过去几年,云安全领域暴露出很多问题,也发生了一些安全事件:AWS经历了3次以上的严重中断,导致Roku、DeltaAirLines、Disney+等知名网站数小时无法使用;微软的一个高危安全漏洞(称为“NotLegit”)暴露了数百个源代码存储库……云服务提供商中断、敏感数据泄露、云资产漏洞以及涉及使用公共云环境的违规行为比比皆是。但即使存在所有安全问题,我们仍然看到将工作负载迁移到云、在云中构建新应用程序以及订阅各种SaaS和其他云服务的快速增长趋势。近日,研究机构SANS发布《2022年云安全调查报告》(以下简称“报告”),旨在帮助全球企业组织了解安全团队在云中面临的威胁、如何使用云以及我们采取哪些措施可以采取改善云中的安全状况。报告发现,目前无论是管理团队的知识水平,还是来自云安全领域的供应商及其提供的工具和服务都有一定程度的提升。但总体而言,进展缓慢。组织需要更好的自动化功能来跟上快速迭代的服务,以及更好的集中式工具和服务来应对不断变化的云威胁环境。报告还发现:Serverless已经超越基础设施即代码(IaC),成为排名第一的安全自动化技术;超过一半的受访者将内部身份目录与基于云的目录服务同步,以实现更强大的云身份管理和账户控制;与2021年相比,这是一个令人惊讶的变化,当时更多的受访者表示他们对获取用于取证的日志和系统信息不满意。云使用模式在云使用模式中,业务应用程序和数据以68%位居榜首,连续第三次位居榜首;其次是备份和灾难恢复,占57%,而它在2021年的调查中仅排名第四,这一改善可能是由勒索软件攻击推动的;安全服务(54%)和数据存储和归档(42%)今年分别排在第三和第四位,这可能也是受到云使用和勒索软件攻击增长的推动(详见图1)。图1:公共云中各种应用程序和服务的百分比今年的调查还显示,组织正在使用的公共云提供商的数量与去年大致持平。2019年,响应最高的类别是2-3个供应商,这一数字始终保持一致。较小的组织仍然对转向多云部署犹豫不决,只有少数组织使用20多家云服务提供商,这也与我们之前的调查一致。有趣的是,只有3%的组织在2021年使用11-20个提供商,而这一数字在2022年跃升至9%。2021年,略高于16%的组织使用4-6个提供商,到2022年这一数字已增长到23%(见图2)。图2:正在使用的公有云提供商组织数量分布(CASB),较2021年的43%有了显着增长。49%的受访者组织正在利用云网络访问服务;46%的受访者还使用联合身份服务来帮助将用户访问和授权集中到云应用程序中。虽然没有多少组织采用多云代理来集中访问平台即服务(PaaS)、基础设施即服务(IaaS)和其他服务提供商环境,但这一数字将从2021年的18%增长到2022年将达到25%。较新的安全访问服务边缘(SASE)类别将众多安全服务组合到一个中央代理模型中,并获得了18%的采用率。云中的担忧、风险和治理对于托管在云中的敏感数据类型,商业智能(46%)从去年的第二位下降到今年的第三位。2022年数据类型最高的是金融业务数据,占比54%;而员工数据在2021年以53%排名第一,今年以49%排名第二。总的来说,这里的总体趋势与我们之前观察到的趋势非常相似,尽管数据类型发生了一些变化。大约一半的组织愿意将所有类型的敏感数据存储在云端,尽管某些受到更严格监管的数据类型相对较低,例如客户支付卡信息仅占22%,医疗信息占23%(见图3)).图3:云中敏感数据类型的分布“是”,高于2021年的55%。对于某些数据类型(尤其是消费者个人数据),组织需要确保其云提供商能够充分满足隐私合规性要求。这种增长趋势与去年相比,这种情况很可能会持续。在“云中最大的担忧”方面,外来者未经授权访问数据一直是过去几年的头等大事,但今年情况发生了很大变化,未经授权访问排名第四(51%),其次是未经授权的应用程序组件或计算实例(54%,第一)、错误配置的接口和API(52%,第二)和无法响应事件(51%,第三)。这种转变表明,组织越来越习惯于锁定其云环境,但现在比过去更关注影子IT和错误配置。“意识到”的最大担忧是云服务在需要时停机或不可用(32%)、缺乏技能和培训(31%)以及未经授权的外部访问(28%)。这些“先天性”的问题在整个行业中一直存在,并且存在了一段时间。我们推测,随着云环境不断发展并变得更加复杂,即使没有直接入侵,对云API和应用程序组件缺乏认识和可见性也可能会引发更多担忧。然而,入侵正在发生,并且对受访者无法管理入侵场景的高度关注可能仍然存在。有关顾虑和实际事件的完整细分,请参见图4。图4:“担忧”(蓝色)和“实际事件”(红色)的完整细分调查还显示,62%的受访者认为远程工作场景增加了云部署的风险和威胁,而29%的受访者受到影响受访者表示没有,大约10%的人不确定。在认为风险增加的受访者中,缺乏监督和监控能力被认为是最大的原因(35%),其次是远程用户入侵(33%)。其他原因包括配置错误(29%)和不成熟的控制和流程(20%)。云采用过程中的漏洞总是令人担忧,尽管存在担忧,但数据显示,已知漏洞的百分比在过去12个月内基本保持不变。约19%的受访者表示他们确实遇到过数据泄露,这与2021年的结果几乎相同。不过,这个比例可能会更高,因为与过去相比,现在“不确定”的比例明显增加了。2022年,21%的受访者“怀疑”他们可能遭到入侵但无法证明。一个比例是17%。帐户/凭据劫持(45%)和云服务/资源配置错误(43%)是今年最主要的违规行为,这一发现与前两次调查一致。2021年,第三大担忧是不安全的接口或API(36%),而利用这些API是今年的第三大担忧(34%)。拒绝服务(DoS)攻击从2021年的30%下降到26%(变化很小,但值得注意)。图5显示了云攻击所涉及因素的完整细分。图5:云攻击中涉及的因素分布这些变化可能反映了云不断变化的性质,以及我们可用的供应商和控制的成熟度。许多控制元素完全由公共云提供商管理,因此该层的攻击面大大减少。DDoS攻击仍在发生,但随着公共云提供商和第三方服务越来越受欢迎,并且DDoS保护在过去几年中得到改进,它们在入侵场景中似乎并不常见。然而,针对凭据的保护仍然不足,云资源的错误配置仍然是一个关键问题。云中的安全和治理随着云使用的增长,组织需要开发和增强他们的流程和治理模型。我们在这方面取得了进展:77%的组织制定了云安全和治理政策,而2021年这一比例为69%;15%。这表明组织正在稳步改进和加强其治理和政策举措,以与云提供商分担云安全责任。如果没有适当的监督和治理机制,许多云程序将继续受到影子IT、配置问题和云中缺乏可见性的困扰。在过去几年中,组织也一直在稳步实施一些最常见的云部署安全控制,现在许多也可以作为PaaS上的安全即服务(SecaaS)产品提供,而不是本地或直接管理的独立平台。/IaaS环境。与2021年一样,VPN(45%)仍然是实施最成功的内部管理工具,但管理传统VPN的组织比以前少了。2021年,网络访问控制、漏洞扫描和防病毒软件也被吹捧为组织内部管理的良好控制,但今年我们看到日志和事件管理以及多因素身份验证也有所增加。在今年的调查中,排名靠前的SecaaS服务是多因素身份验证和防病毒软件,而CASB实施则有所下降。云中控件的完整分布如图6所示。图6:云中控件的完整分布,集成管理控件(蓝色),SecaaS(红色),两者(绿色)数字大部分为正,表明云-基于SecaaS工具(这些服务中的大多数在2021年处于10-15%的范围内,现在有几个超过20%)和混合选项的使用有所增加。此外,云API的使用和集成也在增长。到2021年,51%的受访者表示他们正在利用云提供商API来实施安全控制(自动化和云安全成熟度的关键要素),高于现在的61%。对于那些使用这些API的人来说,最常见的控制是身份和访问管理(从2021年的第二位上升到第一位),其次是配置管理和日志记录,以及事件管理。图7详细介绍了完整的分布。图7:云安全控制和API集成功能的完整分布在大多数情况下,组织仍在内部管理许多控制,但这种情况正在慢慢改变。然而,组织已经成功地在传统的本地和云环境之间集成了一些控制,创建了一个混合云安全模型。在调查中,近67%的受访者认为他们的组织已成功集成防病毒软件工具(高于2021年的64%),63%的受访者认为他们的组织已集成多因素身份验证,53%的受访者认为漏洞管理已很好地集成到混合模型,大约51%的受访者相信他们已经集成了网络访问控制(高于47%)。显示出强大混合集成的其他技术领域包括EDR、加密和IDS/IPS。混合控制集成的完整分布如图8所示。图8:混合控制集成的完整分布,现在为蓝色,未来12个月为红色当被问及“他们计划在未来12个月内集成哪些控制时,”35%表示他们计划集成取证和事件响应(IR)工具,33%计划集成云风险评估工具,而事件管理和SIEM平台排在第三位。这表明组织更多地关注检测和事件响应,这长期以来一直是许多团队不成熟的控制和流程领域,但对云风险的高度关注表明企业还需要“以云为中心”的报告和控制分析.当被问及他们是否使用任何自动化和编排工具来改善他们的云安全状况时,大多数安全团队表示他们正在增加对自动化控制和监控策略的使用,这一趋势已经持续了数年。去年调查中最常用的工具是用于实现IaC的模板技术(AWSCloudFormation、AzureResourceManager模板、Terraform等)。这些IaC工具在今年的调查中仍然大量使用(54%),但已被无服务器技术(55%)取代。总体而言,自动化和编排工具的使用全面增加,随着组织提高云部署的速度和效率,这一趋势预计将持续下去。有关当今使用的自动化/编排工具/方法的完整细分,请参见图9。图9:用于自动化/编排工具/方法的完整细粒度云身份和访问管理(IAM)利用云中的身份功能和工具。”超过一半(53%)的受访者将ActiveDirectory等身份存储同步到云目录服务,实现与其他云服务的联合,并在控制用户对云资产的访问方面变得更加灵活。大约38%的受访者将身份映射到云提供商提供的身份,超过三分之一的受访者使用身份即服务(IDaaS)用于联合和单点登录(SSO)。其他人利用本地身份套件进行混合云集成或利用IAM策略来控制云中的对象访问和行为(详情请参见图10)。图10:分布受访组织在云中使用身份功能和工具的方式
