2024 年
云原生安全现状
报告
生成式人工智能是一种开创性的力量,它将企业置于创新与风险的交汇点,要求企业驾驭难以想象的挑战和机遇。
第四期年度报告《2024 年云原生安全现状报告》旨在通过揭示与 10 个国家和 5 个行业领域的 2,800 多名云安全和 DevOps 专业人士的讨论所得出的趋势和见解,帮助企业充分利用这场云安全转型。请继续阅读,了解同行们如何应对正在发生的各种变化。
人工智能:是攻击载体还是加速器?
随着人工智能的不断发展,只有一件事是肯定的:它将被当作武器使用。这就是为什么 38% 的企业将人工智能驱动的攻击列为 2024 年的首要关注问题,而 43% 的企业则预测人工智能驱动的威胁将成为常见的威胁载体。
人工智能生成代码的安全风险
人工智能驱动的攻击只占到问题的一半。44% 的企业同样担心与人工智能生成的代码有关的风险,这也是理所当然的。自主创建的软件和人工智能生成代码的快速发展,增加了安全缺陷未被发现的可能性,并对传统的安全测试方法造成了负担。拥抱未知
尽管在面对人工智能时,各企业表达了克制的恐惧和谨慎,但他们还是很乐观。所有调查对象都计划接受人工智能辅助编码,并将调整其安全方法来应对人工智能辅助编码。
平衡工具、供应商和需求
云环境很快就会变得错综复杂,这已不是秘密。受访者平均使用 12 家云服务提供商和 16 种云安全工具 - 这也难怪了。其中 98% 表示需要简化和整合,并强调了减少正在使用的安全工具数量的重要性。
尽管复杂性一直是《云原生安全现状报告》中反复出现的主题,但在消除复杂性方面却进展甚微。专用于云安全的工具数量比去年增加了 60%。
尽管复杂性一直是《云原生安全现状报告》中反复出现的主题,但在消除复杂性方面却进展甚微。专用于云安全的工具数量比去年增加了 60%。
碎片化生态系统中的数据保护
数据安全是许多企业面临的一大挑战,50% 的企业会通过人工审核来识别云中的敏感数据并对其进行分类。这之所以是一个问题,不仅因为人工审核耗时、容易出错而且往往不全面,还因为人工审核会导致数据保护出现缺口,使企业容易受到攻击。
更糟糕的是,98% 的企业在多个环境中存储敏感数据。半数以上的调查对象将监控敏感信息所面临的挑战归咎于这种复杂性,而 48% 的调查对象承认数据保护工作做得还不够。
安全事故整体上逐年增加。近 50% 的企业报告称,由于配置错误、违反合规性和不安全的 API,停机时间有所增加(43% 的企业将 API 风险列为头号安全问题),而 64% 的企业发现数据泄露事故有所增加。
更糟糕的是,98% 的企业在多个环境中存储敏感数据。半数以上的调查对象将监控敏感信息所面临的挑战归咎于这种复杂性,而 48% 的调查对象承认数据保护工作做得还不够。
安全事故呈上升趋势
由于数据通常分布在云环境中,因此大多数企业的攻击面都很大。再加上缺乏全面的可视性,增加了内部威胁的机会,45% 的受访者发现高级持续性威胁 (APT) 有所增加也就不足为奇了。安全事故整体上逐年增加。近 50% 的企业报告称,由于配置错误、违反合规性和不安全的 API,停机时间有所增加(43% 的企业将 API 风险列为头号安全问题),而 64% 的企业发现数据泄露事故有所增加。
加强合作从高层开始
云安全与应用开发之间的冲突可能一直存在,今年的报告结果也证明了这一点。受访者们直言不讳地指出了自己面临的挑战,84% 的人将项目时间表的延误归咎于安全流程,83% 的人将安全视为一种负担,而 79% 的人声称自己的员工经常忽视或绕过安全流程。
有 71% 的企业报告了因仓促部署而导致的漏洞,这又是怎么回事呢?大多数受访者 (92%) 指责开发和部署效率低下,71% 的受访者指责压力过大,而 93% 的受访者指责人员流动率过高。
积压工作和推卸责任
由于开发人员不得不尽快交付新功能、更新和漏洞修复才能实现业务目标,因此导致安全问题单堆积如山,错过了上市日期,而且替罪羊文化盛行。对这一问题的反馈可谓众说纷纭 - 86% 的人指责安全问题阻碍了软件的发布,而 91% 的人则表示开发人员需要编写更安全的代码。有 71% 的企业报告了因仓促部署而导致的漏洞,这又是怎么回事呢?大多数受访者 (92%) 指责开发和部署效率低下,71% 的受访者指责压力过大,而 93% 的受访者指责人员流动率过高。
风险、现实和云安全战略
工具问题成为了解决安全缺陷和漏洞的一大挑战。40% 的受访者认为这影响了开发流程,33% 的安全从业人员认为传统的安全工具导致自己无法随时掌握威胁载体,并认为警报噪音是导致解决延迟的原因。
正因为存在这些挑战,贯穿始终的效率和效果才如此受到关注。超过 90% 的受访者声称,自己使用的单点工具数量过多,造成了盲点,难以确定风险的优先级和防范威胁。还有 88% 的人难以确定自己需要什么样的安全工具。值得庆幸的是,各团队都清楚自己需要哪些能力。近 95% 的人希望解决方案能立即提供补救措施,几乎同样比例的人认为,如果解决方案能自动发现相互关联的漏洞和错误配置,就再好不过了,因为这些漏洞和错误配置极有可能使攻击得逞。
正因为存在这些挑战,贯穿始终的效率和效果才如此受到关注。超过 90% 的受访者声称,自己使用的单点工具数量过多,造成了盲点,难以确定风险的优先级和防范威胁。还有 88% 的人难以确定自己需要什么样的安全工具。值得庆幸的是,各团队都清楚自己需要哪些能力。近 95% 的人希望解决方案能立即提供补救措施,几乎同样比例的人认为,如果解决方案能自动发现相互关联的漏洞和错误配置,就再好不过了,因为这些漏洞和错误配置极有可能使攻击得逞。
