2024 年
雲端原生安全
現狀報告
生成式 AI 是突破性的力量,企業處於創新和風險的交會點,因此勢必因應難以想像的挑戰和機會。
2024 年雲端原生安全現狀報告 (「第四份年度報告」) 能夠透過揭示與 10 個國家/地區和 5 種產業的 2,800 多名雲端安全和 DevOps 專業人士討論中收集到的趨勢和見解,協助企業充分利用這一波的雲端安全轉型。請繼續閱讀,深入了解您的同行如何因應正在發生的一切變化。
AI:攻擊途徑或加速因素?
隨著 AI 持續發展,只有一件事可以確定:AI 將成為攻擊性武器。這就是為什麼 38% 的企業將 AI 支援的攻擊列為 2024 年最關切的問題,43% 的企業預測 AI 支援的威脅將成為常見的威脅途徑。
AI 生成的程式碼的安全風險
AI 支援的攻擊只是問題的一半。44% 的企業也同樣擔心與 AI 生成的程式碼有關的風險。自發建立的軟體和 AI 生成程式碼的快速開發增加安全缺陷不被發現的可能性,並對傳統的安全測試方法造成負擔。迎向未知
雖然企業面對 AI 時顯露出恐懼和謹慎,不過仍然抱持樂觀態度。全部受訪者都計劃採用 AI 輔助編碼,並將調整其安全方法來因應 AI 的問題。平衡工具、廠商和需求
雲端環境很快就會變得複雜,這早已不是什麼秘密。受訪者平均使用 12 個雲端服務供應商和 16 個雲端安全工具 — 這並不足為奇。其中 98% 的受訪者表示需要簡化和整合,並且強調減少使用的安全工具數量的重要性。
雖然複雜度一直是「雲端原生安全現狀報告」反覆探討的主題,不過在消除複雜度方面卻進展甚微。專用於雲端安全的工具數量比去年增加 60%。
雖然複雜度一直是「雲端原生安全現狀報告」反覆探討的主題,不過在消除複雜度方面卻進展甚微。專用於雲端安全的工具數量比去年增加 60%。
碎片化生態體系中的數據保護
數據安全性對許多企業來說是重大的挑戰,50% 的企業進行手動審查以識別雲端中的敏感數據並進行分類。這是棘手的問題,不僅因為手動審查耗時、容易發生錯誤且通常不完整,也因為手動審查會導致數據保護存在漏洞,讓企業容易遭受入侵。
更嚴重的是,98% 的企業跨多個環境儲存敏感數據。超過半數的受訪者將監控和控制敏感資訊的挑戰歸咎於如此的複雜度,48% 的受訪者聲稱執行的數據保護不夠充分。
在各個領域,安全事件逐年增加。近 50% 的企業報告稱,由於錯誤設定、合規性違規和不安全的 API,導致停機時間增加 (43% 的企業將 API 風險列為首要安全問題),而 64% 的企業則發現數據洩漏事件增加。
更嚴重的是,98% 的企業跨多個環境儲存敏感數據。超過半數的受訪者將監控和控制敏感資訊的挑戰歸咎於如此的複雜度,48% 的受訪者聲稱執行的數據保護不夠充分。
安全事件不斷增加
由於數據通常分佈在雲端環境中,因此大多數企業的攻擊範圍相當大。再加上缺乏全面的可視性,增加內部威脅的機會,因此 45% 的受訪者發現進階持續性威脅 (APT) 增加,這一點也就不足為奇。在各個領域,安全事件逐年增加。近 50% 的企業報告稱,由於錯誤設定、合規性違規和不安全的 API,導致停機時間增加 (43% 的企業將 API 風險列為首要安全問題),而 64% 的企業則發現數據洩漏事件增加。
解決協作問題從高層開始
雲端安全和應用程式開發之間的衝突可能始終存在,今年報告的結果也證實這一點。受訪者直陳本身面臨的挑戰,84% 的受訪者將專案時程的延誤歸咎於安全程序,83% 的受訪者將安全視為負擔,79% 的受訪者聲稱員工經常忽視或規避安全程序。
71% 的企業報告因倉促部署而導致的弱點,那又如何?大多數受訪者 (92%) 歸咎於低效率的開發和部署,71% 的受訪者歸咎於壓力,其中 93% 的受訪者提到高流動率。
積壓和指責
由於開發人員被迫儘快提供新功能、更新和錯誤修復,藉以達到業務目標,安全工作單不斷積壓,上市日期錯過,代罪羔羊文化持續存在。對此問題的意見回饋存在分歧 — 86% 的受訪者指責安全性阻礙軟體發佈,而 91% 的受訪者則表示開發人員需要編寫更安全的程式碼。71% 的企業報告因倉促部署而導致的弱點,那又如何?大多數受訪者 (92%) 歸咎於低效率的開發和部署,71% 的受訪者歸咎於壓力,其中 93% 的受訪者提到高流動率。
風險、現實與雲端安全策略
在解決安全錯誤和弱點時,工具問題是重大的挑戰。這種情況已經影響 40% 受訪者的開發程序,其中 33% 的安全從業人員將舊型安全工具歸因於本身無法掌握威脅途徑,並將警示干擾視為解決方案延遲的原因。
正是由於這些挑戰,效率和有效性的首要主題才成為外界關注的焦點。超過 90% 的受訪者聲稱,本身使用的大量單點工具不僅會形成盲點,也導致難以確定風險優先順序及防禦威脅。另外 88% 的受訪者很難確定本身需要什麼安全工具。所幸的是,團隊清楚本身需要什麼能力。將近 95% 的受訪者希望解決方案能夠立即提供補救步驟,幾乎同樣多的受訪者都同意,對於最有可能成功發動攻擊的相關弱點和錯誤設定,本身將採用自動發現這些弱點和錯誤設定的解決方案。
正是由於這些挑戰,效率和有效性的首要主題才成為外界關注的焦點。超過 90% 的受訪者聲稱,本身使用的大量單點工具不僅會形成盲點,也導致難以確定風險優先順序及防禦威脅。另外 88% 的受訪者很難確定本身需要什麼安全工具。所幸的是,團隊清楚本身需要什麼能力。將近 95% 的受訪者希望解決方案能夠立即提供補救步驟,幾乎同樣多的受訪者都同意,對於最有可能成功發動攻擊的相關弱點和錯誤設定,本身將採用自動發現這些弱點和錯誤設定的解決方案。