信息來源：比特網(wǎng)

近日，全球領(lǐng)導(dǎo)廠商賽門鐵克公司發(fā)布一項針對企業(yè)安全現(xiàn)狀的全新調(diào)研報告。該報告覆蓋全球11個市場，共邀請1,100 名首席信息安全官參與調(diào)研。報告結(jié)果顯示，云安全是中國首席信息安全官(CISO)最擔(dān)憂的挑戰(zhàn)。不僅如此，中國首席信息安全官更關(guān)注自身企業(yè)是否擁有快速應(yīng)對網(wǎng)絡(luò)攻擊的能力。

毫無疑問，云計算擁有諸多優(yōu)勢，吸引越來越多行業(yè)的關(guān)注，例如卓越的可擴展性、更短的上市時間、更低的成本費用，以及出色的工作效率。但這一領(lǐng)域同樣吸引著網(wǎng)絡(luò)罪犯的目光。這個全新的無邊界基礎(chǔ)架構(gòu)在網(wǎng)絡(luò)攻擊者眼中成為一座潛在的金礦。

針對云的攻擊范圍不斷擴大

賽門鐵克的調(diào)查顯示，云安全成為中國CISO所面臨的棘手問題。絕大數(shù)的CISO(92%)都認為，確保云應(yīng)用符合合規(guī)要求是他們所面臨的最大的工作壓力之一。在行業(yè)合規(guī)性方面，中國CISO最擔(dān)心自身企業(yè)是否能夠充分跟蹤已批準的云應(yīng)用中的活動(29%)，以及公司員工是否使用未被批準的云應(yīng)用(23%)。

此外，中國CISO針對云安全的擔(dān)憂還包括：在云應(yīng)用中廣泛分享合規(guī)所管控的敏感數(shù)據(jù) (21%)，對企業(yè)所屬移動設(shè)備的管理(16%) 以及遵守國家和地區(qū)特定的數(shù)據(jù)保留和管理條例(11%)。

隨著云應(yīng)用的廣泛部署，以及企業(yè)缺乏對高風(fēng)險用戶行為的深入了解，都進一步導(dǎo)致了更大范圍的面向云的網(wǎng)絡(luò)攻擊。根據(jù)賽門鐵克調(diào)研顯示，中國CISO預(yù)計，自身企業(yè)所使用的基于云的應(yīng)用中，平均30% 為未經(jīng)批準的應(yīng)用，或者為“影子應(yīng)用”。不僅如此，70%的受訪CISO認為，無論是有意還是無意的舉動，企業(yè)首席執(zhí)行官(CEO)在某些情況下可能破壞了企業(yè)的內(nèi)部安全協(xié)議。

賽門鐵克調(diào)研顯示，針對云安全話題，中國CISO在2017年最關(guān)注的企業(yè)外部威脅主要包括：數(shù)據(jù)泄露(30%)、系統(tǒng)漏洞利用(23%)、身份認證及證書破壞(20%)。除此之外，CISO最關(guān)注的內(nèi)部威脅包括：員工違反安全合規(guī)要求(26%)、不安全的企業(yè)應(yīng)用(22%)、數(shù)據(jù)丟失(21%)。

賽門鐵克大中華區(qū)首席運營官羅少輝

對端到端解決方案的需求

隨著企業(yè)愈加依賴云來改善協(xié)作和靈活性，中國首席信息安全官面臨越來越多的挑戰(zhàn)，例如，越來越難以對敏感的企業(yè)數(shù)據(jù)進行跟蹤，以及來自監(jiān)管要求的巨大壓力。賽門鐵克的調(diào)研顯示，為了加強信息安全，所有受訪的中國CISO(100%)表示，計劃在今年增加IT人員安全培訓(xùn)的支出，確保企業(yè)數(shù)據(jù)在本地系統(tǒng)、移動應(yīng)用和云服務(wù)之間傳輸?shù)陌踩?。新加入的IT員工在入職培訓(xùn)期間將接受平均13個小時的安全培訓(xùn)。 值得提出的是，中國CISO所計劃的支出高于所有其他受調(diào)研的國家。

對數(shù)據(jù)安全、滿足合規(guī)性和數(shù)據(jù)保留等方面的需求，促使中國CISO尋找加密(Encryption)和/或標記化(Tokenization)解決方案來支持企業(yè)的軟件即服務(wù)(SaaS)計劃。賽門鐵克的調(diào)查顯示，絕大數(shù)(98%)的中國CISO認為，云數(shù)據(jù)標記化是滿足數(shù)據(jù)保留和數(shù)據(jù)管理條例的最佳方式 —— 80%的受訪者表示使用標記化方法;77% 的中國CISO表示使用加密技術(shù)來保護云中數(shù)據(jù);60%的受訪者表示自身企業(yè)同時使用加密技術(shù)和標記化方法。 值得一提的是，與其他受訪國家相比，中國CISO采用標記化方法的比例更高。

網(wǎng)絡(luò)罪犯組織在進行犯罪活動時往往伺機而動，他們會利用合法的操作系統(tǒng)、工具和云服務(wù)中的漏洞來破壞企業(yè)網(wǎng)絡(luò)。為了有效地對抗這些犯罪行為，首席信息安全官需要擁有卓越的可見性和管控力，對用戶通過云上傳、存儲和共享的敏感內(nèi)容進行管理。出色的CISO不會依靠一次性修復(fù)和被動的補丁來保護機密，而是通過主動部署端到端解決方案來消除可被利用的潛在漏洞和威脅。

通過整體方案應(yīng)對云安全問題

在使用云服務(wù)時，如果企業(yè)不能確保部署有效的安全保護，則會導(dǎo)致更為高額的成本損失和潛在的業(yè)務(wù)損失，抵消云計算的各種潛在優(yōu)勢。在面對云安全問題上，企業(yè)需要一種新的整合型安全模式，為企業(yè)的關(guān)鍵資產(chǎn)、用戶和數(shù)據(jù)提供更加強大的保護、更出色的可見性和更高級別的管理能力。

在當下數(shù)據(jù)驅(qū)動時代，有效地應(yīng)對云安全問題能夠提高企業(yè)的運營效率，在確保企業(yè)關(guān)鍵信息得到安全保護的同時，使首席信息安全官更加從容地利用云計算的優(yōu)勢，駕馭數(shù)字的力量。