CSA GCR：2022云安全风险、合规性和配置不当报告（22页）.pdf

1、 2022 云安全联盟大中华区版权所有1 2022 云安全联盟大中华区版权所有4目录目录致谢.31.调研的开展和方法论.61.1研究目的.62.概要.7关键发现 1.7关键发现 2.8关键发现 3.9安全部门仍然在努力对齐安全方针及(或)方针落地.9部门间在安全方针和执行方面的一致性对主动安全至关重要.103.云安全程序的当前状态.113.1使用共有云提供商.113.2公有云的年度预算.113.3对抗云安全漏洞的总体信心水平.123.4对防御云漏洞威胁的能力充满信心.123.5 解决安全问题的障碍.133.6安全方针制订与落地执行的跨部门协作.133.7度量安全性和合规性状况.144.正在使用

2、的云安全工具.144.1用于云安全的解决方案.144.2对云服务提供商安全解决方案的满意度.154.3使用托管服务提供商.155.云安全状态管理.155.1识别配置不当.155.1.1负责检测、跟踪和报告配置不当的团队.155.1.2云配置不当的原因.165.1.3检测到配置不当的流水线交付阶段.175.2 因配置不当造成的破坏和事件.18 2022 云安全联盟大中华区版权所有55.2.1设计用于管理云配置不当的安全性和合规性标准.185.2.2防止或修复云配置不当的障碍.185.3治理与合规.195.3.1设计用于管理云配置不当的安全性和合规性标准.195.3.2跨团队和组织执行标准.195

3、.3.3平衡安全性与项目交付.205.4解决配置不当的解决方案.205.4.1负责纠正配置不当的小组.205.4.2修复配置不当的流水线过程阶段.215.4.3修复配置不当的时间.215.4.4改进解决安全性或合规性配置不当的方法组织中最常见的方法.225.4.5使用自动修复的障碍.226.人口统计资料.236.1组织行业.236.2组织规模.236.3工作等级.236.4组织公有云支出.246.5公司部门主要工作.24 2022 云安全联盟大中华区版权所有61.调研的开展和方法论调研的开展和方法论云安全联盟（CSA）是一个非营利组织，其使命是广泛推广最佳实践，确保云计算和IT技术中的网络安全

4、。CSA还负责教育这些行业内的各种利益相关者(涉及所有其他形式计算中的安全问题)。CSA的成员是由从业者、公司和专业协会组成的广泛联盟。CSA的主要目标之一是开展调研评估信息安全趋势。这些调研有助于衡量信息安全技术在行业内各方面的成熟度，以及安全最佳实践的采用率。VMware的CloudHealth为了增加业界对公有云安全的了解，委托CSA开展一项调查并编写这份调查结果报告。CloudHealth为该项目提供资金，并与CSA一起参与制定针对云安全的调查问题，从而共同制定了该倡议。该调查由CSA于2021年5月至2021年6月在线进行，收到1090份来自不同组织规模和地点的IT和安全专业人士的答

5、复。数据分析由CSA的研究团队进行。1.1研究目的研究目的本调研的目的是评估组织在降低配置不当导致的公有云安全和合规风险方面的准备度。主要研究课题包括：云安全计划的现状，包括最主要风险和安全工具的使用情况。组织在缓解配置不当导致的漏洞方面面临的云安全态势管理（CSPM）挑战。组织准备情况、成功关键绩效指标（KPI）以及负责云安全态势管理不同方面的团队。2022 云安全联盟大中华区版权所有72.概要概要云配置不当一直是使用公有云的企业最关心的问题。这种错误会导致数据泄露，允许删除或修改资源，导致服务中断，并对业务运营造成严重破坏。最近，由于配置不当导致的漏洞成为头条新闻，为了更好地了解云安全计划

6、的现状、用于减轻安全风险的工具、企业的云安全态势以及企业在减少安全风险方面面临的障碍，我们进行了这项调研。关键发现关键发现 1知识和专业技能匮乏不断困扰着安全团队知识和专业技能匮乏不断困扰着安全团队知识和专业技能匮乏是信息安全行业内众所周知的问题。毫不奇怪，知识匮乏和专业技能被一致认定为:通用云安全的主要障碍(59%)配置不当的主要原因(62%)主动预防或修复配置不当的障碍(59%)实施自动补救的主要障碍(56%)这些发现突出了“知识匮乏”对安全团队可能产生的涓滴效应。它首先是实施有效的云安全措施的一般障碍，导致了错误的配置，这是数据泄露的主要原因。但它也阻碍了安全团队实施解决方案，如自动修复