CISO最關注的安全問題？賽門鐵克已挖掘出並給出解決方案

最近發生了不少網路安全的大事件，繼WannaCry後，Petya勒索病毒變種增加了內網共享的傳播途徑，傳播速度更快，這是我們能夠在大眾媒體上輕易看到的網路攻擊，看不到的呢？如何更有針對性地保障企業網路安全？應該讓企業現身說法。正是因為企業CISO承擔著企業網路安全「監護人」的角色，賽門鐵克公司近日針對企業數據安全現狀，委託韋克菲爾德研究中心發布了一項調研報告，報告共邀請覆蓋全球11個市場，1100名首席信息安全官參與了調研。如果說賽門鐵克之前發布的第22期ISTR更能代表安全廠商的所見所聞，那麼賽門鐵克CISO調研報告就更能展現用戶的實際處境，對網路安全市場發展也有更明確的指導意義。

出人意料的是，報告結果顯示，雲安全是中國首席信息安全官(CISO)最擔憂的挑戰，此外，中國CISO更關注自身企業是否擁有快速應對網路攻擊的能力。

雲計算憑藉卓越的可擴展性、更短的上市時間、更低的成本費用，以及出色的工作效率，不僅吸引了越來越多行業的關注，也同樣吸引著網路罪犯的目光；再結合第22期ISTR報告中所提到的，企業對雲服務日益依賴，但卻並不了解企業內部雲應用的情況（企業CIO認為存在30-40種雲應用，實際上多達928種）。雲計算的優勢讓它成為「眾矢之的」，賽門鐵克公司大中華區首席運營官羅少輝補充，加之認知上的差距，可能會讓員工在未採取足夠政策和流程的情況下應用雲技術，增加雲端應用的風險。報告中也提及，中國CISO預計，自身企業所使用的基於雲的應用中，平均30% 為未經批准的應用，或者為「影子應用」。

羅少輝形象的比喻：「這個全新的無邊界基礎架構在網路攻擊者眼中成為了一座潛在的金礦。」雲成為了網路犯罪的下一個著手點。再回憶一次，去年，AWS的5小時中斷影響了多少企業用戶的服務和客戶？報告顯示，中國CISO針對雲安全的擔憂一方面來自前文所講的雲計算網路安全形勢緊迫，另一方面則是確保雲應用符合合規要求，92%的CISO認為確保雲應用符合合規要求是他們所面臨的最大的工作壓力之一。不僅如此，70%的受訪CISO認為，無論是有意還是無意的舉動，企業首席執行官(CEO)在某些情況下可能破壞了企業的內部安全協議。羅少輝補充表示，中國CISO最擔心自身企業是否能夠充分跟蹤已批准的雲應用中的活動，以及公司員工是否使用未被批准的雲應用。

報告還詳細羅列了中國CISO針對雲安全話題，在2017年最關注的企業外部威脅：數據泄露(30%)、系統漏洞利用(23%)、身份認證及證書破壞(20%)；雲安全內部威脅則為：員工違反安全合規要求(26%)、不安全的企業應用(22%)、數據丟失(21%)。此外，中國CISO還擔心在雲應用中廣泛分享合規所管控的敏感數據 (21%)，對企業所屬移動設備的管理(16%) 以及遵守國家和地區特定的數據保留和管理條例(11%)。

一系列數據如重拳，一記記的打在CISO的安全防護措施上，疼在網路安全廠商的心裡。所幸企業CISO已經意識到了問題的嚴重性，賽門鐵克的調研顯示，為了加強信息安全，所有受訪的中國CISO(100%)表示，計劃在今年增加IT人員安全培訓的支出，確保企業數據在本地系統、移動應用和雲服務之間傳輸的安全性。新加入的IT員工在入職培訓期間將接受平均13個小時的安全培訓。值得提出的是，中國CISO所計劃的支出高於所有其他受調研的國家。

對數據安全、滿足合規性和數據保留等方面的需求，促使中國CISO尋找加密(Encryption)和/或標記化(Tokenization)解決方案來支持企業的軟體即服務(SaaS)計劃。賽門鐵克的調查顯示，絕大數(98%)的中國CISO認為，雲數據標記化是滿足數據保留和數據管理條例的最佳方式——80%的受訪者表示使用標記化方法；77% 的中國CISO表示使用加密技術來保護雲中數據；60%的受訪者表示自身企業同時使用加密技術和標記化方法，與其他受訪國家相比，中國CISO採用標記化方法的比例更高。

賽門鐵克 企業雲安全建議

羅少輝指出，網路罪犯組織會利用合法的操作系統、工具和雲服務中的漏洞來破壞企業網路，CISO需要擁有對企業網路架構的可見性和管控力，對用戶通過雲上傳、存儲和共享的敏感內容進行管理。他建議，CISO應該減少對一次性修復和被動打補丁的依賴，企業需要一種新的整合型安全模式，需通過主動部署端到端解決方案來消除可被利用的潛在漏洞和威脅，通過整體方案應對雲安全問題。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！