云安全調(diào)查:過去一年半80%的企業(yè)遭受云數(shù)據(jù)泄露
責編:gltian |2020-06-04 13:42:22IDC的一項調(diào)查顯示,云安全問題正在急劇惡化,在過去的18個月中,近80%的公司至少經(jīng)歷了一次云數(shù)據(jù)泄露,而43%的公司報告了10次或更多泄露。
根據(jù)參與調(diào)查的300位CISO的反饋,安全相關(guān)的配置錯誤(67%),對訪問設置和活動缺乏足夠的可見性(64%)以及身份和訪問管理(IAM)許可錯誤(61%)是他們最關(guān)注的云生產(chǎn)環(huán)境安全問題。
同時,有80%的人報告他們無法識別IaaS / PaaS環(huán)境中對敏感數(shù)據(jù)的過度訪問。根據(jù)2020年Verizon數(shù)據(jù)泄露報告,在數(shù)據(jù)泄露的根源方面,只有黑客攻擊排名高于錯誤配置錯誤。
盡管接受調(diào)查的大多數(shù)公司已經(jīng)在使用IAM、數(shù)據(jù)防泄漏、數(shù)據(jù)分類和特權(quán)帳戶管理產(chǎn)品,但仍有超過一半的公司聲稱這些產(chǎn)品不足以保護云環(huán)境。
事實上,三分之二的受訪者將云原生授權(quán)和許可管理,以及云安全配置列為高度優(yōu)先事項。
訪問授權(quán)過度容易被忽視
公共云基礎架構(gòu)部署的動態(tài)和按需特性往往會導致用戶和應用程序積累超出其合法需求所需的訪問權(quán)限。
此外,當將新資源或服務添加到云環(huán)境時,默認配置通常會授予過多權(quán)限,這也往往容易被忽視。但這些都是攻擊者的主要目標,因為它們可用于惡意活動,例如竊取敏感數(shù)據(jù),傳播惡意軟件或造成破壞,例如破壞關(guān)鍵流程和業(yè)務運營。
作為研究的一部分,報告調(diào)查了來自不同行業(yè)的300名安全主管和IT決策者,行業(yè)分布如下:銀行(12%)、保險(10%)、醫(yī)療保健(11%)、政府(8%)、公用事業(yè)(9%)、制造業(yè)( 10%)、零售(9%)、媒體(11%)、軟件(10%)和制藥(10%)領(lǐng)域。組織規(guī)模從1,500名到20,000多名不等。
該報告的主要發(fā)現(xiàn)包括:
- 在過去18個月中,有79%的公司至少發(fā)生了一次云數(shù)據(jù)泄露事件,而43%的公司表示他們擁有10個或更多數(shù)據(jù)泄露事件
- 前三大云安全威脅是生產(chǎn)環(huán)境的安全性配置錯誤(67%),生產(chǎn)環(huán)境中的訪問權(quán)限缺乏可見性(64%)以及IAM和權(quán)限配置不正確(61%)
- 云安全的三大優(yōu)先事項是合規(guī)性監(jiān)視(78%),授權(quán)和權(quán)限管理(75%)和安全配置管理(73%)
- 云訪問安全的首要任務是維護敏感數(shù)據(jù)的機密性(67%),法規(guī)遵從性(61%)并提供正確的訪問級別(53%)
- 首要的云訪問安全挑戰(zhàn)是個人/專業(yè)知識不足(66%),集成不同的安全解決方案(52%)和缺乏能夠滿足其需求的解決方案(39%)
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧