Tenable 雲端安全研究報告指出，有高達 95% 的受訪企業在過去 18 個月內曾遭遇過雲端相關資料外洩事故

《Tenable 2024 年雲端安全展望》研究報告結果清楚顯示需要主動且健全的雲端安全。繼續閱讀以深入瞭解該研究的調查結果，包括雲端安全團隊面臨的主要挑戰、強化雲端基礎架構防護的策略，以及用來衡量成功與否的工具。

Tenable 日前發佈了《2024 年雲端安全展望》報告，這是我們就企業對保護其公用雲端環境安全的見解和經驗的年度評估。該報告調查了 600 名北美及歐洲的雲端安全專業人員的意見，探討令受訪者困擾的問題、受訪者應對這些挑戰時設定的優先順序，以及用來衡量成功與否的工具。我們希望該報告可協助您瞭解其他同業如何應對複雜的雲端環境，以利您規劃有效的策略途徑，守護自身雲端的安全。

以下是報告的關鍵要點說明。

雲端資料外洩無所不在，罪魁禍首正是不安全的身分

這份研究每年會調查有多少受訪者受到雲端相關資料外洩事故的影響。我們總是很樂觀。人們也許會認為，隨著雲端安全意識及多樣化工具的大幅增長，應該會使得發生資料外洩事故的趨勢有所下降，或至少產生一些防禦力。很遺憾地，我們發現受訪的 600 間企業當中，仍有高達 95% 的企業在過去 18 個月內遭遇過雲端相關的資料外洩事件，這個數字令人感到不安。多少可以預見的是，在這之中有 92% 的受訪者表明有敏感資料曝光，且大多數的企業坦承因資料曝光受到傷害。

既然雲端資料外洩似乎已無可避免，理所當然地，雲端安全平台除了標識出脆弱的入侵點以外，還要能做到在一旦發生駭客入侵時，將其造成的傷害降到最低。因此，我們很好奇在雲端安全專業人員的心目中，什麼才是最大的風險來源，是工作負載弱點、勒索軟體攻擊，還是第三方存取呢？他們的想法跟業界最近的理解不謀而合：受訪者把不安全的雲端身分及錯誤設定列為其首要安全風險，而且有 99% 遭遇過雲端相關資料外洩事故的企業，將最大主因歸咎於不安全的身分。

我們深入去瞭解就身分和存取方面，企業察覺到不安全的身分和存取管理 (IAM) 是雲端安全的最大公敵之餘，是否有對此採取實際作為。受訪者在這點的表現十分亮眼，許多人優先採行零信任、存取監管和 Just-In-Time 存取 (JIT) 措施，設法將權限降至最低。

更多主要研究結果

該報告主要從三個角度切入剖析雲端基礎架構的安全防護，特別是對資源存取的監管：

• 實在太困難了。我們請企業細分他們在建置雲端安全計畫時遇到的主要障礙、挑戰和風險。
• 重中之重。我們瞭解在眾多的安全面向和措施當中，哪些會是企業今年優先考量的重點，且該優先順序是否與它們報告的首要風險相契合。
• 測量數據不會說謊。 績效指標與評估雲端安全的進度和成熟度息息相關，也是決定是否要花預算續約或換用新的解決方案的重要依據。我們調查企業目前使用的測量工具，且其中又以哪些工具最為常用。

其他重要的調查結果包括：

• 欠缺修復能力是能否建置新的雲端安全功能的最大阻礙。
• 欠缺雲端安全專業知識不只是「分析師的說法」，而是會讓企業置身於風險之中的現實問題。
• 對於企業內的雲端安全責任歸屬劃分存在很大程度的不確定性。

地區性差異

調查結果呈現若干地區性差異，包括哪個地區更傾向於表明從未經歷過雲端相關的資料外洩事故 (劇透：北美)。此外，我們發現資料外洩原因也存在地區性差異。相較於北美同業，歐洲企業更常將雲端資料外洩事故歸咎於過高的權限及難以偵測到有害組合。

有關 DevOps 團隊是否會影響受訪者能否建置新的雲端安全功能，這方面也呈現出地區性差異。與歐洲受訪者相比，明顯有更多的北美受訪者表示 DevOps 團隊擔心安全防護工作可能會中斷其工作流程，這一點確實會妨礙到雲端安全的建置。

取得報告！

希望這篇部落格能夠引發您對雲端安全見解及最佳實務的興趣。誠邀您下載此報告，它可以提供您：

• 瞭解雲端相關資料外洩的普遍情況，以及除了曝光敏感資料外，還造成多大程度的不良影響
• 瞭解全球和地區雲端安全專業人員關注的痛處和障礙，以及大家共同面對的問題
• 深入洞悉其他人優先解決哪些問題，幫您迅速釐清優先順序，提升雲端安全防護工作的效率

深入瞭解：

• 下載《2024 年雲端安全展望》報告
• 參加網路研討會：「Tenable 分享 2024 年的雲端安全展望：瞭解障礙和優先順序就等於成功了一半」
• 閱讀「AWS、GCP 與 Azure 的全方位安全防護」白皮書