《2022云安全风险和合规性报告.docx》由会员分享,可在线阅读,更多相关《2022云安全风险和合规性报告.docx(24页珍藏版)》请在优知文库上搜索。
1、云安全风险和合规性报告目录1 .调研的开展和方法论6LI研究目的62 .概要7关键发现17关键发现28关键发现39安全部门仍然在努力对齐安全方针及(或)方针落地9部门间在安全方针和执行方面的一致性对主动安全至关重要103 .云安全程序的当前状态H3.1 使用共有云提供商113.2 公有云的年度预算113.3 3对抗云安全漏洞的总体信心水平123.4 对防御云漏洞威胁的能力充满信心123.5 5解决安全问题的障碍133.6安全方针制订与落地执行的跨部门协作133. 7度量安全性和合规性状况144.正在使用的云安全工具144. 1用于云安全的解决方案144. 2对云服务提供商安全解决方案的满意度1
2、54. 3使用托管服务提供商155. 云安全状态管理155.1 识别配置不当155 .Ll负责检测、跟踪和报告配置不当的团队156 .1.2云配置不当的原因165.1.3检测到配置不当的流水线交付阶段175.2因配置不当造成的破坏和事件185.2.1 设计用于管理云配置不当的安全性和合规性标准185.2.2 防止或修复云配置不当的障碍185.3治理与合规195.3.1 设计用于管理云配置不当的安全性和合规性标准195.3.2 跨团队和组织执行标准195.3.3 平衡安全性与项目交付205. 4解决配置不当的解决方案205.1.1 负责纠正配置不当的小组205.1.2 修复配置不当的流水线过程阶
3、段215.1.3 修复配置不当的时间215.1.4 改进解决安全性或合规性配置不当的方法组织中最常见的方法225.1.5 使用自动修复的障碍226.人口统计资料236. 1组织行业236.2组织规模236.3工作等级236.4组织公有云支出246.5公司部门主要工作241.调研的开展和方法论云安全联盟(CSA)是一个非营利组织,其使命是广泛推广最佳实践,确保云计算和IT技术中的网络安全。CSA还负责教育这些行业内的各种利益相关者(涉及所有其他形式计算中的安全问题)。CSA的成员是由从业者、公司和专业协会组成的广泛联盟。CSA的主要目标之一是开展调研评估信息安全趋势。这些调研有助于衡量信息安全技
4、术在行业内各方面的成熟度,以及安全最佳实践的采用率。VMWare的QOUdHea1th为了增加业界对公有云安全的了解,委托CSA开展一项调查并编写这份调查结果报告。CIoUdHeaIth为该项目提供资金,并与CSA一起参与制定针对云安全的调查问题,从而共同制定了该倡议。该调查由CSA于2021年5月至2021年6月在线进行,收到1090份来自不同组织规模和地点的IT和安全专业人士的答复。数据分析由CSA的研究团队进行。1.l研究目的本调研的目的是评估组织在降低配置不当导致的公有云安全和合规风险方面的准备度。主要研窕课题包括: 云安全计划的现状,包括最主要风险和安全工具的使用情况。 组织在缓解配
5、置不当导致的漏洞方面面临的云安全态势管理(CSPM)挑战。 组织准备情况、成功关键绩效指标(KPI)以及负责云安全态势管理不同方面的团队。2.概要云配置不当一直是使用公有云的企业最关心的问题。这种错误会导致数据泄露,允许删除或修改资源,导致服务中断,并对业务运营造成严重破坏。最近,由于配置不当导致的漏洞成为头条新闻,为了更好地了解云安全计划的现状、用于减轻安全风险的工具、企业的云安全态势以及企业在减少安全风险方面面临的障碍,我们进行了这项调研。关键发现1知识和专业技能匮乏不断困扰着安全团队知识和专业技能匮乏是信息安全行业内众所周知的问题。亳不奇怪,知识匮乏和专业技能被一致认定为: 通用云安全的
6、主要障碍(59%) 配置不当的主要原因(62%) 主动预防或修复配置不当的障碍(59%) 实施自动补救的主要障碍(56%)这些发现突出了“知识匮乏”对安全团队可能产生的涓滴效应。它首先是实施有效的云安全措施的一般障碍,导致了错误的配置,这是数据泄露的主要原因。但它也阻碍了安全团队实施解决方案,如自动修复,这些解决方案可以补充知识和技能的不足。通用云安全的主要障碍主动预防或修复配置不当的障碍配置不当的主要原因实施自动补救的主要障碍关键发现2信息安全及IT运营团队对降低云配置不当风险承担责任每年都有由于配置不当而导致的数据泄密事件,涉事公司也因此上了新闻头条;因此很多公司都把配置不当风险当成首要关
7、注点。很多公司没有处理好配置不当风险的可能原因之一就是,对潜在配置不当问题的发现、监控、及追踪,IT运营及信息安全团队承担主要责任(信息安全54%,IT运营33%)同样两团队对问题的修复也需要承担主要责任(信息安全36%,IT运营34%),公司没有将这些责任分担给其他团队,比如DeVoPS或应用工程团队,这些问题可能就是这些团队产生的,从而更加适合直接修复这些错误。基于这个原因,公司就需要将问题修复的职责转移给DeVoPS及应用工程团队,这样可以更好的管理配置不当风险。另外,很多公司表明由于配置不当而导致安全事件的主要原因是“缺乏可见性“(68%),公司在选择工具的时候,下面三种功能同样重要:
8、 提高可见性 有效的风险管理 自动化这些功能将帮助企业快速识别及修复配置不当问题,不管是哪个团队对此负责。其他IT运营信息安全其他不确定DevOpsIT运营应用工程哪个团队主要负责确保云配置不当问题被修复?信息安全哪个团队主要负责公司云配置不当问题的发现、追踪及汇报等工作?关键发现3DevSecOps方式对安全部门仍然遥不可及安全部门仍然在努力对齐安全方针及(或)方针落地DevSecOps及安全左移等话题在安全行业越来越热,虽然这些转型将会导致一个更牢固、更安全、更有弹性的应用,但很多组织在落地这些方针时还是很困难。他们甚至在跨部门之间对安全方针及方针落地达成共识方面都较吃力。只有三分之一的组
9、织能成功实施这些转型。部门之间缺乏共识将会导致文化差异,也就是不同的领导有不同的优先级,经常会发生的情况是,这些问题将会先从领导开始,然后蔓延到他的团队。部门之间缺乏共识的一个解释是对前面的关键问题点缺乏知识。如果部门对DeVSeCOPS的战略及最佳实践都没有足够的知识,那将很难在关键问题上达成共识。另外同样值得注意的是,尽管有近70%的组织在对安全方针及方针落地上对跨部门间达成共识存在困难,但只有39%的组织认为这是解决安全问题的最大障碍。所以这些部门可能遇到更多的根本问题,这些问题将会阻碍DeVSeCOPS或安全左移模型的落地。安全,IT运营、及开发团队对安全方针和落地方针的关系没有对安全
10、方针及落地方针进行 达成共识对安全方针达成共识,但没有对落 地方针达成共识30%对安全方针及落地方针已经达成 共识部门间在安全方针和执行方面的一致性对主动安全至关重要如果组织能够在部门之间获得关于安全方针和执行方针的一致性,并且正在转向DeVSeCOP方法,那么就能够更好地处理配置错误。这些组织更有可能在错误发生一天内检测到错误配置(完全一致-56%,部分一致-41%,没有一致-31%),也更有可能峨傩猊置不当一天型怔这个错误(完全一致-51%,部分一致-24%,没有一致-19%)。由于配置不当是导致据数据泄露的主要原因之一,检测和纠正这些错误的时间越短,企业总体上就越安全。很明显,这种对De
11、VSeCoPS方法的协作和进步是组织解决配置不当的关键,而且也减少了数据泄露或其他重大安全事件的风险。在一天内检测配置不当与安全方针保持一致并且强制执行与安全方针保持一致但没有强制执行没有与安全方针保持一致而且没有强制执行与安全方针保持一致并且强制执行与安全方针保持一致但没有强制执行在一天内纠正配置不当没有与安全方针保持一致而且也没有强制执行3 .云安全程序的当前状态3.1 使用公有云提供商市场上还没有一个占主导地位的公共云平台,但是AmaZOn Web Services (AWS)、Microsoft AZUre和谷歌云平台(GCP)仍然是主要的公共云提供商。在这项调研中,74%的受访者使用
12、AWS,79%使用AZUre,用GCP79%74%MicrosoftGoogle CloudPlatform (GCP)Alibaba Cloud6%: IBMAzureAmazon WebServices(AWS)8%-1 Oracle3.2 公有云的年度预算参与者之间云预算差异很大。然而,最常见的三个回答都在150万美元以下。$0-$250,000”占22%,“$500,001$1,500,000”占15%和$250,0Ol-$500,000占13%。不确定的人也占显著比例(16%).3.3 对抗云安全漏洞的总体信心水平为了评估受访者对其组织安全计划的信心,受访者被要求评估他们对组织防御及
13、处置云安全漏洞的能力的总体信心水平。大多数受访者表示“一般有自信(42%)或非常有信心”(31%)。非常有信心很有信心完全没信心有点信心一般有信心身份和访问管理3.4 对防御云漏洞威胁的能力充满信心受访者对其组织在不同领域抵御威胁和漏洞的能力的信心水平,平均处于居中水准。不同类别选项之间的置信水平差异很小。其中,信心水平最高的“合规与监管”和次高的“网络”,也仅是略高于“错误配置”选项。缺乏技能和专业指示59%有限的预算和人力资源56%难以管理复杂的云环境41%缺乏内部一致性或支持39%缺乏对云环境的可见性38%安全工具不足3.5解决安全问题的障碍解决安全问题的主要障碍并不令人意 外,缺乏技能
14、和专业知识 (59%)和“预算 和人力资源有限”(56%)。这两个问题已经 困扰了行业一段时间,并且与其他选项密 切相关。这表明预算、人员配备和专业知 识的问题可能掩盖了其他关键问题,例如 “缺乏可见性”和“安全工具不足”。26%3.6 安全方针制订与落地执行的跨部门协作DeVSeCoPS和“安全左移”-成为安全行业中的流行概念。然而,对于许多组织来说,这些概念的落地执行仍很难把握。只有31%的人反映他们的内部团队能在安全方针制订和执行上保持一致。“内部缺乏支持的一致性“可能是由于不同部门间的文化差异,例如不同的目标优先级。另一方面也可能是“缺乏相应的专业知识”,这也是上一个问题中提到的。还值得注意的是,尽管大约70%的组织致力于“安全方针和执行方面获得跨部门的一致性”,但只有39%认为这是解决安全问题的主要障碍。止匕外,在安全方针及落地执行上跨部门协作性更好的受访者更高概率反馈他们对自己抵御安全漏洞的能力“非常有信心”或“非常有信心”(非常有信心:完全一致-15%,部分对齐-2%,不对齐-1%:非常有信心:完全对齐-49%,部分对齐-27%,不对齐-16%)o综上,我们可以得出结论,“内部一致性”是希望改善云安全状况的组织应关注的关键决定因素和基线要求。3.7 度量安全性和合规性状况组织用来度量其安全性和合规性状况的指标视