根據(jù)調(diào)研機(jī)構(gòu)IDC公司的數(shù)據(jù),到2025年,全球產(chǎn)生的數(shù)據(jù)量將增長(zhǎng)61%,達(dá)到175 ZB,其中49%的數(shù)據(jù)存儲(chǔ)在公共云環(huán)境中。這些數(shù)據(jù)并不局限于公共信息;2019年的《Netwix云計(jì)算數(shù)據(jù)安全報(bào)告》發(fā)現(xiàn),云端通常用于存儲(chǔ)多種類(lèi)型的數(shù)據(jù),從不太敏感到極其關(guān)鍵的數(shù)據(jù)。然而,到目前為止,在云中存儲(chǔ)數(shù)據(jù)的組織中,有35%的組織在2019年至少遭遇了一次網(wǎng)絡(luò)安全事件,這意味著許多組織缺乏足夠的安全控制。人們需要了解一下存儲(chǔ)在云中的數(shù)據(jù),以便確定保護(hù)這些資產(chǎn)的必要措施。
員工數(shù)據(jù)
根據(jù)Netwrix公司的研究,所有組織中有50%的員工將數(shù)據(jù)存儲(chǔ)在云中。在接受調(diào)查的25個(gè)行業(yè)中,將員工數(shù)據(jù)存儲(chǔ)在云中的前三類(lèi)公司是科技公司、金融組織和教育機(jī)構(gòu)。根據(jù)這項(xiàng)研究,57%的科技公司、50%的金融組織和38%的教育機(jī)構(gòu)的員工將數(shù)據(jù)存儲(chǔ)在云中。金融組織將這些數(shù)據(jù)移至云中主要是為了確保遠(yuǎn)程工作者的可用性,而科技公司和教育機(jī)構(gòu)這樣做是為了提高效率,降低成本。
在過(guò)去的12個(gè)月中,這些組織中有35%經(jīng)歷了網(wǎng)絡(luò)攻擊事件。安全事件背后的主要威脅模式是意外錯(cuò)誤(16%)、惡意軟件(13%)和外部攻擊(12%)。但是,有52%的組織無(wú)法確定事件背后的原因,而有21%的組織將企業(yè)員工列為主要威脅因素。
為了更好地保護(hù)員工信息,41%的組織嘗試為云計(jì)算安全性提供足夠的預(yù)算,34%的組織需要定期的狀態(tài)報(bào)告。同時(shí),只有20%的組織表示將員工信息存儲(chǔ)在云中增加了云安全預(yù)算。
客戶數(shù)據(jù)
就像員工信息一樣,50%的組織都將客戶數(shù)據(jù)存儲(chǔ)在云中。其中大多數(shù)是科技公司(62%),金融組織(46%)和醫(yī)療保健提供者(45%)。有趣的是,金融機(jī)構(gòu)和科技公司將客戶數(shù)據(jù)移至云中以增強(qiáng)安全性,而醫(yī)療保健組織則更加關(guān)注成本效益。
在將客戶數(shù)據(jù)存儲(chǔ)在云中的組織中,有31%的組織在過(guò)去12個(gè)月中至少發(fā)生了一次安全事件。與客戶數(shù)據(jù)泄露相關(guān)的主要威脅模式是意外錯(cuò)誤(13%)、外部攻擊(12%)、惡意軟件(9%)。不幸的是,有57%的組織無(wú)法確定是誰(shuí)對(duì)事件負(fù)責(zé)。在那些可以識(shí)別威脅因素的人中,有14%的組織將安全事件歸咎于他們的云計(jì)算提供商。
在云中存儲(chǔ)客戶信息的組織的管理層主要通過(guò)要求定期狀態(tài)報(bào)告(26%)來(lái)支持云安全計(jì)劃。不幸的是,只有33%的受訪者表示,他們有足夠的預(yù)算來(lái)保護(hù)客戶數(shù)據(jù)(這是所有其他數(shù)據(jù)類(lèi)型中最低的結(jié)果),22%的受訪者表示,他們的管理層沒(méi)有為云安全提供任何預(yù)算。
財(cái)務(wù)數(shù)據(jù)
26%的受訪組織將財(cái)務(wù)數(shù)據(jù)存儲(chǔ)在云中。根據(jù)Netwrix公司的研究,41%的金融機(jī)構(gòu)、29%的醫(yī)療機(jī)構(gòu)和21%的科技公司將這些敏感數(shù)據(jù)存儲(chǔ)在云中。金融機(jī)構(gòu)主要將數(shù)據(jù)轉(zhuǎn)移到云端以確保遠(yuǎn)程工作者的可用性,醫(yī)療機(jī)構(gòu)為了降低成本,科技公司為了確保安全。
在所有將財(cái)務(wù)數(shù)據(jù)存儲(chǔ)在云中的受訪者中,有39%的組織表示在過(guò)去12個(gè)月中至少發(fā)生了一次安全事件,在所有數(shù)據(jù)類(lèi)型中排名第二。他們報(bào)告的主要威脅模式是意外錯(cuò)誤(18%)、惡意軟件(14%)和外部攻擊(12%)。不幸的是,幾乎一半的受訪者(49%)表示,他們無(wú)法確定安全事件真正歸咎于誰(shuí)。那些可以識(shí)別威脅因素的組織(18%)表示是他們的企業(yè)用戶引起的。
與其他類(lèi)型的數(shù)據(jù)相比,組織對(duì)保護(hù)云中的財(cái)務(wù)數(shù)據(jù)表現(xiàn)出更大的興趣:41%的企業(yè)準(zhǔn)備為云安全分配預(yù)算,38%的企業(yè)需要定期狀態(tài)報(bào)告,還有27%的組織將保護(hù)支付數(shù)據(jù)作為未來(lái)增加云安全預(yù)算的理由。
知識(shí)產(chǎn)權(quán)(IP)的數(shù)據(jù)
Netwrix公司的調(diào)查發(fā)現(xiàn),有16%的組織將知識(shí)產(chǎn)權(quán)(IP)數(shù)據(jù)存儲(chǔ)在云中。他們包括咨詢(xún)機(jī)構(gòu)(41%)、科技公司(20%)和制造公司(20%)。出于安全考慮,咨詢(xún)機(jī)構(gòu)和科技公司將知識(shí)產(chǎn)權(quán)(IP)數(shù)據(jù)選擇性地存儲(chǔ)在云中,而制造公司這樣做是為了確保遠(yuǎn)程工作者的可用性。
知識(shí)產(chǎn)權(quán)(IP)數(shù)據(jù)通常是攻擊者的誘人目標(biāo),因?yàn)?2%的公司表示,他們發(fā)生的安全事件導(dǎo)致知識(shí)產(chǎn)權(quán)(IP)的數(shù)據(jù)泄漏,這在所有類(lèi)型的數(shù)據(jù)中結(jié)果最高。主要原因包括外部攻擊(22%),意外錯(cuò)誤(19%)和惡意軟件(17%)。但是,將近45%的組織未能識(shí)別出事件背后的威脅因素。那些成功識(shí)別出威脅因素的組織將企業(yè)員工列為頭號(hào)威脅(24%)。
因?yàn)橹R(shí)產(chǎn)權(quán)對(duì)企業(yè)具有巨大的價(jià)值,所以它極易受到安全威脅的攻擊。因此將知識(shí)產(chǎn)權(quán)(IP)的數(shù)據(jù)存儲(chǔ)在云中的公司比在云中存儲(chǔ)其他類(lèi)型數(shù)據(jù)的企業(yè)擁有更主動(dòng)的云安全方法。他們準(zhǔn)備分配足夠的預(yù)算(43%),并投資于IT員工的教育(35%)。他們也最愿意增加云安全預(yù)算(29%)。
醫(yī)療保健數(shù)據(jù)
像任何其他特定行業(yè)的數(shù)據(jù)一樣,醫(yī)療保健數(shù)據(jù)與有限的受訪者相關(guān)。這些組織大多數(shù)在醫(yī)療保健、教育和技術(shù)領(lǐng)域運(yùn)作。在接受調(diào)查的所有醫(yī)療保健組織中,幾乎有一半(49%)將個(gè)人健康信息和其他醫(yī)療保健數(shù)據(jù)存儲(chǔ)在云中,其次是15%的教育機(jī)構(gòu)和13%的科技公司。醫(yī)療機(jī)構(gòu)和教育機(jī)構(gòu)出于成本效益而將這些數(shù)據(jù)移動(dòng)到云中時(shí),而科技公司這樣做是出于安全原因。
在過(guò)去的12個(gè)月中,有35%的組織發(fā)生了導(dǎo)致醫(yī)療保健數(shù)據(jù)泄露的事件。數(shù)據(jù)泄露事件背后的主要威脅模式是外部攻擊(20%)、意外錯(cuò)誤(19%)和惡意軟件(14%)。不幸的是,大多數(shù)(56%)組織表示不知道誰(shuí)應(yīng)對(duì)安全事件負(fù)責(zé)。那些能夠識(shí)別威脅因素的組織(19%)表示,企業(yè)員工是數(shù)據(jù)泄露事件的主要因素。
為了確保云中醫(yī)療保健數(shù)據(jù)的安全性,組織需要定期狀態(tài)報(bào)告(46%),以及分配足夠的預(yù)算(41%)。此外,還有22%的組織準(zhǔn)備增加云安全預(yù)算。
數(shù)據(jù)分類(lèi)可以減輕安全風(fēng)險(xiǎn)嗎?
分析人員表示,數(shù)據(jù)分類(lèi)使組織能夠減輕安全風(fēng)險(xiǎn),并更好地保護(hù)其敏感數(shù)據(jù)。例如,Gartner公司表示,“數(shù)據(jù)分類(lèi)還使組織能夠?qū)⑵浒踩院秃弦?guī)性工作集中在敏感信息上,標(biāo)準(zhǔn)化和應(yīng)用與風(fēng)險(xiǎn)相稱(chēng)的控制措施,并在業(yè)務(wù)流程中簡(jiǎn)化這些活動(dòng)。”
不幸的是,超過(guò)60%的組織(無(wú)論他們存儲(chǔ)在云中的數(shù)據(jù)類(lèi)型是什么)都表示他們沒(méi)有對(duì)所有數(shù)據(jù)進(jìn)行分類(lèi),這使他們?nèi)菀资艿桨踩L(fēng)險(xiǎn)的影響。
Netwrix公司的調(diào)查報(bào)告發(fā)現(xiàn),數(shù)據(jù)分類(lèi)與較少的安全事件之間有很強(qiáng)的相關(guān)性。未分類(lèi)數(shù)據(jù)的組織中有40%以上遭受安全事件的困擾;對(duì)于進(jìn)行分類(lèi)的組織來(lái)說(shuō),數(shù)據(jù)分類(lèi)將安全事件發(fā)生率降低了一半。
顯然,組織不會(huì)平等對(duì)待所有數(shù)據(jù)。由于知識(shí)產(chǎn)權(quán)(IP)的數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)的安全性通常與戰(zhàn)略決策和業(yè)務(wù)增長(zhǎng)相關(guān)聯(lián),因此組織準(zhǔn)備分配大量預(yù)算來(lái)保護(hù)它。但是,盡管合規(guī)性法規(guī)可以使組織對(duì)客戶數(shù)據(jù)的安全性和私密性承擔(dān)更大的責(zé)任,但他們通常沒(méi)有對(duì)投資保護(hù)客戶數(shù)據(jù)做好準(zhǔn)備。
同樣清楚的是,許多組織缺乏確定誰(shuí)對(duì)其云計(jì)算環(huán)境構(gòu)成最大威脅并適當(dāng)調(diào)查事件所需的可見(jiàn)性。為了減輕安全風(fēng)險(xiǎn),需要了解云中包含哪些數(shù)據(jù)以及哪些資產(chǎn)最敏感,這將幫助組織實(shí)施適當(dāng)?shù)目刂拼胧┻M(jìn)行保護(hù)。
京公網(wǎng)安備 11010502049343號(hào)