Survey Report: The State of Cloud and Al Security 2025

© 2025 云计算安全联盟——版权所有。您可下载、存储、在您的计算机上显示、查看、打印并链接至云计算安全联盟（https://cloudsecurityalliance.org），但须遵守以下规定：（a）草案仅可用于您的个人、信息性、非商业用途；（b）草案不得以任何方式进行修改或更改；（c）草案不得重新分发；（d）商标、版权或其他声明不得被移除。根据美国版权法合理使用条款的规定，您可以将草案的某些部分进行引用，但须将所引用部分归功于云计算安全联盟。 致谢 主要作者 希拉里·巴伦 贡献者 马丽娜·布格库 乔什·布克 尔 Ryan·吉福德 亚历克斯·卡卢扎 约翰·Yeoh 图形设计 克莱尔·莱纳特 斯蒂芬·伦佩 关于赞助商 Tenable®是暴露管理公司，暴露并关闭侵蚀业务价值、声誉和信任的网络安全漏洞。该公司的人工智能驱动暴露管理平台彻底统一了攻击面的安全可见性、洞察力和行动，使现代组织能够从IT基础设施到云环境再到关键基础设施以及其中的任何地方保护自己免受攻击。通过保护企业免受安全暴露，Tenable为全球约44000名客户降低了业务风险。了解更多信息请访问tenable.com。 目录 致谢 主要作者3贡献者 3平面设计 3关于赞助商 执行摘要 5 关键发现 6 关键发现1：混合云和多云主导 6关键发现2：身份已成为云的最薄弱环节（以及组织的最已观看) 链接 https://www.bilibili.com/video/BV1sW421P7CP/?share_source=copy_web&vd_source=46fea8d5c7c6d3fb6b4be8a3bf1关键发现3：专业知识的差距造成了领导层协同的挑战 10关键发现4：与其预防火灾不如扑灭火灾——衡量漏洞而非预防 12关键发现5：人工智能的采用正在加速，而安全目标却针对错误的风险 13关键发现6：是时候重置安全战略了16 本研究的目的结论 17全面调查结果 18人口统计 26调查方法学及创建 27 执行摘要 混合云和多云架构已成为大多数企业的标准，82%的企业正在运营混合环境，63%的企业使用多个云服务提供商。与此同时，人工智能的采用正在加速，超过一半的企业为业务需求部署人工智能——而其中34%已经有AI工作负载遭遇安全漏洞。然而，安全策略并未与时俱进，导致团队反应迟缓且职责分散。 这项调查揭示了六点关键见解： 4. 测量漏洞，而非预防：KPIs仍然是被动的，专注于事件而非风险降低和恢 1. 混合云和多云主导：灵活的基础设施需要统一的网络安全可见性和策 复能力。 略执行——这对于大多数情况仍然缺失。 5. 人工智能采用速度快于安全准备情况： 2. 身份风险领先但仍管理不足： 组织优先考虑合规性和新型人工智能风险，而非成熟的云和身份控制。 身份现在是首要风险和违规原因，但许多组织依赖基本控制和指标，忽略了更深层次的治理差距。 过时的假设和投入不足，使安全团队缺乏成熟的结构性支持。 3. 专业知识差距阻碍进展： 有限的云安全专业知识会削弱领导层的一致性、战略和投资。 为解决这些差距，组织应： • 跨越混合云和多云基础设施构建一体化可视性和控制能力 • 人类与非人类身份的成熟身份治理 • 将KPI聚焦于预防和韧性 • 提升领导层对真实运营需求的认知 • 将合规视为AI安全的基准，而非终点 安全成熟度取决于战略协同和风险驱动规划。超越点解决方案和被动式运营的组织将更能保障不断发展的云和人工智能环境。 关键发现 云和人工智能不再是新兴趋势——它们已融入组织的运营方式中，混合云和多云架构提供了灵活性，人工智能正迅速从试点项目转向业务关键型工作负载。然而尽管采用率飙升，安全战略却难以跟上步伐。调查结果揭示了一个明显的认知与执行差距：尽管大多数组织都认识到风险所在，但许多组织仍处于被动响应、支离破碎且目标不一致的状态。 混合云和多云主导 混合云和多云架构并非新兴趋势——它们已是大多数组织的标准配置，并将长期存在。与其将一切迁移到单一供应商或放弃 完全在本地，组织有目的地选择环境的混合，以满足其运营、财务和监管需求。这些模式提供了运行的灵活性工作负载在它们最有意义的地方——无论是云中、跨多个提供商，或仍然在本地。 63%有组织报告使用超过一个云服务提供商，多云用户平均操作2到3个云环境 63%的机构报告使用多个云服务提供商，多云用户平均运营2到3（2.7）个云环境。同时，82%的机构维持某种混合基础设施，或者平均分配给本地和云端，或者更侧重于一种环境。 为保障这一碎片化的基础设施，组织正转向使用专为跨越云和本地环境而设计的工具。统一安全监控和风险优先级（58%）,云安全态势管理（CSPM）（57%），和扩展检测与响应 (XDR) (54%)在混合环境中，它们是最常用的控制方式。这表明正在从独立的或供应商原生工具向更广泛的可见性和控制机制转变，这些机制能够与混合基础设施的复杂性保持同步。 转向混合云和多云很可能是由成本优化、监管要求和性能需求相结合驱动的。在某些情况下，组织甚至将工作负载迁回本地以更好地管理费用或获得更多直接控制，如一文中所述之前的云安全联盟（CSA）调查报告不论动机如何，该模型都要求具备安全策略，能够在非同质的场景中提供一致的策略执行、身份管理和风险监控能力。 关键发现2： 身份已成为云最薄弱（以及组织最关注的）链接 与身份相关的问题现已成为云安全问题之首——在感知、安全漏洞影响和战略关注方面，其风险已超过长期存在的配置错误、内部威胁和工作负载漏洞。尽管这标志着意识的显著进步，但在将身份视为关键威胁的理解与为有效保护它所采取的措施之间，仍存在一个关键差距。治理、衡量和运营协调均落后于报告的意图。 五十九%的组织识别出不安全的身份和有风险的权限作为其云基础设施的首要安全风险。这一担忧在违规数据中得到了证实。在经历云相关违规事件的人中，前四名原因中有三个是 与身份相关：过度权限（31%）,不一致的访问控制 (27%)，和身份疏于管理（27%）. 您认为以下哪些因素对您组织的泄露贡献最大？ 这些问题相互关联但各不相同。过度的权限—例如拥有管理员访问权限或广泛的角色分配—可能会将轻微的泄露升级为重大安全事件。不同环境之间不一致的访问控制 制造不均匀的保护和攻击者可以利用的盲点。薄弱的身份卫生——定义为识别和修复风险行为（如未轮换的密钥、未使用的凭证或遗弃账户）的流程不佳——会导致长期存在的漏洞，这些漏洞通常在事件发生后才会被发现。 这些模式共同指向了一个分层的系统性问题：不仅仅是几个配置错误的帐户，而是跨团队和系统在身份治理方面存在根本性断裂。这不是单纯的技术失误，而是源于云和身份访问管理（IAM）功能在共享所有权、监督和问责制方面的缺失所带来的运营挑战。 即使组织报告称他们认识到这些风险并将优先考虑零信任，安全成熟度仍然滞后。当被问及主要挑战时，28%的受访者指出云和IAM团队之间存在脱节，和21%的人报告在执行最小权限时存在困难这表明许多组织知道问题在哪里，但仍然缺乏规模化的结构或工作流程来解决它。 组织云基础设施安全的主要挑战 云安全与IAM团队之间缺乏一致性 强制最小权限的难度 21% 为缩小差距，组织正在优先考虑零信任架构和实现 身份的最小权限是未来12个月最受欢迎的云安全优先事项（44%）然而测量实践仍处于早期阶段。百分之四十二的组织跟踪多因素认证（MFA）或单点登录（SSO）的采用率—the最常见的iam kpi—but这仅仅显示控制措施是否到位，而不是它们是否有效。很少有组织监控身份风险的更深层次指标，如权限滥用、访问异常或非人类身份滥用。 44%若组织将身份实施最小权限视为首要任务 42%哪些组织跟踪多因素认证（MFA）或单点登录（SSO）的采用率 数据描绘了身份认证这一既被广泛认知为威胁，又是一个仍在成熟中的安全管理学科的图景。各组织正朝着正确的方向发展，但具有实质性的进展需要超越政策声明。他们需要重新构建IAM计划及身份提供者等支撑系统，改进与云团队的协调，并从二元采用指标转向更动态的身份风险与韧性指标。 关键发现3： 专长差距导致了领导力协同挑战 缺乏云安全专业知识不仅仅是人员配备或实际实施方面的问题，它是一个战略障碍，影响着组织在各个层面上规划、预算和优先考虑安全的方式。随着安全团队在专业知识有限的情况下努力将云保护投入运营，这个差距开始塑造影响领导层协同、资源分配和组织风险态势的决策。 保障组织云基础设施所面临的主要挑战 百分之三十四的受访者认为缺乏专业知识作为保障云基础设施的首要挑战—比任何其他问题都更加严重。但这个差距的影响并不仅仅局限于 缺乏专业知识实际操作层面。它产生一种连锁反应，破坏规划和执行。当被问及实施新的云安全功能所面临的障碍时，受访者 指出不明确的策略 (39%),预算不足（35%），和资源被转移至其他优先事项（31%）—领导力在设定方向、评估权衡或全面把握所涉风险方面都存在问题的所有症状。 这种脱节现象进一步体现在领导如何看待云安全上。几乎三分之一受访者（31%）表示，他们的高管层对云安全风险的认识不足.其他人指出领导认为内置云服务提供商工具是“足够好”(20%)，或者假设云服务提供商主要负责保障环境（15%）—对…的明显误解 共同责任模型。这些认知表明，许多高管团队仍然在传统安全假设下运作，这使得安全团队难以获得支持，以获取用于保护当今复杂的混合云和多云环境所需的工具、人员配置或时间。 与其将专业知识仅视为招聘或培训问题，组织可以将问题重新定义为一个更广泛的运营挑战——通过内部赋能、外部合作以及减少认知负荷的平台选择来应对这一挑战。同时，也存在一个明确的机遇，即利用这些平台和工具不仅来提升安全态势，而且在这个过程中帮助教育领导层。通过使高管的理解与安全现实保持一致，组织可以摆脱被动、点解决方案的思维模式，转向更具战略性、更整合的安全项目。 与其预防火灾，不如灭火——测量漏洞，而非预防 云安全仍然陷入被动循环。虽然安全漏洞仍然是一个持续且重大的挑战，但组织却根据已经发生的问题来衡量绩效，而不是根据风险被有效降低或预防的程度来衡量。其结果是，形成了一种以危机应对为中心的指标文化，这反而强化了短期的危机反应，而不是长期的韧性。 最常见的追踪的云安全kpi是安全事件发生频率和严重程度（43%）,一个只有在事故发生后才相关的指标。在IAM中，最关键的指标是mfa/sso采用率（42%）,它追踪的是基本控制措施是否到位，而不是它们是否有效或被滥用。这些数据共同表明，组织仍然专注于表面层次的指标，而不是更战略性的、具有前瞻性的绩效衡量标准。 这种后视镜心态也体现在违规数据中。过去18个月，各组织报告平均发生了2.17起与云相关的违规事件，然而只有8%将其归类为“严重”.虽然一些事件确实可能是低影响的 数据显示，违规频率与事件内部评估之间存在脱节，这增加了衡量和沟通真实安全绩效的难度。当考虑到这些违规事件的根本原因时，这种脱节就更加令人担忧，因为其中许多是可以预防的。33%的人引用了配置错误的云服务, 而31%的人指出权限过度,20%到内部威胁，和15 您认为以下哪些因素对您组织的泄露贡献最大？ %到已受损的凭证—可以通过更强的配置管理、访问治理和主动检测来减轻的问题。 过度权限（例如，过度授权的帐户或角色） 31% 受损凭证（例如：网络钓鱼、泄露的秘密） 所有这一切都指向一个危险的测量盲点。突破率仍然很高，但很少事件被归类为严重，而且大多数组织追踪的kpi仍然根植于反应而非预防。测量仍然与事后响应而非前瞻性风险降低相关联。 这种方法在两个关键方面都失败了：它没有向领导层展示主动投资的价值，并且通过假设事件总是可见、可报告且被正确分类，它掩盖了风险的全貌。在检测能力有限的环境下——或者是在绩效由“严重”事件的缺失来评判的环境下——关键事件可能会被忽略或最小化。