2025年云安全报告

云安全报告 CISO在保护现代云安全方面的优先事项 来自Check Point全球CISO的信息 在当今这个万物互联的世界中，网络安全对我们数字生活的每一个方面都至关重要。在人工智能时代，组织面临着更有效地保护分支机构、数据中心、云部署、SaaS应用程序、移动用户和电子邮件通信安全的重大挑战。 在Check Point，我们提供特有的混合网格架构并附带250多个第三方集成，而它们可通过允许在云服务与数据中心之间建立直接连接来提高灵活性，从而增强安全性、缩短延迟并提高性能。有关组织应如何保护其云基础设施并减少云支出的部分指导意见如下，而这些支出正年复一年地持续飙升。 •将分散的工具整合到统一的安全平台中： 请考虑具有统一控制台的解决方案，而该控制台可简化功能发现和仪表板导航，同时受到基于云的平台的支持，以实现灵活性、可扩展性和不间断运营 •在各种云环境中实现可见性： 专注于使用通过综合日志记录、监控、事件管理和取证来增强可见性的工具，从而帮助实现合规并弥补安全漏洞 •防御性地利用AI来应对AI驱动型威胁： 通过集成自动化、AI和ML，混合网格可增强安全团队的可扩展性，使其能更快速且有效地响应潜在威胁，同时优化资源利用 如今的CISO已不再只是捍卫者，他们还是云创新的战略推动者。为了保护未来，他们必须超越零散的安全措施，并转向统一、智能化和自动化的防御手段。在速度与安全的竞赛中，实时防护是唯一的出路。 概述 云架构的演变速度比大多数安全团队的适应能力更快。随着混合云、多云、边缘计算和SaaS的加速采用，企业正在应对分散的环境、不一致的控制措施和不断扩大的攻击面。检测被延迟，工具负载过重，许多防御措施仍然过时，而对手却在自动化、适应和扩展其自身能力。结果是，云的使用方式与其安全保障方式之间的不匹配日益加剧。 为了更好地了解安全领导者如何应对这些压力，Cybersecurity Insiders开始研究当今塑造云防御的实际战略、优先事项和限制。通过在2025年初对900多名CISO、网络安全专业人员和IT决策者进行的全面调查，本报告从CISO的角度捕捉了云安全的现状，包括哪些有效、哪些失效，以及组织下一步的投资方向。 关键发现包括： •云采用在每个架构层都在加速，尤其是混合云、多云和边缘计算，但安全策略未能跟上步伐。62%的组织扩展了云边缘技术（如SASE），57%扩展了混合云，51%采用了多云，导致环境碎片化，传统的基于边界的防御不堪重负。 •与云相关的漏洞正在迅速增加，且很多漏洞在数小时甚至数天内仍未被检测到。65%的组织在过去一年中经历了与云相关的事件；只有9%的组织在最初1小时内发现了该事件，而62%的组织则花了24小时以上才修复该事件。•检测工具无法发现威胁—大多数事件是由用户、审计或第三方发现的。只有35%的组织可通过安全监控工具检测到事件；大多数事件是由最终用户、第三方或在审计过程中发现的，从而暴露出在实时威胁可见性方面的重大差距。 •工具泛滥和警报超载给安全运营带来了压力。71%的组织使用了10种以上的云安全工具，且有45%的组织每天均会收到500多个警报，从而影响了响应速度、分析能力和风险优先级排序。 •AI正成为首要的安全优先事项，但大多数团队仍感到未做好防御人工智能驱动式威胁的准备。68%的组织表示，采用AI是其优先事项，但只有25%的组织对其抵御自动规避和恶意软件等机器驱动式攻击的能力富有信心。 •应用层安全的态势仍处于严重过时状态，从而导致API和关键业务Web资产被暴露。尽管躲避性应用层威胁不断增加，并且仅部分采用了行为技术和基于AI/ML的技术，61%的组织仍依赖基于签名的WAF检测以作为主要防御手段。 这些发现揭示了云安全领域正承受压力，并且明确需要进行变革。以下几页将解析塑造安全领导者如何适应更快、更分散、更具敌意的云环境的关键趋势、挑战和战略应对措施。 云复杂性将超越安全性 云基础设施正变得越来越分散、动态且难以防御。随着混合云和多云的采用不断增加，为集中式环境设计的传统安全模型正在失效。 •云边缘技术（增长了62%）、混合云(57%)和多云(51%)正在快速扩展，以便增强业务敏捷性和可扩展性。 •安全团队现在必须保护分散环境中的数据、身份和工作负载，同时还会面对分散的控制措施和不断变化的边界。•这一转变带来了诸多挑战，如保护高价值资产(43%)、可见性和检测方面的困难(40%)，以及混合云/多云安全的整体管理(38%)。 云战略将重塑风险管理 随着企业越来越依赖混合架构、多云生态系统和SASE等云边缘技术，底层基础设施变得更加分散、动态，并且难以用传统方法进行安全保护。 我们的数据显示出一个决定性的架构转变：虽然多云环境仍然是流程中不可或缺的一部分，但我们观察到，62%的企业报告称增加了对云边缘技术的采用，57%的企业扩大了混合云部署。混合方法允许对本地的关键数据进行更多控制，而敏感度较低的信息和资源则可以在云中轻松扩展和缩减。 这一分歧预示着一个重大拐点：安全团队不再将“云”作为一个集中的边界来保护，而是一个不断变化的平台、提供商与流量构成的矩阵，从而要求他们对私有云与公有云技术有着深入的了解。此碎片化问题直接推动了本报告中探讨的众多安全挑战，其范围涵盖从威胁可见性方面的差距到安全策略执行的不一致以及不断上涨的运营开销。 保护数据、身份和隐形威胁 过渡到混合云模式会提升复杂性，而38%的个人认为这是他们所面临的主要网络安全挑战之一。虽然混合云可增强安全措施，但它也会带来新的风险，尤其是在所有环境中均缺乏对数据的适当管理和保护的情况下。 根据我们的调查，43%的受访者表示：保护高价值数字资产（包括专有数据集、知识产权和客户信息）是其首要挑战。 紧随其后的是，40%的人指出要增强混合环境中的威胁可见性和检测能力，这反映了云原生遥测（用于检测威胁的系统和活动数据的持续收集）以及基于身份的访问模式和横向流量中持续存在的盲点。此外，这也给身份和访问管理（IAM）以及策略执行带来了复杂性，因为36%的企业正在努力确保分布广泛的员工队伍的安全。 最后，35%的受众认为预防和应对安全事件是一大问题—本报告后续章节中提及的安全事件数量与响应时间的上升也证实了这一点。 What are your organization’s biggest cybersecurity challenges? 43%Safeguardinghigh-value assets andintellectual property 横向移动仍然是一个隐藏的风险 在网络安全领域，可见性可谓是重中之重。大多数组织都将重点放在网络外围的防御上，因而会密切关注进出网络的流量，以阻止入侵。然而，真正的威胁是在攻击者成功渗透网络时才会显现。 根据我们的调查，只有17%的组织能完全掌握其云环境中的横向流量。其余的要么仅具备部分可见性(54%)，要么完全不具备可见性(29%)，从而在攻击生命周期的中间留下了一个重大检测缺口。一旦入侵系统，攻击者通常便会利用合法凭据和横向移动技术来提升访问权限，并在基础设施中悄无声息地移动。当内部流量模式未纳入监控范围时，这些行为往往不会被发现，直到造成严重损害。 要弥合这一差距，需要对东西向或工作负载到工作负载的流量进行持续检查，制定身份感知的分段策略，并实时收集运行时活动数据，从而使安全团队能够在权限升级、可疑行为和跨环境枢纽发生时进行检测。 安全策略为何未能奏效 企业面临的云安全挑战是众所周知的。然而，这些挑战持续存在的真正原因，以及即使是资源最充足的安全计划也会失败的原因，是技能、集成和架构执行方面的内部限制。 最常被提及的障碍是技术变革的速度（54%），它继续超越安全团队在动态环境中实施控制和执行策略的能力。近一半（49%）报告称缺乏技术人才，尤其是缺乏具备跨领域知识的专业人员，这些领域包括安全操作、自动化和人工智能。工具碎片化加剧了问题：40%的受访者指出平台之间集成不佳，导致盲点、政策不一致和补救措施缓慢。 其它问题包括预算限制（33%）、数据过载（31%）、供应链漏洞（28%）和组织孤岛（25%），这些问题限制了可见性并减缓了团队之间的协调。 这些不仅是操作上的烦恼，也是容易被攻击者利用的结构性弱点。在讨论更好的检测、更快的响应或更智能的自动化之前，我们必须承认内部复杂性使许多组织陷入困境。下一章将展示当这些内部裂缝演变为外部故障时会发生什么。 安全事件数量上升 与云相关的漏洞正在急剧增加，大多数组织发现得晚、补救得慢，并且是被动地发现这些漏洞。 •过去12个月中，65%的组织报告了与云相关的事件，而此数据高于前一年的61%。•38%的组织需要24小时以上才能检测到事件，而62%的组织需要再花整整一天或更长时间才能进行完全补救。•只有35%的事件是通过它们的安全工具发现的；其余的则是依靠用户、审计或第三方发现的。 云安全事件正在升级 尽管多年来在云安全工具和策略上进行了投资，事件发生率仍在上升，这揭示了现代云环境与旨在保护它们的防御措施之间的不一致。 我们的调查显示，在过去12个月中，65%的组织至少经历过一次与云相关的安全事件，而此数据高于前一年的61%。这一激增态势表明，攻击者正对配置不当的资产、身份治理漏洞以及在多云与混合部署中执行不一致问题加以利用。同样，承诺可实现敏捷性的复杂管理如今正在侵蚀安全可见性，从而导致监控数据分散、响应速度减缓并给对手提供了更多未被检测到的运作空间。 Has your organization experienced any security incidents related to cloud usage in the last 12 months? 每一次攻击，无论是利用零日漏洞、横向移动还是数据外泄，最终都会穿越网络层和应用层。通过将重点转移到传输层、网络层和应用层的实时流量检查、威胁预防以及人工智能驱动的执行，企业可以从被动风险检测转向主动的违规预防。 检测仍主要处于被动状态 在许多情况下，云安全事件不是由监控系统发现的，而是由终端用户、外部方或在例行审计过程中发现的。这种对人工和第三方报告的依赖揭示了当前云威胁检测方式中的系统性弱点。 在我们的调查中，只有35%的受访者表示，他们的云安全工具是第一个检测到漏洞的。其余65%的事件是通过间接或延迟来源发现的：23%由受影响的用户标记，12%在事件响应调查期间发现，10%通过外部通知发现，9%在例行审计期间发现。 这些数字表明，大多数组织无法自信地依靠其现有的威胁检测系统来发现活跃攻击。延迟或遗漏的发现会增加停留时间，使补救工作复杂化，并削弱安全团队所依赖的控制措施的可靠性。核心问题不是缺乏工具，而是未能关联各种数据源、检测行为异常，并利用实时情报持续监控云攻击面。 要解决此问题，不仅仅需要调整警报阈值。如今的云安全必须超越访问控制，从而确保所有方向和所有层级的流量安全。只有在每个入口和连接点嵌入内联预防措施，才能消除盲点并防止攻击者进入敏感系统。 延迟检测会扩大影响范围 云环境带来的风险比任何团队能及时处置的风险还要大。漏洞、配置错误和权限过多的问题不断涌现，而可利用的时间窗口则被压缩为数分钟，从而使团队在检测与入侵之间陷入了一场不可能完成的竞赛。 调查显示，仅有9%的组织在第1个小时内能检测到与云相关的事件。仅有48%的组织能在前24小时内发现相关事件，而有38%的组织用时超过一天，另由14%的组织不确定到底用了多长时间。这些数字揭示的不仅仅是可见性方面的差距：它们暴露出互不关联的安全数据流、未关联的警报以及缺失的上下文所导致的运营成本。在快速变化的云环境中，攻击者可在数分钟内提升权限并横向移动，而延迟检测则会将小规模入侵演变为多系统入侵。 为了消除检测与遏制之间的延迟，整个生态系统，包括云和企业环境，都需要立即采取协调一致的响应措施。这可以通过去中心化安全和网络架构来实现，