2023云上数据安全重要事项

442023云上数据安全重要事项PAGEPAGE7目录调查的创建和方法 8研目标 8重要发现 9重发现1： 9重发现2： 10重发现3： 11重发现4： 11概述 12敏感数据 16暗数据 18数据泄露 21监管合规 22人口统计 23调查的创建和方法云安全联盟(CSA)是一个以广泛推广在云计算和IT技术领域保障网络安全最佳实践为使命的非营利性组织。CSA还向行业中利益相关者们针对各类其他计算形式的安全问题提供教育。CSA会员是由行业从业者、企业和各专业团体所组成的多领域联盟。CSA的主要目标之一是开展评估信息安全趋势的调查，这些调查提供了有关组织当前在信息安全和技术方面的成熟度、意见、兴趣和意图等信息。BigID委托CSA进行了一项调查和报告，以便更好地了解业界对云数据安全的认知、态度和意见。BigID资助该项目并联合CSA研究分析师共同制定了调查问卷。CSA于2022年7月通过线上开展这项调查，收到了1633份回复，分别来自于不同规模、不同地点组织内的信息技术和安全专业人员。CSA的研究分析师对这份报告进行了数据分析和说明。研究目标本研究目标是理解以下内容：重要发现重要发现1：各组织正在努力保护和跟踪云上的敏感数据总体而言，组织对其在云上保护数据的能力缺乏信心，报告显示，39%的组织有较高的信心。超过一半的组织(57%)组织在云上保护数据能力的信心度 在您看来，您的组织中有多少敏感数据是在云上得到了充分保护的？除了努力保护敏感数据，组织还在努力跟踪云上的数据。超过四分之一的组织没有跟踪受监管的数据，近三分之一的组织没有跟踪机密数据或内部数据，45%的组织没有跟踪未分类数据。这表明，组织目前对数据进行分类的方法不足以满足他们的需求。对于SaaS平台，76%的组织将跟踪数据的困难级别评为中级到高级。只有7%的组织表示跟踪数据根本不是问题。当考虑到组织在SaaS平台中拥有的敏感数据量时，数据跟踪的难度尤其令人担忧。9%能够更好地跟踪其数据。SaaS平台中跟踪数据的难度构成级别 云上被跟踪的数据重要发现2：第三方和供应商对敏感数据的访问权限与员工权限相似。（58%）2/31010重要发现3：暗数据问题源于人员配置问题和部门间的冲突(79%)(50%)、缺(47%)(44%)。重要发现4：大多数安全专业人士认为，他们的企业明年将会遭遇数据泄露。62%的组织称他们在未来一年某种程度上极有可能遭遇云数据泄露。鉴于在过去的12个月里有大量的组织遭遇过云数据泄露事件，人们对未来12个月发生的未遂泄露有更大的担忧是有道理的。对于过去12个月没有遭遇过入侵的组织，22%的受访者表示，未来12个月发生入侵的可能性非常小。经历过数据泄露的组织认为，数据泄露的可能性更大，只有8%发生过泄密的组织受访者表示未来12个月内发生数据泄露的可能性很小。组织的一个关键步骤是锁定第三方对敏感数据的访问。组织还需要继续为其复杂的云环境(例如多云和混合云)确定跨平台支持的优先顺序，以确保所有环境的安全性。1111PAGEPAGE12概述用于数据存储的IaaS和PaaS平台数量绝大多数(86%)的组织利用多个云平台存储数据。大多数组织使用2个(35%)或3个(37%)IaaS或PaaS云平台来存储数据。只有12%的组织使用了1个云平台。数据保护策略45(32%)(31%)(18%)(19%)(19%)云数据安全使用的服务类型（57%）（58%）

选择第三方云数据安全供应商的驱动力对于使用第三方服务实现云数据安全的组织来说，他们选择供应商时考虑的前三个因素是功能和特性（52%）、成本（41%）和跨平台支持（41%）。这表明，选择第三方服务的组织正在寻找更具成本效益或电信运营商不能够提供的附加功能。此外，多云和混合云环境的应用使组织关注于跨平台支持。应用的数据安全功能（48%）、（42%）（42%）（41%）。高优先级数据安全产品功能在组织使用的数据安全功能中，最优先的功能是云数据安全（26%）、持续监控/学习（18%）、数据检查和检测（16%）以及云工作负载安全（16%）。这些结果遵循与组织通常使用的数据安全特性类似的模式。1414当前的数据互操作性方法总体而言，组织倾向于采用特定API的方法（59%）来实现数据互操作性，而不是平台无关（41%）。组织似乎对他们的方法感到满意。当被问及数据互操作性的理想方法时，回答基本相同，组织大都倾向于API特定的方法（59%），而不是平台无关的方法（41%）。组织需要能够轻松集成其当前解决方案并利用开放API的工具。数据互操作性的当前方法组织数据互操作性的理想方法1515PAGEPAGE16敏感数据对保护云上数据能力的信心(40%)(35%)和员工(34%)。云上敏感数据具有足够安全性的比例分布40%50%4%96%组织给予员工和供应商对敏感数据几乎相同级别的访问权限。特别结合最近热门的供应链攻击事件，表明第三方合作伙伴和供应商对组织敏感数据有过高的访问权限。组织应该敏锐地掌握谁可以访问以及他们可以访问什么，以防止无意识的信息泄漏。暗数据追踪云上数据组织正在努力追踪云上数据。超过四分之一的组织没有对受监管的数据进行追踪，近三分之一的组织没有对机密的或内部数据进行追踪，45%的组织没有对未分类数据进行追踪。这表明，组织目前的数据分类方法不能满足他们的需求。暗数据百分比51%1818SaaS平台追踪数据的难度等级SaaS76%7%(91%)(例如，SaaS)SaaS对暗数据扩散的担忧程度SaaS19捕获暗数据的优先级尽管存在困难，但组织对暗数据的担忧促使他们优先捕获暗数据。82%的组织表示这是中到高优先级的工作。组织似乎了解暗数据给其组织带来的安全、隐私和合规风险、成本和竞争劣势，更多的组织需要考虑使用数据发现工具来遏制暗数据问题。捕获暗数据的首要障碍组织捕获暗数据的三大障碍与人员配备直接相关：缺乏技能/知识（50%）、缺乏部门间合作（47%）和缺乏人手（44%）/2020数据泄露过去12个月的云上数据泄露近一半(49%)的组织表示过去12个月发生过云上数据泄露事件。考虑到他们对保护云上数据能力的高度自信，现实情况似乎更加严峻。这可能是由于组织使用云环境越来越复杂，使得制定通用数据安全战略更加困难。在未来12个月，发生云上数据泄露的可能性数据泄露的影响2121PAGEPAGE22监管合规监管合规的难度无论环境如何，合规性都会给组织带来一定程度的挑战。本地部署的合规挑战仅仅略低于云服务或内部自研的应用程序。第三方供应商进行安全合规认证的重要性关于第三方供应商的安全合规认证，无论何种类型的认证，大多数认证对于组织重要性都处于中等