平台已成為關鍵的安全工具,因為它們能夠整合組織當前部署的許多安全工具的功能
#CNAPP –致力於定義標準、認證和最佳實踐以幫助確保安全的雲計算環境的全球領先組織雲安全聯盟(CSA) 今天發布了雲原生應用程序的調查結果保護平台(CNAPP)調查報告。受微軟委託該調查旨在更好地了解各組織在實施 CNAPP 時所面臨的採用率和挑戰,調查發現它們近年來已成為安全工具的重要類別。調查發現,它們的受歡迎程度很大程度上是由於全面保護多雲環境的複雜性以及它們整合組織當前部署的眾多安全工具的功能的能力,即云安全態勢管理 (CSPM)、雲工作負載保護( CWP)、雲基礎設施權利管理(CIEM)、網絡安全和安全DevOps
“在考慮當今企業面臨的挑戰時,人員和技術佔據了中心位置。一方面,公司需要配備訓練有素、了解其角色和職責的安全專業人員來增強員工隊伍。另一方面,迫切需要有效的技術和工具,既能應對快速發展的網絡安全威脅,又能有效地支持安全團隊。”雲安全聯盟主要作者兼研究高級技術總監 Hillary Baron 表示。“很明顯,當今的多雲環境越來越複雜,企業必須找到全面解決其安全狀況的方法。”
微軟雲安全產品營銷總監 Adwait Joshi 說道“當今仍在使用的許多傳統安全解決方案無法充分保護日益動態和分佈式的多雲策略。當組織在雲中前進時,他們必須利用提供集成安全方法的解決方案。這樣做,他們可以更好地做好準備,應對當今和未來複雜的網絡安全挑戰。”。
調查的主要發現包括:
- 雲原生應用程序保護平台:四分之三的組織選擇使用 CNAPP 來保護其多雲環境。大多數組織 (75%) 已經實施或計劃在其云環境中實施 CNAPP。這一舉措背後的驅動因素之一是多雲策略的盛行——84% 的組織表示他們使用兩個或更多雲環境。
- 雲安全態勢管理:安全團隊需要明確的信息來確定正確的優先級。大量的安全警報使安全團隊難以管理安全增強並確定安全增強的優先級。32% 的受訪者透露,由於他們收到的信息過多(而且往往是不正確的),他們在優先考慮安全改進方面遇到了困難。此外,34% 的人發現自己被安全建議所困擾,而同等比例的人缺乏上下文或可操作的見解來做出明智的決策。
- DevOps 安全性:儘管人們越來越認識到 DevOps 安全性的重要性,但專業知識和人才短缺正在阻礙進展。儘管存在左移安全和 DevSecOps 的趨勢,但在 DevOps 中整合強大的安全措施仍處於早期階段,存在阻礙全面集成的重大障礙。目前,51% 的組織正在將安全性集成到其 DevOps 實踐中,只有 35% 的組織報告已完成集成。主要挑戰包括缺乏安全專業知識(46%)、自動化不足(43%)、誤報數量過多(42%)以及缺乏可操作的反饋(42%)。
- 雲工作負載保護:圍繞事件響應的挑戰又回到了人員、流程和技術方面。25% 的受訪者認為缺乏人力是一項重大挑戰;29% 的組織報告稱缺乏正式的應對計劃;39% 的受訪者表示缺乏自動化是一個關鍵挑戰。
- 網絡安全:最成熟的實施,但威脅檢測仍然是一個挑戰。在所有類別中,網絡安全是最成熟的。43% 的受訪者表示在多雲環境中完全集成以確保網絡安全,而 CSPM 的這一比例僅為 28%。儘管零信任策略的日益普及可能是這一級別背後的關鍵驅動因素,但組織仍然面臨著網絡安全方面的關鍵挑戰,特別是在威脅檢測和大量安全警報的管理方面。
- 雲基礎設施權利管理:配置錯誤是權限的首要問題。不到一半 (43%) 的組織將權限配置錯誤視為最關心的問題。這一普遍問題可能會產生嚴重影響,可能導致未經授權的訪問,甚至災難性的數據丟失。錯誤配置可能會無意中暴露敏感數據或授予不必要的權限,從而造成可能被惡意行為者利用的漏洞。
這項調查於 2023 年 4 月進行,收集了來自不同組織規模、行業、地點和角色的 IT 和安全專業人員的 1,200 多份回复。贊助商是 CSA 企業會員,他們支持研究項目的研究結果,但對 CSA 研究的內容開發或編輯權沒有額外影響。
關於雲安全聯盟
雲安全聯盟 (CSA) 是全球領先的組織,致力於定義最佳實踐並提高人們的認識,以幫助確保安全的雲計算環境。CSA 利用行業從業者、協會、政府及其企業和個人成員的主題專業知識,提供特定於雲安全的研究、教育、培訓、認證、活動和產品。CSA 的活動、知識和廣泛的網絡使受雲影響的整個社區(從提供商和客戶到政府、 企業家和保險行業)受益,並提供了一個論壇,各方可以通過該論壇共同努力創建和維護值得信賴的雲生態系統。欲了解更多信息,請訪問我們的網站:www.cloudsecurityalliance.org。
