2025年云与AI安全状况调查报告

致谢 主要作者 希拉里·巴伦 贡献者 马丽娜·布雷戈库 乔什·布克 尚恩·吉福德 亚历克斯·卡拉扎 约翰·岳 图形设计 克莱尔·莱纳特 斯蒂芬·卢姆佩 关于赞助商 Tenable® 是一家漏洞管理公司，它暴露并修复削弱业务价值、声誉和信任的网络安全漏洞。该公司的人工智能驱动漏洞管理平台从根本上统一了攻击面的安全可见性、洞察力及行动，使现代组织能够从IT基础设施到云环境再到关键基础设施，全方位防范攻击。通过保护企业免受安全漏洞，Tenable 为全球约44,000家客户降低了业务风险。了解更多，请访问 tenable.com。 目录 致谢3 主要作者3贡献者 3平面设计 3关于赞助商 执行摘要 5 主要发现 6 关键发现 1：混合云和多云主导 6关键发现2：身份已成为云的最薄弱环节（以及组织面临的最大挑战）观看了)链接https://www.bilibili.com/video/BV1Sd4y1P7CP/?share_source=copy_web&vd_source=429cdec6f8b1e13396a0a9241574关键发现3：专业知识的鸿沟创造了领导力协同挑战 10关键发现4：与其预防火灾，不如灭火——衡量漏洞，而非预防 12第五点主要发现：人工智能的采用正在加速，而安全却在瞄准错误的风险 13关键发现6：安全策略重置需要时间16 研究目标 27结论 17全面调查结果 18人口统计 26调查方法论和创建 27 执行摘要 混合云和多云架构已成为大多数组织的标准，82% 的组织运营混合环境，63% 使用多个云服务提供商。与此同时，人工智能的采用正在加速，超过一半的组织为业务需求部署人工智能——其中 34% 具有人工智能工作负载的组织已经遭遇了安全漏洞。然而，安全策略未能与时俱进，导致团队反应迟缓且职责分散。 这项调查揭示了六个关键洞察： 1. 混合云和多云主导：灵活的基础设施要求统一的安全可视性和策略执 4. 测量漏洞，而非预防：Kpi仍然是被动的，专注于事件而不是风险降低和恢 复能力。 行—但对大多数情况仍然缺乏。 5. 人工智能采用超越安全准备 2. 身份风险占据主导但管理不足： 组织优先考虑合规性和新的人工智能风险，而不是成熟的云和身份控制。 身份现在是首要风险和违规原因，但许多组织依赖基本控制措施和指标，忽略了更深层次的治理缺陷。 过时的假设和投入不足使安全团队缺乏成熟的结构性支持。 3. 专业知识差距阻碍进展： 有限的云安全专业知识损害了领导力协同、战略和投资。 为解决这些差距，组织应： • 在混合云和多云基础设施中建立集成式可见性和控制 • 适用于人类和非人类身份的成熟身份治理 •将KPI重点放在预防和弹性上 • 提高领导层对真实运营需求的了解 • 将合规性视为AI安全的基准，而不是终点 安全成熟度取决于战略一致性和风险驱动规划。超越点解决方案和被动式操作的机构将能够更好地保护不断发展的云和人工智能环境。 主要发现 云和人工智能不再是新兴趋势——它们已经融入了组织运营的方式，混合云和多云架构提供了灵活性，人工智能正迅速从试点项目转向业务关键型工作负载。然而，尽管采用率飙升，安全策略却难以跟上。调查结果揭示了意识和执行之间的明显差距：虽然大多数组织都认识到他们风险所在，但许多组织仍然处于被动应对、碎片化和目标不一致的状态。 混合云和多云主导 混合和多云架构并非新兴趋势——它们已经是大多数组织的常态，并将长久存在。与其将所有东西迁移到单一供应商，或者放弃 完全在本地，组织有意选择环境组合以满足其运营、财务和监管需求。这些模型提供了运行工作负载的灵活性，这些工作负载最合理的地方——无论是在云端、跨多个提供商，还是在本地。 63%有组织报告使用多个云服务提供商，多云用户平均运行2到3个云环境 63% 的组织报告使用一个以上的云服务提供商, 多云用户平均操作2至3（2.7）个云环境。同时，82%的组织实施了一定形式的混合基础设施，或者平均分配在本地和云端，或者更倾向于某一种环境。 为了保障这个碎片化的基础设施，组织正转向采用设计用于跨越云和本地环境的工具。统一安全监控和风险优先级（58%）,云安全态势管理（CSPM）（57%）,以及扩展检测与响应 (XDR) (54%)它们是在混合环境中最常用的控制方式。这标志着从孤立或供应商原生工具向能够与混合基础设施的复杂性相匹配的更广泛的可见性和控制机制的转变。 转向混合云和多云可能是成本优化、监管需求和性能要求等多方面因素驱动的。在某些情况下，组织甚至将工作负载迁回本地以更好地管理开销或获得更多直接控制，如一文中所述上一个云安全联盟（CSA）调查报告不论动机如何，该模型都需要能够提供一致的政策执行、身份管理和风险监控的安全策略，这些策略需要适用于一个远非同质化的环境。 关键发现2： 身份已成为云的最薄弱环节（也是组织最关注的环节） 身份相关问题现在位列云安全问题之首——在感知、违规影响和战略关注方面，其严重程度超越了诸如配置错误、内部威胁和工作负载漏洞等长期风险。尽管这标志着意识方面有了重要进展，但在将身份视为关键威胁的认识与为有效保障身份所采取的措施之间，存在一个关键差距。治理、衡量和运营协调均落后于报告的意愿。 百分之五十九的组织识别出不安全的身份和有风险权限作为其云基础设施的首要安全风险。这种担忧在泄露数据中也得到了印证。在经历过云相关泄露的人中，前四名原因中有三个是 身份相关：过度权限 (31%),不一致的访问控制 (27%),以及身份卫生薄弱 (27%). 您认为以下哪些因素对您组织的漏洞造成了最大贡献？ 这些问题相互关联但又不同。过度的权限——如永久管理员访问权限或广泛的角色分配——可能将微小的漏洞升级为重大突破。跨环境的访问控制不一致 制造不均匀的保护和盲点，供攻击者利用。薄弱的身份卫生——定义为识别和补救风险行为（如未轮换的密钥、未使用的凭证或遗弃的帐户）的流程不佳——会导致长期存在的漏洞，这些漏洞通常在事件发生后才会被发现。 这些模式共同指向一个分层、系统性的问题：不仅仅是几个配置错误的帐户，而是在团队和系统之间如何管理身份方面存在根本性的故障。这不仅仅是技术失误，它们是运营挑战，源于云和身份访问管理（IAM）功能在共享所有权、监督和问责制方面的缺乏。 即使组织报告称他们认识到这些风险并优先考虑零信任，安全成熟度仍然滞后。当被问及主要挑战时，28%的受访者提到了云和IAM团队之间缺乏协调,以及21%的人报告说执行最小权限存在困难这表明许多组织知道问题所在，但仍然缺乏结构或工作流程来大规模地解决它。 组织云基础设施安全的主要挑战 云安全与IAM团队之间缺乏协调 执行最小权限的困难 21% 为缩小差距，组织正在优先考虑零信任架构和实现 身份权限最小化是未来12个月最受欢迎的云安全优先事项（44%）然而测量实践仍处于早期阶段。百分之四十二的组织跟踪多因素认证（MFA）或单点登录（SSO）的采用率—最常见的身份与访问管理（IAM）关键绩效指标（KPI），但这只显示控制措施是否到位，并不显示它们是否有效。很少组织监控像权限滥用、访问异常或非人类身份滥用这样的身份风险深层指标。 44%若组织考虑将身份实施最小权限作为首要任务 42%哪些组织正在追踪多因素认证（MFA）或单点登录（SSO）的采用率 这些数据描绘了身份认证既是一个被广泛认知的威胁，也是一个仍在成熟的安防管理学科。组织正在朝着正确的方向发展，但有意义的发展需要超越政策声明，他们需要重构IAM项目和支持系统如身份提供者，改善与云团队的协调，并从二元采纳指标转变到更动态的身份风险和弹性的指标。 关键发现3： 专业知识差距造成领导层协同挑战 缺乏云安全专业知识不仅仅是一个人员配备或实际操作实施的问题，它是一个战略障碍，影响着组织在各个层面规划、预算和优先考虑安全的方式。随着安全团队在有限的专业知识下努力将云保护投入运营，这个差距开始塑造影响领导层协同、资源分配和组织风险立场的决策。 保障组织云基础设施面临的主要挑战 百分之三十四的受访者认为缺乏专业知识作为保障云基础设施所面临的最大挑战—比任何其他问题都更加严重。但那道鸿沟的影响并不仅仅停留在 缺乏专业知识实践层面。它造成了涟漪效应，破坏了规划和执行。当被问及实施新的云安全能力的障碍时，受访者指出不明确 的策略（39%）,预算不足 (35%),以及资源被转移至其他优先事项（31%）——所有领导力挣扎于设定方向、评估权衡或完全掌握所涉风险的症状。 这种脱节通过领导层如何看待云安全而进一步凸显。几乎三分之一的受访者（31%）表示，他们的行政领导层对云计算安全风险缺乏足够的理解. 其他人指出，领导们认为内置云服务提供商工具是“足够好”的（20%），或者假设云服务提供商主要负责保障环境（15%）—a clear misunderstanding of the 共同责任模型。这些认识表明，许多高管团队仍在沿用传统的安全假设，这使得安全团队难以获得支持，以配备所需工具、人员和时间来保护当今复杂的混合云和多云环境。 与其将专业能力仅视为招聘或培训问题，组织可以将问题重新定义为更广泛的运营挑战——可以通过内部赋能、外部合作以及降低认知负荷的平台选择相结合来解决。同时，还有一个明确的机会，利用这些平台和工具不仅来提升安全态势，而且在过程中帮助教育领导层。通过使高管理解与安全现实保持一致，组织可以从不反应式、点解决方案思维转变为更具战略性和综合性的安全项目。 与预防火灾相比，灭火——测量漏洞，而非预防 云安全仍然陷入被动循环。虽然安全漏洞仍然是一个持续且重大的挑战，但组织却基于已经发生的问题来衡量绩效，而不是基于风险如何被有效降低或预防。其结果是一种以危机应对为导向而非长期韧性的指标文化。 最常见的追踪云安全KPI是安全事件发生频率和严重程度（43%）, 一个只有在事故发生后才相关的指标。在IAM中，最关键的指标是多因素认证/单点登录采用率（42%），它追踪的是基本控制是否到位，而不是它们是否有效或被误用。这些数字共同表明，组织仍然专注于表面水平的指标，而不是更战略性的、前瞻性的绩效衡量标准。 这种后视镜心态也反映在违规数据中。过去18个月，各组织平均报告了2.17起与云相关的违规事件，然而仅有8%将其中的任何一项归类为“严重”. 虽然一些事件确实可能是低影响的 差异表明许多人被感知为较轻微——可能是因为它们没有触发强制报告门槛、重大媒体覆盖或明显的运营影响。 数据显示，违规频率与事件内部评估之间存在脱节，这种脱节使得衡量和沟通真实安全性能的努力变得复杂。当考虑到这些违规的根本原因时，这种脱节就更加令人担忧，因为其中许多是可预防的。百分之三十三引用了配置错误的云服务，而31%的人指出了权限过多,20%到内部威胁,以及15%到受损凭证—可以通过更强的配置管理、访问治理和主动检测来减轻的问题。 您认为以下哪些因素对您组织的漏洞造成了最大贡献？ 过度权限（例如，过度授权的帐户或角色） 31% 被窃取的凭证（例如，网络钓鱼、泄露的秘密） 所有这一切都指向一个危险的衡量盲点。违规率仍然很高，但少数事件被归类为严重，而且大多数组织跟踪的KPI仍然基于反应而非预防。衡量仍然与事后响应挂钩，而非前瞻性的风险降低。 这种方法在两个关键方面都失败了：它未能向领导层展示主动投资的价值观，并且通过假设事件总是可见、可报告且正确分类，从而掩盖了风险的全部范围。在检测能力有限的环境下——或者在不以“严重”事件的有无来评判绩效的情况下——关键事件可能会被遗漏或最小化。打破这种循环需要更多的新度量或工具——它要求重新定义成功，其核心在于风险减少而非损害控制。 第五大关键发现： 人工智能应用加速，而安全目标却针对错误的风险 人工智能的采用正超越许多安全团队的准备情况。虽然34%的组织将他们的AI使用描述为“实验性”，更多的人已经超越了那个