赛门铁克发布新CISO调研报告 ：云成为网络犯罪的下一个着手点 原创

近日，全球网络安全领导厂商赛门铁克公司发布一项针对企业数据安全现状的全新调研报告。该报告覆盖全球11个市场，共邀请1,100 名首席信息安全官参与调研。报告结果显示，云安全是中国首席信息安全官(CISO)最担忧的挑战。不仅如此，中国首席信息安全官更关注自身企业是否拥有快速应对网络攻击的能力。

毫无疑问，云计算拥有诸多优势，吸引越来越多行业的关注，例如卓越的可扩展性、更短的上市时间、更低的成本费用，以及出色的工作效率。但这一领域同样吸引着网络罪犯的目光。这个全新的无边界基础架构在网络攻击者眼中成为一座潜在的金矿。

针对云的攻击范围不断扩大

赛门铁克的调查显示，云安全成为中国CISO所面临的棘手问题。绝大数的CISO(92%)都认为，确保云应用符合合规要求是他们所面临的最大的工作压力之一。在行业合规性方面，中国CISO最担心自身企业是否能够充分跟踪已批准的云应用中的活动(29%)，以及公司员工是否使用未被批准的云应用(23%)。

此外，中国CISO针对云安全的担忧还包括：在云应用中广泛分享合规所管控的敏感数据 (21%)，对企业所属移动设备的管理(16%) 以及遵守国家和地区特定的数据保留和管理条例(11%)。

随着云应用的广泛部署，以及企业缺乏对高风险用户行为的深入了解，都进一步导致了更大范围的面向云的网络攻击。根据赛门铁克调研显示，中国CISO预计，自身企业所使用的基于云的应用中，平均30% 为未经批准的应用，或者为“影子应用”。不仅如此，70%的受访CISO认为，无论是有意还是无意的举动，企业首席执行官(CEO)在某些情况下可能破坏了企业的内部安全协议。

赛门铁克调研显示，针对云安全话题，中国CISO在2017年最关注的企业外部威胁主要包括：数据泄露(30%)、系统漏洞利用(23%)、身份认证及证书破坏(20%)。除此之外，CISO最关注的内部威胁包括：员工违反安全合规要求(26%)、不安全的企业应用(22%)、数据丢失(21%)。

对端到端解决方案的需求

随着企业愈加依赖云来改善协作和灵活性，中国首席信息安全官面临越来越多的挑战，例如，越来越难以对敏感的企业数据进行跟踪，以及来自监管要求的巨大压力。赛门铁克的调研显示，为了加强信息安全，所有受访的中国CISO(100%)表示，计划在今年增加IT人员安全培训的支出，确保企业数据在本地系统、移动应用和云服务之间传输的安全性。新加入的IT员工在入职培训期间将接受平均13个小时的安全培训。值得提出的是，中国CISO所计划的支出高于所有其他受调研的国家。

对数据安全、满足合规性和数据保留等方面的需求，促使中国CISO寻找加密(Encryption)和/或标记化(Tokenization)解决方案来支持企业的软件即服务(SaaS)计划。赛门铁克的调查显示，绝大数(98%)的中国CISO认为，云数据标记化是满足数据保留和数据管理条例的最佳方式——80%的受访者表示使用标记化方法；77% 的中国CISO表示使用加密技术来保护云中数据；60%的受访者表示自身企业同时使用加密技术和标记化方法。值得一提的是，与其他受访国家相比，中国CISO采用标记化方法的比例更高。

网络罪犯组织在进行犯罪活动时往往伺机而动，他们会利用合法的操作系统、工具和云服务中的漏洞来破坏企业网络。为了有效地对抗这些犯罪行为，首席信息安全官需要拥有卓越的可见性和管控力，对用户通过云上传、存储和共享的敏感内容进行管理。出色的CISO不会依靠一次性修复和被动的补丁来保护机密信息，而是通过主动部署端到端解决方案来消除可被利用的潜在漏洞和威胁。

通过整体方案应对云安全问题

在使用云服务时，如果企业不能确保部署有效的安全保护，则会导致更为高额的成本损失和潜在的业务损失，抵消云计算的各种潜在优势。在面对云安全问题上，企业需要一种新的整合型安全模式，为企业的关键资产、用户和数据提供更加强大的保护、更出色的可见性和更高级别的管理能力。

在当下数据驱动时代，有效地应对云安全问题能够提高企业的运营效率，在确保企业关键信息得到安全保护的同时，使首席信息安全官更加从容地利用云计算的优势，驾驭数字的力量。