在其全球高级威胁环境2019年报告中,CyberArk发现越来越多的组织正在将关键数据迁移到云端。约49%的受访者表示他们将基于SaaS的关键业务应用程序纳入公共云。这些应用程序包括面向客户和创收应用程序,ERP,CRM和财务管理软件。约45%的受访者表示他们使用云来存储受监管监管的客户数据。39%的人使用云进行内部开发,包括DevOps。
超过三分之一(36%)的受访者表示,将资产迁移到云端的首要好处是可以减轻安全风险。但36%的受访者表示他们认为信息安全风险的负担完全或部分掌握在云供应商的手中。其中存在问题。
正如CyberRisk指出的那样,亚马逊网络服务的共享责任模型声明“客户负责管理他们的数据(包括加密选项),对其资产进行分类,以及使用IAM工具来应用适当的权限。”Microsoft采用与Azure相似的方法,如云计算共享责任文件中所述,该文件解释了现有的安全控制以及客户责任的开始和结束。谷歌对其云平台也有类似的想法,详细说明了谁对其客户责任矩阵负责。
尽管许多组织已迁移到云端以尝试增强安全性,但94%的受访者在使用公共云时报告了某种类型的安全漏洞。作为拥有特权访问权限的内部人员,合作伙伴和承包商,全部46%(从去年的24%上调)确定了他们最大的安全漏洞。约46%的受访者还指出未经授权访问云管理控制台是一种安全风险。44%的受访者表示在多个实例中使用相同的凭据。
结果还揭示了对基于云的数据的特权访问的问题。大约62%的受访者表示他们不知道IaaS和PaaS环境中存在凭证,机密和特权帐户。此外,只有49%的受访者表示他们目前拥有针对其云基础架构的特权访问安全策略。
CyberArk全球业务发展执行副总裁亚当·波斯尼安说:“由于组织在这些环境中确保特权访问的整体失败而导致人们对云中安全负责人缺乏明确性所带来的风险更加复杂。”新闻稿。“尽管云中存储了经常敏感和高度监管的数据,但令人惊讶的是,只有不到一半的组织没有制定保护云端权限的策略,这一发现自上次报告以来一直没有变化“。
许多组织都意识到过度依赖云供应商的安全模型的缺陷。大约37%的受访者表示他们依赖云供应商的内置安全性,并相信这是足够的保护。但有38%的人表示他们依赖供应商的安全性,他们认为这种保护措施不够。只有22%的受访者表示他们使用了云供应商的安全性和第三方安全解决方案。
许多企业都在尝试更多地关注基于云的资产的安全性。大约28%的受访者表示他们目前正在投资云安全,而52%的受访者表示他们目前正在投资云计算并计划今年增加投资。