雲端領導者暢談關鍵挑戰
過於繁雜的身分和系統,多頭馬車讓雲端任務更加複雜。
超過 2/3 的雲端決策者 (68%) 表示,其雲端部署環境 (尤其是公用雲端執行個體和混合雲端執行個體) 是所屬企業最大的曝險區域。 而且,管理有權存取這些系統的人員也是一項重大挑戰。
這些是一項委託調查的結果,調查對象包括 262 位 IT 和安全專業人員,其對所屬企業的雲端基礎設施擁有最終決策權。 這項調查由 Forrester Consulting 代表 Tenable 於 2023 年進行,揭示了雲端決策者認為代表其面臨最大風險的四個關鍵領域:
- 我所屬的企業中使用的雲端基礎架構和服務的錯誤設定 (68%)
- 我所屬的企業中使用的任何業務/IT 軟體缺陷 (62%)
- 我所屬的企業中使用的使用者權限和存取管理工具的錯誤設定 (60%)
- 我所屬的企業中使用的任何操作技術軟體缺陷 (46%)
在評估風險暴露時,雲端決策者最關心的問題是雲端遠遠超過 IT 基礎架構的其他領域。
您在下列哪個領域的曝險程度最高?
| 科技業 | 受訪者百分比 |
| 公用雲端基礎架構1 | 29% |
| 多重雲端/混合多元基礎架構2 | 28% |
| 物聯網 (IoT) | 15% |
| 私有雲端基礎架構 | 11% |
| 雲端容器管理工具 | 9% |
| 內部部署基礎架構 | 5% |
| 操作技術/工業控制系統 (ICS)/資料採集與監控 (SCADA) | 3% |
1 公用雲端可以是單一公用雲端提供者,例如 Amazon Web Services (AWS)、Google Cloud Platform (GCP) 或 Microsoft Azure
2 多重雲端/混合多元雲端是兩個或多個公用雲端和/或私有雲端的組合
受訪對象: 262 位對其所屬企業的雲端基礎架構/架構擁有最終決策權的 IT 和安全專家
原文:Tenable 委託 Forrester Consulting 於 2023 年進行的研究
在未來一年內,雲端決策者將在哪些方面進行投資?
目前,大多數企業都在使用各種雲端式基礎架構和業務系統,包括虛擬機器和容器,以及客戶關係管理 (CRM) 和人力資源管理系統。
當談到與雲端部署技術相關的投資領域時,受訪者將無伺服器功能、虛擬機器和容器視為其計劃在未來 12 個月內擴大採用的三大技術類型。
您所屬的企業目前使用下列哪些雲端基礎架構技術?
| 科技業 | 對雲端不感興趣 | 有興趣,但沒有計劃在雲端中建置 | 計劃在未來 12 個月內在雲端中建置 | 在雲端中建置但不擴展/升級 | 擴充或升級雲端使用 | 減少或消除雲端使用 |
| 無伺服器功能 | 8% | 21% | 39% | 24% | 7% | 0 |
| 虛擬機器 | 3% | 14% | 33% | 34% | 13% | 3% |
| 容器 | 2% | 11% | 32% | 35% | 16% | 3% |
| 人力資源管理 | 2% | 12% | 26% | 40% | 18% | 2% |
| 電子郵件 | 2% | 5% | 25% | 35% | 26% | 7% |
| 金融業 | 3% | 11% | 25% | 32% | 24% | 6% |
| IT 服務管理 (ITSM) | 0 | 5% | 24% | 34% | 30% | 8% |
| 企業資源規劃 (ERP) | 1% | 4% | 17% | 37% | 32% | 9% |
| 客戶關係管理 (CRM) | 0 | 6% | 14% | 42% | 28% | 10% |
受訪對象: 262 位對其所屬企業的雲端基礎架構/架構擁有最終決策權的 IT 和安全專家
原文:Tenable 委託 Forrester Consulting 於 2023 年進行的研究
太多資料、太多不互通的系統、太多利害關係人
鑑於大多數企業內皆存在複雜的雲端式生態系統,因此,雲端運算結果在雲端決策者用於確定整體風險暴露的資料來源清單中名列前茅也就不足為奇了。 但是,雲端研究結果並不是唯一的來源。 威脅情報來源、弱點揭露和資安事端準備評估結果也是資料雲端決策者所依賴的來源。
您所屬的企業使用下列哪些資料來源來辨識整體風險暴露?
| 資料來源 | 受訪者百分比 |
| 雲端研究結果 | 69% |
| 威脅情報摘要 | 55% |
| 弱點揭露 | 52% |
| 資安事端前置作業評估研究結果 | 52% |
| 滲透測試研究結果 | 47% |
| 外部攻擊破綻研究結果 | 42% |
| 使用者設定檔和權限 | 35% |
| 操作技術研究結果 | 31% |
| 資產庫 | 26% |
可多選
受訪對象: 262 位對其所屬企業的雲端基礎架構/架構擁有最終決策權的 IT 和安全專家
原文:Tenable 委託 Forrester Consulting 於 2023 年進行的研究
彙總來自多個不互通系統的所有資料既耗時又複雜。 事實上,各企業之間互不相通、缺乏資料安全機制,以及著重於被動回應而非預防性網路安全等因素都使雲端安全成為一項挑戰。 尤其:
- 十分之七 (70%) 的雲端決策者表示,其所屬企業彼此不互通的系統構成了障礙,妨礙他們取得使用者的資料
- 一半的人表示所屬的企業缺乏有效的方法,難以將使用者資料整合到弱點管理做法中
- 超過一半 (55%) 的受訪者表示,其所屬企業的使用者資料和弱點管理系統缺乏安全機制,導致無法取得高品質資料來幫助員工做出優先排序決策
- 將近十分之六 (58%) 的受訪者表示,網路安全團隊忙著應對重大資安事端,沒時間採取預防性方法來降低企業的曝險
- 將近四分之三 (74%) 的受訪者表示,如果所屬企業在預防性網路安全方面投入更多資源,就能更成功地抵禦網路攻擊
更複雜的是,監督身分和存取管理系統的責任似乎是一項涉及 IT 和安全營運、風險與合規性以及監管方面的專業人員的團隊運動。 絕大多數的受訪者 (67%) 擁有三個或更多身分和存取管理系統,並且可能有五種不同類型的團隊參與管理這些系統: IT 營運 (77%)、安全營運 (61%)、ID 和存取 (53%)、風險與合規性 (36%) 以及監管 (32%)。
誰管理您所屬企業中使用的身分和權限管理系統?
| 團隊 | 受訪者百分比 |
| IT 營運 | 77% |
| 安全營運 | 61% |
| ID 和存取團隊 | 53% |
| 風險與合規性 | 36% |
| 監管 | 32% |
| 我所屬的企業沒有身分和權限管理系統 | 2% |
| 其他 | 1% |
可多選
受訪對象: 262 位對其所屬企業的雲端基礎架構/架構擁有最終決策權的 IT 和安全專家
原文:Tenable 委託 Forrester Consulting 於 2023 年進行的研究
此外,大多數受訪的雲端決策者皆身兼數職,將自己視為許多其他關鍵領域的最終決策者,包括 DevSecOps、弱點管理,甚至安全營運中心 (SOC)。
我是此做法的最終決策者
| 做法 | 受訪者百分比 |
| DevSecOps | 61% |
| 弱點管理 | 58% |
| 安全營運/SOC | 57% |
| SaaS 應用程式/工具 | 56% |
| IT 營運 | 56% |
| 身分存取/權限管理 | 53% |
| DevOps | 53% |
受訪對象: 262 位對其所屬企業的雲端基礎架構/架構擁有最終決策權的 IT 和安全專家
原文:Tenable 委託 Forrester Consulting 於 2023 年進行的研究
然而,在技術部署的大多數階段中,網路安全往往被排除在外。
您所屬企業的網路安全團隊參與以下部署階段的頻率如何?
| 階段 | 從不 | 很少 | 有時 | 經常 | 一向如此 |
| 架構審查 | 1% | 10% | 38% | 35% | 15% |
| 範圍界定 | 2% | 16% | 41% | 32% | 9% |
| 徵求建議書 (RFP) | 3% | 10% | 31% | 35% | 21% |
| 供應商評估/概念驗證 (PoC) | 2% | 10% | 33% | 31% | 24% |
| 配置和部署 | 0 | 5% | 27% | 42% | 26% |
| 使用者權限和存取管理 | 0 | 2% | 23% | 38% | 35% |
| 持續的供應商管理與維護 | 1% | 9% | 27% | 40% | 23% |
| 監管和異常管理 | 1% | 11% | 21% | 45% | 22% |
受訪對象: 262 位對其所屬企業的雲端基礎架構/架構擁有最終決策權的 IT 和安全專家
原文:Tenable 委託 Forrester Consulting 於 2023 年進行的研究
DevOps 是雲端決策者關注的另一個領域:十分之四 (42%) 的受訪者表示,其所屬企業的 DevOps 團隊並未在程式碼開發過程中優先考慮安全。
更多關於受訪者的資訊
調查受訪者代表從事 IT (65%) 和網路安全 (35%) 工作的雲端決策者。 這些受訪者更有可能擔任副總裁或董事,而不是高階主管。 他們會積極參與 IT 和安全策略。
用下列哪一項來描述您目前的職位/部門最為貼切?
| 職位/部門 | 受訪者百分比 |
| IT | 65% |
| 網路安全/資訊安全 | 35% |
受訪對象: 262 位對其所屬企業的雲端基礎架構/架構擁有最終決策權的 IT 和安全專家
原文:Tenable 委託 Forrester Consulting 於 2023 年進行的研究
用哪個職稱來描述您在所屬企業中的職位最為貼切?
| 職稱 | 受訪者百分比 |
| 公司中最資深的 IT 或安全決策者 (例如 CIO、CISO、CTO) | 22% |
| 業務資安長 (BISO) | 3% |
| IT 或安全副總裁 | 40% |
| IT 或安全總監 | 35% |
受訪對象: 262 位對其所屬企業的雲端基礎架構/架構擁有最終決策權的 IT 和安全專家
原文:Tenable 委託 Forrester Consulting 於 2023 年進行的研究
您參與所屬企業中 IT/安全策略以下領域的制定、管理和/或建置的程度有多高?
| 領域 | 邊緣參與 | 適度參與 | 積極參與 |
| 預算 | 1% | 45% | 53% |
| 績效指標 | 0 | 40% | 59% |
| 業務策略 | 0 | 48% | 52% |
受訪對象: 262 位對其所屬企業的雲端基礎架構/架構擁有最終決策權的 IT 和安全專家
原文:Tenable 委託 Forrester Consulting 於 2023 年進行的研究
降低雲端安全風險的四項建議
若要保護複雜的雲端基礎架構,您需要解決各種人員、流程和技術挑戰。 以下是協助您入門的四項建議:
- 瓦解彼此不互通的系統。 制定計畫以標準化各個業務部門的雲端安全,提供可供安全、IT、DevOps 和 DevSecOps 團隊使用的單一參考點。 您能否快速確定整個企業中使用者、系統和資產之間的關係,以便實際辨識和解決其曝險問題? 或者,彼此不互通的系統是否構成了障礙,妨礙您有效地將這類資料整合至雲端安全做法中? 標準化有助於盡可能地減少 IT、安全和開發團隊之間的摩擦,並確保根據每個人皆能理解的準確建議快速做出決策。
- 以視覺化方式對應攻擊破綻。 瞭解您擁有哪些雲端資產只是一個開始。 您需要瞭解網路上每項資產的設定、數位身分和相關權限。 只有透過檢視資產、設定和身分的背景資訊,您才能獲得執行精確分析所需的能見度,進而使安全團隊能夠提供有針對性的建議以降低風險。
- 解決多重雲端挑戰。 Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和 Microsoft Azure 等每個主要的公用雲端提供者皆以不同的方式管理和設定雲端元件,導致持續安全監控出現不一致的情況。 因此,目標將著重於將所有公用雲端提供者的資訊整合至統一的監控和管理空間中。 這需要瞭解發揮作用的各種機制,包括雲端供應商的基礎架構和權限模型,並可以協助您為全面和精確的修復建議奠定基礎。
- 尋求自動化解決方案。 自動化雲端安全解決方案可協助您持續分析企業所面臨的風險,並以簡單、可使用且可操作的方式呈現調查結果,而無需團隊具備深厚的技術知識。 自動化安全工具使團隊能夠在複雜的情況下瞭解、調查和因應風險。 透過正確的自動化解決方案,您可以:全面掌握您的雲端資產、使用者和設定;將所有公用雲端提供者的資訊整合至統一的監控和管理空間中;並根據風險嚴重性確定優先順序和修復措施。 對於資源匱乏的安全團隊而言,自動化可以發揮戰力倍增器的效果。
在尋找合適的雲端安全解決方案時,企業應專注於能夠降低複雜性和風險的解決方案。 正確的雲端安全解決方案應該簡潔易用,並標準化各個業務部門的雲端安全。 強大的解決方案可以擔任顧問的角色,提供對需要立即關注的弱點或錯誤設定的見解。 同時還提供背景資訊豐富的風險優先順序和可據以採取動作的見解,以便做出有關緩解措施的明智決策,以及自動化和加速修復的工具。
相關文章
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
Cybersecurity Snapshot: Cyber Agencies Offer Secure AI Tips, while Stanford Issues In-Depth AI Trends Analysis, Including of AI Security
April 19, 2024Check out recommendations for securing AI systems from the Five Eyes cybersecurity agencies. Plus, Stanford University offers a comprehensive review of AI trends. Meanwhile, a new open-source tool aims to simplify SBOM usage. And don’t miss the latest CIS Benchmarks updates. And much more!
Cybersecurity Snapshot: CISA Says Midnight Blizzard Swiped U.S. Gov’t Emails During Microsoft Hack, Tells Fed Agencies To Take Immediate Action
April 12, 2024Check out CISA’s urgent call for federal agencies to protect themselves from Midnight Blizzard’s breach of Microsoft corporate emails. Plus, a new survey shows cybersecurity pros are guardedly optimistic about AI. Meanwhile, SANS pinpoints the four trends CISOs absolutely must focus on this year. And the NSA is sharing best practices for data security. And much more!
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Cloud
- Cloud
- Exposure Management