《云原生應(yīng)用保護(hù)平臺(CNAPP)調(diào)查報告》 2024

4 7 9 9 10 11 13 14 16 16 17 17 21 23 25 26 29 31?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有8調(diào)查的創(chuàng)立和方法論云安全聯(lián)盟（CSA）是一個非營利組織,其使命是廣泛推廣確保云計算和IT技術(shù)中的網(wǎng)絡(luò)安全最佳實(shí)踐。CSA還就所有其他形式的計算中的安全問題向這些行業(yè)的各個利益相關(guān)者進(jìn)行教育。CSA的會員包括行業(yè)從業(yè)者、企業(yè)和專業(yè)協(xié)會的廣泛聯(lián)盟。CSA的主要目標(biāo)之一是進(jìn)行調(diào)查,評估信息安全趨勢。這些調(diào)查提供了關(guān)于組織當(dāng)前的成熟度、意見、興趣和有關(guān)信息安全和技術(shù)的意圖的微軟委托了CSA開展一項(xiàng)調(diào)查和報告,以更好地了解行業(yè)對云原生應(yīng)保護(hù)平臺（CNAPP）的知識、態(tài)度和觀點(diǎn)。微軟為該項(xiàng)目提供了資金支持,并與研究目標(biāo).組織在云安全方面的優(yōu)先事項(xiàng)和挑戰(zhàn).安全態(tài)勢管理、云工作負(fù)載保護(hù)和DevSecOps（開發(fā)、安全和運(yùn)營）的?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有9關(guān)鍵發(fā)現(xiàn)隨著組織越來越多地利用多云策略,傳統(tǒng)的安全解決方案通常很難為這些動態(tài)和分布式應(yīng)用程序提供充分的保護(hù)。近年來，由于全面保護(hù)多云環(huán)境的復(fù)雜性以及整合組織當(dāng)前部署的許多安全工具的能力，云原生應(yīng)用保護(hù)平臺已成為關(guān)鍵的安全工具類別，其中包括云安全態(tài)勢管理（CSPM）、云工作負(fù)載保護(hù)CNAPP部署的當(dāng)前狀態(tài)的見解,識別需要支持的領(lǐng)域,并指導(dǎo)決策制定。以下是云原生應(yīng)用程序保護(hù)平臺:四分之三的組織選擇使用CNAPP來保護(hù)其多云環(huán)境歸因于多云策略的盛行，有84%的組織使用了兩個或多個云環(huán)境。然而，現(xiàn)有的安全工具通常不足以充分支持如此復(fù)雜的多云設(shè)置，導(dǎo)致組織尋求像CNAPP這樣的替代解決方案。調(diào)查顯示，僅有不超過30%的組織通常將部署的安全工CSPM憑借其在解決安全態(tài)勢可見性方面的重要性成為關(guān)鍵吸引因素(25%)，這?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有10云安全態(tài)勢管理：安全團(tuán)隊需要明確的信息以進(jìn)行適當(dāng)?shù)膬?yōu)先級排序臨管理和優(yōu)先級排序的困難。32%的受訪者透露，由于他們收到的信息數(shù)量龐大且經(jīng)常不準(zhǔn)確，他們在優(yōu)先處理安全改進(jìn)方面感到困難。此外，34%的人發(fā)現(xiàn)自己被安全建議所困擾，而同等比例的人缺乏相關(guān)或可操作的見解來做出明智的決策。他們可能會收信息未能提供必要的詳細(xì)信信息管理的問題與調(diào)查的另泛差異。有趣的是，33%的監(jiān)控系統(tǒng)，而37%的受訪盡管他們還是會輔以一些基于代理的監(jiān)控。這種差異很可能受到特定供應(yīng)商和組安全態(tài)勢管理。自動化將有助于緩解在優(yōu)先級和建議（最佳實(shí)踐）間的一些混淆。集中式的安全工具和供應(yīng)商將幫助合并警報并提供更好的上下文信息，從?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有11DevOps安全：DevOps安全的重要性日益得到認(rèn)可，但缺乏專業(yè)知識和人才阻礙了進(jìn)程盡管安全左移和DevSecOps是發(fā)展趨勢，但是由于一些重大的問題阻礙了完全融合的進(jìn)程，將穩(wěn)健的安全措施整合入DevOps仍然處于早期階段。目前，有51%的組織正在將安全集成到他們的組織聲稱已經(jīng)完成了整合。其中的主要挑戰(zhàn)在于：缺乏安全專業(yè)知識，自動化不足，過多的誤報以及缺乏可操作的反饋。組織必須直面并解決這些問題以實(shí)現(xiàn)成功的整在這些障礙中，首要的問題是缺乏安全專業(yè)知識，有這種不足可能會在DevOps的流程中引入漏洞，攻擊者可能會潛在地利用這些漏洞。更麻煩的在于關(guān)于DevOps安全的責(zé)任和問責(zé)制存在模糊不清，不同的團(tuán)隊經(jīng)常假設(shè)這是對方的責(zé)任。為了解決其它主要挑戰(zhàn)都與技術(shù)相關(guān)，這其中最大的挑戰(zhàn)是?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有12誤報也是另一個重要的問題，有42%的組隊疲于應(yīng)付，效率低下。最后，有42%的云工作負(fù)載保護(hù)：圍繞事件響應(yīng)的挑戰(zhàn)回歸為人員、流程和技術(shù)在DevOps中，人員和技術(shù)挑戰(zhàn)一直是焦點(diǎn)，但在.人員：25%的受訪者認(rèn)為人力資源缺乏是一項(xiàng)重要挑戰(zhàn)。人手短組織有效應(yīng)對安全事件的能力，而缺乏規(guī)范的響應(yīng)方案則題。確保安全團(tuán)隊能夠獲得全面的培訓(xùn)、必要的工具和資.流程：29%的組織聲稱缺少正式的應(yīng)急響應(yīng)計劃。沒有清晰的路織往往難以理解他們在安全事件中的職責(zé)。為此正式的事件響應(yīng)計劃。該計劃應(yīng)當(dāng)明確列出在面?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有13應(yīng)團(tuán)隊的職責(zé)和行動步驟。定期測試和更新響應(yīng)計劃以確.技術(shù)：缺乏自動化是組織正在努力解決的另一個關(guān)鍵挑戰(zhàn)，有39%的受件響應(yīng)流程的工具可以實(shí)時查看潛在的安全事件,如CNAPP和安全信息有效應(yīng)對安全事件并保護(hù)云工作負(fù)載的能力源自人這些領(lǐng)域?qū)⑹菇M織能夠強(qiáng)化其事件響應(yīng)能力，從而網(wǎng)絡(luò)安全：最成熟的實(shí)現(xiàn)，但威脅檢測仍為挑戰(zhàn)戰(zhàn)略的普及可能是這種成熟水平背后的一項(xiàng)關(guān)鍵驅(qū)動因安全方面仍然面臨重要的挑戰(zhàn)，在威脅檢測和大量安全警報的管理方面尤甚。威脅的數(shù)量之多可能與組織環(huán)境的復(fù)雜性和大量網(wǎng)絡(luò)流?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有14推薦充分利用支持多云環(huán)境并提供智能威脅防護(hù)的安全工工具可以幫助自動化、簡化并優(yōu)化網(wǎng)絡(luò)安全流程此外，減少安全警報的數(shù)量對于網(wǎng)絡(luò)安全管理是對于能夠有效區(qū)分真實(shí)威脅和誤報的智能少警報的數(shù)量，防止安全團(tuán)隊疲于應(yīng)對，使他們能夠盡管網(wǎng)絡(luò)安全是多云環(huán)境涵蓋的范圍中最成熟大挑戰(zhàn)，特別是在威脅檢測和安全警報管理方同時充分利用先進(jìn)的安全工具，組織可以增強(qiáng)?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有15云基礎(chǔ)設(shè)施授權(quán)管理:高度關(guān)注權(quán)限配置錯誤方面。近一半(43%)的組織認(rèn)為他們最擔(dān)心的問題是權(quán)在的問題可能會產(chǎn)生嚴(yán)重的后果，可能會導(dǎo)致未經(jīng)授權(quán)數(shù)據(jù)丟失。錯誤的配置可能會在無意中暴露敏感數(shù)據(jù)或授予不必要的特權(quán)，從管理（CIEM）的關(guān)鍵。這些工具可以對多云環(huán)境配置進(jìn)行全面的觀測和控制。這些工具通過主動檢測可見性，以及為了降低風(fēng)險而采用的代碼上云的方法，安全事項(xiàng)。CNAPP特別擅長保護(hù)多云環(huán)境，并為整合各種安全工具提供了統(tǒng)一?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有16和技術(shù)。一方面，需要培養(yǎng)訓(xùn)練有素的專業(yè)安全人的職責(zé)。另一方面，迫切需要有效的技術(shù)和工具來像CNAPP這類的技術(shù)必須能夠?yàn)榘踩珗F(tuán)隊提供所安全開發(fā)運(yùn)維（DevSecOps）、云基礎(chǔ)設(shè)施授權(quán)管案，同時解決人員和技術(shù)方面的問題。這樣，可以更調(diào)研發(fā)現(xiàn)云的使用和安全大多數(shù)組織都有兩個或更多云的多云環(huán)境（8?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有17增加威脅防護(hù)自動化的使用（35、提高SOC（安全運(yùn)營中心）效率（35%)以及通過減少攻擊面來主動預(yù)防風(fēng)險（37%）尋求更好地識別潛在漏洞，更快地檢測和響應(yīng)潛在?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有18對于組織來說，最?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有19跨多云環(huán)境的安全工具的成熟度?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有20云原生應(yīng)用保護(hù)熟悉云原生應(yīng)用保護(hù)平臺），?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有21者表示他們目前正在使用CNAPP解決方案。此外，31%8%的受訪者表示有實(shí)施計劃CNAPP但時間未定，剩下?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有22云安全態(tài)勢管理示安全改進(jìn)的優(yōu)先級是一?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有23的監(jiān)控方式為主。還有13%企業(yè)在監(jiān)控環(huán)境時有不同的偏好和要求，可有被41%的受訪者選擇。攻擊路徑分析也是一個高度受歡訪者選擇。較少被選擇為：敏感數(shù)據(jù)暴露（3），?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有24云工作負(fù)載保護(hù)事件響應(yīng)的挑戰(zhàn)?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有25檢測到威脅后的平均響應(yīng)時間值得注意的是，幾分鐘內(nèi)的響應(yīng)時間可能需要供應(yīng)商中提供協(xié)助。另一方面，16%的受訪者需要超過一周的安全DevOps?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有26早期階段。28%的受訪者認(rèn)為，定義和模板化IaC（包括安全策略和合規(guī)要求，是最大的障礙。緊隨其后的關(guān)于業(yè)務(wù)影響的上下文。解決這些挑戰(zhàn)可以?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有27），），），），可能存在一定的偏差。當(dāng)被問到在組織中誰負(fù)責(zé)D回答是安全工程團(tuán)隊、17%回答是安全運(yùn)維/管系統(tǒng)管理員、質(zhì)量保證（QA）/質(zhì)量（QC）控?2023云安全聯(lián)盟大中華區(qū)-版權(quán)所有28網(wǎng)絡(luò)安全和云上權(quán)限45%的受訪者表示，網(wǎng)絡(luò)威脅檢測是網(wǎng)絡(luò)安全中最具明在檢測和響應(yīng)潛在安全威脅方面存在困難。減少安全挑戰(zhàn)性的方面，41%的受訪者表示他們難以應(yīng)對安網(wǎng)絡(luò)流量的可觀測性也是一個重要挑戰(zhàn)，35%的受解自己的網(wǎng)絡(luò)流量。其他網(wǎng)絡(luò)安全方面，如細(xì)粒度的網(wǎng)?20