存在差异，但许多相同的技巧在两者中都能实现有益的结果。监管监督模糊了合规和安全勤勉之间的区别。越来越多地，如美国注册会计师协会（AICPA）SOC2类型2或ISO27K等合规标准要求组织证明其在一段时间内的控制，而不仅仅是某个时间点的控制。自动化将继续推动该领域的改进。在优先考虑DevSecOps的受访者中，38%表示他们的配置、合规和安全控制已集成到代码中。本报告分享更多关于使开发人员和运营商实现更好的安全和服务成果的见解。 今年关键主题鼓励安全领导者通过调和内部和外部企业利益相关者之间的差异来建立更牢固的关系。客户、开发人员和业务线寻求在新技术和领域如通用人工智能、金融科技、PQC、5G和物联网中扩大可信度。研究数据显示正在取得进展；更大的需求和机遇在前方。内部管理成本的压力与减轻更强大对手攻击的努力相冲突。信任、安全、保密和隐私现在是企业品牌中的主要因素，安全领导者可以利用报告洞察力在其组织中建立更强大的联盟，以实现更积极主动、动态的风险基础安全管理办法。 38% 在优先考虑DevSecOps的受访者中，38%表示他们的配置、合规性和安全控制已集成到代码中。 威胁态势 攻击领域仍然广阔，并且正在增长：60%93%的受访者表示他们经历了增长56%攻击，恶意软件、勒索软件和钓鱼攻击持续成为增长最快的类别。52% 49%49%50%攻击。40% 40%30%攻击类型不断增加 勒索软件应对仍是一大挑战。过去三年，所有垂直领域和企业规模中，不到50%的受访者拥有正式的勒索软件应对计划。总体而言，五分之一受访者表示，在遭受勒索软件攻击的情况下，他们已经支付或打算支付赎金。初始的违规响应越来越多地由法律团队负责，这些团队与监管机构或执法部门进行接触。 尽管勒索软件应对的某些方面有独立的技术要求，例如法医隔离、连续可靠性和性能仍然是首要关注的问题。在事故规划和应对未计划中断方面，既为安全实践者也为站点可靠性工程师（SRE）提供了互利的机会。对于安全团队来说，在一般设计/架构审查过程中与SRE合作提供了整合安全设计的机会。明确的指导、使能和咨询允许SRE们明确地、积极地构建安全最佳实践。 总体违规历史和近期违规历史 趋势下降，但仍然很高。 云资源在用户、运营商和开发者之间的复杂性持续增长。表示他们正在使用50个或更多SaaS应用的企业比例，从2021年的27%增长到2024年调查中的超过40%。调查范围内的平均使用SaaS应用数量现在为84个。2021年至2024年的调查中，同意或强烈同意在云端管理安全比本地更复杂的企业的比例持续增长，从46%增长到55%。 企业中表示他们正在使用50个或以上SaaS应用的百分比从2021年的27%增长到2024年调查中的超过40%。调查范围内的平均值为84个SaaS应用。 在描述威胁行为者时，内部人为错误始终保持一个关键威胁领域，通常排名很高，如果不是最高类别。在2024年，22%的受访者表示人为错误是唯一最令人担忧的威胁，74%的受访者将人为错误带来的威胁置于一定优先级。该行业必须继续将其努力转向更安全和用户友好的方法。 云自动化、开发者体验、CIAM和工作力IAM的创新减少了人为错误和下游后果。恶意攻击者不仅增加攻击次数，而且越来越多地展现出结合技术的复杂性。勒索软件创建者、访问经纪人及犯罪操作者的生态系统持续演变和适应。虽然用户体验随着新CIAM改进（如密钥卡和密码淘汰）而提升，但新的挑战也会出现，例如生成式AI的深度伪造攻击。简化这种复杂性降低了敌对者可利用的错误，并提高了可用性和参与度。 今年DTR调查要求受访者从包括云计算和DevSecOps、人工智能、员工身份与访问管理（IAM）、物联网/5G、量子密码学（PQC）和数字主权在内的新兴技术中选出他们最关心的前四个安全问题。结果显示，所有新兴领域都存在广泛的担忧。 最大的安全程序关注点 2024 年 DTR 还研究了受访者为何担忧，以及他们将如何解决这些担忧。在以下每一节中，报告分享了关于新兴关注领域的见解。 开发客户信任 - 客户身份和访问管理（CIAM） 对企业来说，保护外部用户对于与客户建立信任至关重要。企业必须保护他们的数据，以满足消费者对隐私和安全的期望。 根据2024 泰利斯消费者数字信任指数报告，大多数客户（89%）愿意与组织分享他们的数据，但这附带一些不可协商的条件。超过五分之四（87%）的人期望在与他们在线互动的公司中获得一定程度的隐私权。 除了消费者对隐私的高度期望外，DTR受访者报告称，大量客户访问了其组织的内部系统或资产。受访者表示，访问企业云计算、网络和设备资源的用户中，多达16%可能是客户。同样，外部