2024年云原生安全的現(xiàn)狀報告-派拓網(wǎng)絡(luò)PANW

2024年報告2023年，敏捷開發(fā)、開源軟件和云原生技2023年，敏捷開發(fā)、開源軟件和云原生技術(shù)的發(fā)展勢頭十分強勁，而針對應(yīng)用層的攻擊也成了一種必然趨勢。云原生生態(tài)系統(tǒng)面臨著供應(yīng)鏈攻擊激增的問題，這表明開源軟件和第三方庫中普遍存在的漏洞。我們的Unit42團隊分析的真實世界數(shù)據(jù)坐實了這種局面，將云確定為主要的攻擊面，80%的中度、高度和嚴重暴露都存在第三個懸而未決的重要因素。2023年，全在開始探討2024年云原生安全現(xiàn)狀時，我們首先回顧一下2023年發(fā)生的事件以及產(chǎn)生的影響，這些事件和影響都與我們當(dāng)前的態(tài)勢、我們面臨的挑戰(zhàn)以及我們?yōu)閷崿F(xiàn)預(yù)期成果而選擇2DataCreatedWorldwide2010-2025云安全與我們努力實現(xiàn)的其他目空出世，成為了一種突破性技術(shù)，它有可能將開發(fā)時間和成本減半，最終重新定義應(yīng)用經(jīng)濟。3但就像云技術(shù)及其無數(shù)好處與我們必須解決的挑戰(zhàn)密不可分一樣，作為一種開發(fā)工具，生成式人工智能也伴隨著令人擔(dān)憂的問題。就在我們剛剛開始思考潛在的問題時，OWASP就面向安全團隊發(fā)布了十大LLM安全風(fēng)險，提醒我們注意提示詞注入、不安全的輸出處理，以及但挑戰(zhàn)對我們來說并不陌生?？梢哉f，生成式人工智能就像云技術(shù)一樣，已經(jīng)成為一種主流。我們將以責(zé)任意識和安全優(yōu)先展望未來，當(dāng)我們在追求目標的道路上不們努力實現(xiàn)的任何其他目標一樣，都是我有備無患，時預(yù)測威脅并調(diào)整戰(zhàn)略可以確保在與時間的賽跑中，做好充分準備才是游戲的奧義。除了時間的束縛，幾乎聽不到云安全從業(yè)者談?wù)撈渌袋c。畢竟，他們有備無患，時預(yù)測威脅并調(diào)整戰(zhàn)略可以確保受訪者希望更好地確定風(fēng)險優(yōu)先級，這是可以理解的。超過90%的人表示，自己使用的單點工具數(shù)量過多，造成了盲點，影響了確定風(fēng)險優(yōu)先級和防范威脅的能力。62%的安全從業(yè)人員希望獲得方便使用的安全解決方案，每3位受訪者中就有務(wù)提供商(CSP)為其部署的應(yīng)用程序提供強調(diào)了減少安全工具數(shù)量的重要性，從簡4源源不斷的問題，例如與人工智能生成的代碼和未管理的API相關(guān)的安全風(fēng)險，加上訪問管理不完善和攻擊面不斷擴大等傳統(tǒng)挑戰(zhàn)，凸顯了云安全威脅不斷變化的本質(zhì)。各企業(yè)正在重新思考其戰(zhàn)略，許多企業(yè)強調(diào)需要進行根本性變革，從一開始就增強云安全性。要為安全和DevOps團隊各企業(yè)正在采取哪些措施來有效保障數(shù)據(jù)安全并滿足快速部署的需求？各企業(yè)在哪些方面遇到了挑戰(zhàn)？企業(yè)如何在安全和開發(fā)團隊之間架起橋梁？企業(yè)應(yīng)對人工智能相關(guān)安全風(fēng)險的準備情況如何？如何有效我們一年一度的多行業(yè)調(diào)查旨在回答這些問題以及更多問題，深入探索塑造云原生2024年調(diào)查發(fā)現(xiàn)當(dāng)被問及如果是首次遷移到云，他們會采取哪些不同的做當(dāng)被問及如果是首次遷移到云，他們會采取哪些不同的做法時，50%的受訪者表示會花更多時間重構(gòu)應(yīng)用程序，而不我們的調(diào)查顯示，將工作負載轉(zhuǎn)移到云端但未針對云端進行優(yōu)化的企業(yè)，其總體擁有成本較高，這也印證了上述觀點。更重要的是，他們的應(yīng)用程序并沒有獲得云技當(dāng)安全被視為一種障礙48%48%52%</></>人工智能生成的代碼比人工智能輔助的攻擊更超過五分之二(43%)的安全專業(yè)人士預(yù)測，人工智能驅(qū)動的威脅將避開傳統(tǒng)檢測技術(shù)，成為更常見的威3838%38%的受訪者將人工智能驅(qū)動的攻擊列為首要的云安4444%100100%24624625283440擁抱未知：人工智能對應(yīng)用程序生命周4343第四年《云原生安全現(xiàn)狀報告》對全球企業(yè)為利用云服務(wù)和新的應(yīng)用技術(shù)堆棧而采用的安全實踐、工具和技術(shù)我們的研究樣本涵蓋了主要行業(yè)部門，其中包括消費品和服務(wù)、能源資源和工業(yè)、金融服超過50%的樣本來自企業(yè)規(guī)模的組調(diào)查參與者中既有高管領(lǐng)導(dǎo)，也有從業(yè)人員，涵蓋了各企業(yè)的廣泛觀點。從業(yè)人員級別的參與者具體來自開發(fā)、信息技術(shù)或信息安全職能所有受訪者都表示自己對企業(yè)的云業(yè)務(wù)和云安全狀況了如指掌，并且數(shù)據(jù)來源于專業(yè)調(diào)PaloAltoNetworks與Wakefield進行，收集了來自澳大利亞、巴西、法國、德國、印度、日本、墨西哥、新加坡、英國和美在各個地區(qū)，云計算投資趨勢都全球各企業(yè)對云基礎(chǔ)設(shè)施、服務(wù)和運營效率進行了大量投資，希望推動數(shù)字化轉(zhuǎn)型和擴張?？傮w趨勢顯示，云計算支出激增，50%以上的企業(yè)每年在云服務(wù)上的投務(wù)運營各個方面的做法表明，隨著企業(yè)追求更高的敏捷性、可擴展性和創(chuàng)新性，投 新加坡澳大利亞 德國 70%1,000萬美元或以上不到1,000萬美元1,000萬美元或以上在各地區(qū)之間，我們看到了細微但有說服力的差異。澳大利亞、墨西哥和新加坡在較高的投資區(qū)間內(nèi)表現(xiàn)出強勁的云計算支出，而美國和英國則繼續(xù)在中等范圍內(nèi)進行大量投資。法國和德國的云計算支出模式顯示出成熟而謹慎的態(tài)度，大部分投資都在900萬相比之下，在巴西、印度和日本等新興市場中，投資額低于1,000萬美元的企業(yè)比例較高，分別為40%、41%和43%。除了云計算的成熟度之外，這一趨勢還可能反映出這些地區(qū)中小型企業(yè)的增多以及保守與擁有“初級基礎(chǔ)設(shè)施”的企業(yè)相比，自稱“廣泛集成”或“完全原生環(huán)境”的企業(yè)傾向于在云技術(shù)上投入更多。例如，在英國，32%投資不足1000萬美元的企業(yè)處于探索云計算的初始階段，而76%投資1000萬美元或以上的企業(yè)已經(jīng)實現(xiàn)了廣泛的云計算集成。這種局面在各地區(qū)都是一致的，表明隨著企業(yè)在云計算領(lǐng)域的發(fā)展日趨成熟，云計算支出也在增加，這很可能是由于采用了更先進的云服務(wù)和架構(gòu)，以云計算的成熟度不僅限于技術(shù)的采用，而是既反映了一個企業(yè)的文化、流程以及駕馭云計算實現(xiàn)業(yè)務(wù)轉(zhuǎn)型的能力，又對其產(chǎn)生了影響。在今年的調(diào)查受訪者中，成熟云計算的成熟度不僅限于技術(shù)的采用，而是既反映了一個企業(yè)的文化、流程以及駕馭云計算實現(xiàn)業(yè)務(wù)轉(zhuǎn)型的能力，又對其產(chǎn)生了影響。在今年的調(diào)查受訪者中，成熟度涵蓋針對特定項目使用基本云基礎(chǔ)設(shè)在這一范圍內(nèi)，我們看到應(yīng)用程序部署方云計算之旅不是線性的。這是一個適應(yīng)、學(xué)習(xí)和轉(zhuǎn)型的連續(xù)過程，由戰(zhàn)略投資、成熟度、部署50%50%的受訪者表示，自己會花更多時間重構(gòu)應(yīng)用程序。直接遷移重構(gòu)云原生36%重構(gòu)云原生對直接遷移的部署偏好(35%)與許多企業(yè)在云遷移過程中采取的務(wù)實方法相一致。雖然云原生和重構(gòu)部署可帶來長期效益，但最初關(guān)注快速、低干從直接遷移開始的企業(yè)通常會通過重構(gòu)發(fā)展到云原生開發(fā)，從尋求速贏發(fā)展到擁抱云優(yōu)先戰(zhàn)略，以提高性能、可擴展性和成本效益。我們的調(diào)查證實了這一趨勢，在使用云技術(shù)3年或以上的企業(yè)中，云原生部署取代直接性能、可擴展性成本效益>速贏從各地區(qū)的成熟度趨勢來看，澳大利亞(26%)、一左右擁有完全云原生的環(huán)境。法國和德國緊隨其隨著企業(yè)深化云投資，他們也在不斷改進應(yīng)用程序的規(guī)模較大的企業(yè)更傾向于采用先進的部署方法，這可能是由于他們擁有更多的資源、復(fù)雜的要求以及對創(chuàng)德國大多數(shù)受訪者（全球67%）表示，用于傳統(tǒng)應(yīng)用程序現(xiàn)代化的支出占其云總體擁有大多數(shù)受訪者（全球67%）表示，用于傳統(tǒng)應(yīng)用程序現(xiàn)代化的支出占其云總體擁有中，成本飆升超過30%，這凸顯了平衡運30%的云計算成本用于改造傳統(tǒng)應(yīng)用$傳統(tǒng)應(yīng)用程序的現(xiàn)代化消耗了云計算總體擁有成本的很大一部分，強調(diào)了戰(zhàn)略性云用于改造傳統(tǒng)應(yīng)用$用程序架構(gòu)問題耗費了在地區(qū)差異方面，拉丁美洲、日本和亞太地區(qū)有更高比例的受訪者（分別為29%和26%）將30%或更多的云計算總體擁有成本用于傳統(tǒng)應(yīng)用程序的優(yōu)化。印度尤為突出，42%的受訪者表示，他們的云計算總體擁有成本中有30%或更多用于面向云端優(yōu)化傳統(tǒng)應(yīng)用程序。當(dāng)被問及為什么開發(fā)人員的時間被挪用到解決錯誤和代碼漏洞時，45%的人將原因歸咎于應(yīng)用程傳統(tǒng)應(yīng)用程序現(xiàn)代化方面的巨額支出突出表明，云遷移項目需要進行戰(zhàn)略規(guī)劃。各企業(yè)應(yīng)評估哪些應(yīng)用程序適合直接遷移，哪些應(yīng)用程序需要重構(gòu)或完全重新開發(fā)，以優(yōu)化成本和效益。安全和合規(guī)方面的挑戰(zhàn)使得這一點尤為重要，因為舊的應(yīng)用程序在設(shè)計時可能根本就沒有考慮到云原生眾所周知，云是模糊的。這里增加一個云服務(wù)提供商(CSP)，那里增加一個安全工具。生態(tài)系統(tǒng)不斷延伸，再延伸。復(fù)雜性始終眾所周知，云是模糊的。這里增加一個云服務(wù)提供商(CSP)，那里增加一個安全工具。生態(tài)系統(tǒng)不斷延伸，再延伸。復(fù)雜性始終以這樣或那樣的形式承擔(dān)復(fù)雜性是每年出版的《云原生安全現(xiàn)狀報告》中反復(fù)出現(xiàn)的主題。迄今為止，我們還沒有看到這方面取得進展的跡象。事實上，專用于云安全的工具數(shù)量比去年的調(diào)查結(jié)果增加了60%。然而，對于經(jīng)常面對復(fù)雜性的人來說，解決復(fù)雜性問題的動力是發(fā)自內(nèi)98%98%的受訪者認為，現(xiàn)在平均有16種云安全工具，必須將其2024年，多云將轉(zhuǎn)化為每個企業(yè)約12家云等。而這僅代表生態(tài)系統(tǒng)中的公有云部分，占企業(yè)云工作負載的一半多一點(52%)。隨確保安全策略、訪問控制和數(shù)據(jù)保護的一致性就會變得越來越困難。對于一半以上的調(diào)查受訪者(54%)來說，云環(huán)境的復(fù)雜性和分雜性和分散性對安全構(gòu)成了重大19VM20%20%云架構(gòu)引入了另一層復(fù)雜性。2024年調(diào)查受訪者的工作負載在不同架構(gòu)中的分布情況表明，企業(yè)正在傳統(tǒng)架構(gòu)（虛擬機）與現(xiàn)代架構(gòu)（無服務(wù)器）之間游這種多樣性要求安全團隊為這些環(huán)境打造一致的策略短暫性和異構(gòu)性為特征，擴大了攻擊面。這就需要一種不同的安全方法，一種具有可操作洞察力、監(jiān)控和調(diào)查結(jié)果表明，企業(yè)正在傳統(tǒng)架構(gòu)和現(xiàn)代架構(gòu)之間徘徊，云技術(shù)正處于過渡階段。20在探討云安全的首要關(guān)注點時，調(diào)查反饋顯示，全球社會對云環(huán)境面臨的多方面威脅有著深刻的認識。從確保人工智能生成的代碼和在探討云安全的首要關(guān)注點時，調(diào)查反饋顯示，全球社會對云環(huán)境面臨的多方面威脅有著深刻的認識。從確保人工智能生成的代碼和API安全所面臨的細微挑戰(zhàn)，到不完善的訪問管理和內(nèi)部風(fēng)險帶來的普遍威脅，這些2API風(fēng)險一系列威脅帶來了嚴重的安全隱患，這說明采取積極主2API風(fēng)險3人工智能驅(qū)動的攻擊4訪問管理不完善5CI/CD對攻擊面的影響667未知、未管理的資產(chǎn)44%的企業(yè)對人工智能生成的代碼引入的不可預(yù)見的漏洞和利用感到擔(dān)憂。在算法自主創(chuàng)建軟件的過程中，由于缺乏人為監(jiān)督，可能會此外，人工智能生成代碼的開發(fā)速度之快可能會超過傳統(tǒng)的安全測試方法，從而導(dǎo)致漏洞可能進入生產(chǎn)雖然這方面的擔(dān)憂普遍存在，但美緊隨其后的首要問題，43%的全球受訪者將目光投向了API相關(guān)風(fēng)險。作為應(yīng)用程序之間進行數(shù)據(jù)交經(jīng)授權(quán)的訪問，暴露敏感數(shù)據(jù)，并企業(yè)的擔(dān)憂主要集中在未管理和不企業(yè)的擔(dān)憂主要集中在未管理和不從地區(qū)來看，巴西最高，52%的受訪者認為這是一個重223人們越來越意識到人工智能可能會被當(dāng)作武器，再加上人工智能的不人工智能的復(fù)雜性和針對性可能會導(dǎo)致更大的破壞，這應(yīng)該引起各企35%35%的企業(yè)將訪問管理不完善列為首要關(guān)注問題，這凸顯了企業(yè)在控制在拉丁美洲等地區(qū)，訪問控制問題尤為突出，44%的受訪者表示CI/CDCI/CD對攻擊面的影響由于CI/CD管道有可能引入漏洞并快速將漏洞部署到生產(chǎn)中，因此236632%的受訪者擔(dān)心內(nèi)部威脅。各地區(qū)的這一比例相當(dāng)一致，從而加劇了降低與內(nèi)部人員（包括業(yè)務(wù)合作伙伴、第三方供應(yīng)商和承包商以及員工）泄密相關(guān)的風(fēng)險這一普遍鑒于鑒于98%的企業(yè)稱自己在眾多環(huán)境中存儲數(shù)據(jù)，因此內(nèi)部威脅的機會事實上，45%的企業(yè)稱，機會增加可能導(dǎo)致了高級持續(xù)威脅(APT)的最后，29%的受訪者擔(dān)心云中未表明人們更加意識到資產(chǎn)管理和可視性方面可能存在差距，從而可能云安全事故呈上升趨勢，其中通常最嚴重的事故（數(shù)據(jù)泄露）的數(shù)量不斷增加，高云安全事故呈上升趨勢，其中通常最嚴重的事故（數(shù)據(jù)泄露）的數(shù)量不斷增加，高另有48%的企業(yè)報告違規(guī)行為增加，隨后是45%的企業(yè)報告因配置錯誤導(dǎo)致的運行安全事故要求企業(yè)不斷調(diào)整和改進自身的實踐，以保持領(lǐng)先安全事故增幅最大的前三位#2違規(guī)行為$$$$$$$$$$#3#3由于錯誤配置導(dǎo)致停機$$$2525 數(shù)據(jù)泄露 重大違規(guī)行為 不安全的API 由于錯誤配置導(dǎo)致停機 高級持續(xù)性威脅 訪問權(quán)限過于寬松的身份 脆弱或中毒的工作負載映像 工作負載之間不受限制的網(wǎng)絡(luò)訪問數(shù)據(jù)泄露數(shù)據(jù)泄露的權(quán)限增加令人感到不安。各企業(yè)都知道身份管理是云環(huán)境的關(guān)鍵，但權(quán)限問題依然存在。從破壞和數(shù)據(jù)泄露到違反合規(guī)性和機密暴露，所有這些事故的上升事故的上升趨勢突出表明，必須嚴格控制訪問權(quán)限并遵守最低特權(quán)原則，才能保護的日益頻繁表明，安企業(yè)目睹了高級持續(xù)性威脅(APT)的增加，這些威脅以其復(fù)雜性、隱蔽性和滲透網(wǎng)絡(luò)的能力而聞名，同時可以長時間不被發(fā)現(xiàn)。令人擔(dān)憂的是，盡管企業(yè)報告稱在檢測和應(yīng)對事故方面沒有遇到不尋常的挑戰(zhàn)，但他們?nèi)匀磺鼜挠谶@種高風(fēng)險的危險。APT發(fā)生頻率的增加表明整體安全態(tài)勢存在缺口。鑒于APT經(jīng)常利用零日漏洞或使用社會工程戰(zhàn)術(shù)來繞過傳統(tǒng)的檢測機制，這樣的情景強調(diào)了采取主動而非被動的安全方法的必要性。這促使人們認識到，需要進行持續(xù)監(jiān)控、威脅搜尋并實施先進的安全措施，才能在攻擊發(fā)生之前進行預(yù)測和預(yù)防。如上所述，風(fēng)險評估可以從仔細保護云中敏感企業(yè)面臨著巨大的數(shù)據(jù)安全挑戰(zhàn)，許多企業(yè)依靠的方法不足在我們調(diào)查的企業(yè)中，有50%會進行人工審核，以識別云中的敏感數(shù)據(jù)并對其進行分類，這是數(shù)據(jù)安全現(xiàn)狀的一個令人擔(dān)憂的指標。人工審核耗時、容易出錯，而且往往不全面，使企業(yè)容易受到數(shù)據(jù)泄露的保護云中敏感企業(yè)面臨著巨大的數(shù)據(jù)安全挑戰(zhàn)，許多企業(yè)依靠的方法不足98%的企業(yè)在多個位置存儲敏感數(shù)據(jù)，包括內(nèi)部服務(wù)器、公有云、帶有本地存儲的50%的企業(yè)依賴手動審查282823%22%私有云分散在多個位置的數(shù)據(jù)難以跟蹤和保護。安全團隊需要深入了解每個環(huán)境的控制和配置，并有能力協(xié)調(diào)多個團隊的安全工作。管理既復(fù)雜又耗時，我們從數(shù)據(jù)安全的首要挑每3位網(wǎng)絡(luò)安全專業(yè)人員中就有2位(64%)發(fā)現(xiàn)數(shù)據(jù)泄露事2950%48%38%54%50%48%38%54%機密管理不善寬松的IAM機密管理不善寬松的IAM實踐或權(quán)限不夠細化對敏感數(shù)據(jù)的監(jiān)控不足復(fù)雜性和分散性有趣的是，過去12個月，雖然只有38%的企企業(yè)發(fā)現(xiàn)機密暴露有所上升。更奇怪的是，報告機密管理不善的拉丁美洲企業(yè)(47%)比其他地區(qū)都多。與此同時，26%拉丁美洲企業(yè)的機密暴露有所下降，這一比例高于其他任何地區(qū)。這就提出了一個問題：對問題的認識是否43%的企業(yè)發(fā)現(xiàn)機密30當(dāng)企業(yè)回憶起第一次向云遷移時，事后看來，在哪些方面可以采用不同的方法來降低當(dāng)企業(yè)回憶起第一次向云遷移時，事后看來，在哪些方面可以采用不同的方法來降低通過探索這些見解，我們獲得了集體經(jīng)驗—融合了戰(zhàn)略規(guī)劃、安全重點、技術(shù)調(diào)整和市場調(diào)研，每一點都有助于實現(xiàn)更有效、更安后見之明為改進云遷移提供了倉促部署帶來了安全多達53%的受訪者強調(diào)了投資治理框架來管理云資源的重要性。這也是我們從客戶那里聽到的，有些客戶將自己早期使用云計算的日子政策和流程，企業(yè)可以確保高效、安全地使用資源。從一開始就建立這樣一個框架，可以提供一個結(jié)構(gòu)化的環(huán)境，以適應(yīng)變化并與企業(yè)一倉促部署帶來了安全半數(shù)半數(shù)(50%)的調(diào)查參與者建議將更多時間花在重構(gòu)應(yīng)用程序上，而不是只做極少改動就能遷移應(yīng)用程序。這一戰(zhàn)略涉及重新構(gòu)想應(yīng)用程序的架構(gòu)和開發(fā)方式，充分利用云原生功能和服務(wù)，從而顯著提高可擴展性、性能和成本效益。調(diào)查反饋反映了企業(yè)各角色之間的平衡觀點，凸顯了這種觀點在面對云環(huán)境加強應(yīng)用準各企業(yè)正在重新思考其戰(zhàn)略，許多企業(yè)強調(diào)需要革，從一開始就3250%50%50%的企業(yè)從一開始50%的受訪者認為，云安全與傳統(tǒng)的企業(yè)內(nèi)部安全有著本質(zhì)區(qū)別，因此主張從云遷移過程一開始就優(yōu)先考慮安全性和合規(guī)性。通過將安全和合規(guī)考量納入遷移戰(zhàn)略，企業(yè)可以避免導(dǎo)致漏洞、數(shù)據(jù)泄露和違規(guī)處罰的隱患。信息安全和IT部門強調(diào)了這種方法，突出了他們對保護企業(yè)資產(chǎn)的重視。從地區(qū)來看，這對拉丁50%的企業(yè)從一開始云環(huán)境的復(fù)雜性和分散性給50%以上的受訪者帶來了云環(huán)境的復(fù)雜性和分散性給50%以上的受訪者帶來了挑戰(zhàn)。33安全流程會引發(fā)延遲、壓力以及DevOps與SecOps之間的沖突，這表明需要采用以人為本的方法來確保應(yīng)用程序開發(fā)安全流程會引發(fā)延遲、壓力以及DevOps與SecOps之間的沖突，這表明需要采用以人為本的方法來確保應(yīng)用程序開發(fā)全流程導(dǎo)致了項目時間進度的延誤，這至少是探討這個問題的一這可能是83%的人認為安全流程是一個負擔(dān)的原因。另有79%的人表示，員工經(jīng)常忽視或繞過安全流程。還有71%的人承認3492%的企業(yè)將DevOps和SecOps團隊之間的優(yōu)先級沖突歸咎于開發(fā)和部署效率對于在云DevOps團隊中配備了云安全專業(yè)人員的94%的企業(yè)來說，這些數(shù)據(jù)點是如何體現(xiàn)的呢？對許多人來說，防御戰(zhàn)略就是由安全人員生成無數(shù)工單讓開發(fā)人員解決。往好了說，這是不可持續(xù)的。往差了說，這會導(dǎo)致錯過最后期限、效率低開發(fā)人員在組織結(jié)構(gòu)的推動下創(chuàng)建代碼、進行創(chuàng)新并交付有收入潛力的功能。換句話說，工單容易累積，造成安全問題積壓。這也是大多數(shù)人錯過上市日期的原因受訪者的壓力可想而知，71%的受訪者表示不僅自己壓力大，隊友的壓力也很大。93%的受訪者認為，離職率高是不難86%的受訪者認為，安全是阻礙軟的人表示開發(fā)人員需要編寫更安全35DevOps與SecOps之間沖突變化速度快，時間緊迫對被黑客攻擊負責(zé)員工流失率員工流失率在領(lǐng)導(dǎo)層考慮工作場所的士氣問題時，他們需要意識到組織結(jié)構(gòu)沖突和程序錯位是如何導(dǎo)致士氣低落的，以及士氣低落是如何侵蝕文化上對生產(chǎn)力的強調(diào)似乎削弱了生產(chǎn)力，因為生產(chǎn)力最終既成為沖突的催化劑，也成為沖多達92%的受訪者都認為，DevOps和云SecOps優(yōu)先級的沖突阻礙了高效的開發(fā)和部生產(chǎn)力既是沖突的根源，也是沖突的36工具問題在很大程度上導(dǎo)致了安全缺陷和漏洞解決的延遲，影響了40%調(diào)查受訪者的開發(fā)進程。每工具問題在很大程度上導(dǎo)致了安全缺陷和漏洞解決的延遲，影響了40%調(diào)查受訪者的開發(fā)進程。每3位安全從業(yè)人員中就有握威脅載體。近五分之二(38%)的人認為在多云環(huán)境中管理安全具有挑戰(zhàn)性。這需要一個高度詳細的大局觀戰(zhàn)略，包括對所有云資產(chǎn)的無死角可視性、跨提供商的一致安全策略執(zhí)行、高級威脅檢測和響應(yīng)能各企業(yè)都在尋求高效的安全工具，這些工具具有自動化、集中可視性和易于使用的功能，40%的企業(yè)在解決缺陷和漏洞時因工具不完善在工具方面，在工具方面，2024年受訪者的首要主題是提高效率和效益。各企業(yè)正在認識到精簡運營的重要性，這不僅是為了成本管理，也是量造成了盲點，影響了確定風(fēng)險優(yōu)先級和預(yù)泛濫的影響，希望減少正在使用的云安全工方面舉步維艱。與去年相比，這一群體大幅增加，這表明離散工具選項的激增使整合目不過，團隊確實知道自身需要哪些能力。個解決方案能夠自動發(fā)現(xiàn)相互關(guān)聯(lián)的漏洞和配置錯誤，并知道哪些攻擊成功的可能性最93%93%的人認為，如果有一個解決方案能夠自動發(fā)現(xiàn)相互關(guān)聯(lián)的云安全缺陷，那么他們的企38便于SecOps學(xué)習(xí)和使用便于DevOps學(xué)習(xí)和使用有競爭力的價格和/或成本一流的安全功能支持各種各樣的平臺和技術(shù)堆棧對應(yīng)用程序和網(wǎng)絡(luò)性能的潛在影響（如延遲）安全團隊(90%)需要更自動化的風(fēng)險優(yōu)先級排序，這將有助于減輕上一節(jié)討論的一些安全負擔(dān)。超過十分之九(92%)的人認為，云安全需要更多開箱即用的可視性和風(fēng)險優(yōu)先級過濾功能，而且只需最低限度的學(xué)習(xí)。事實上，在52%的企業(yè)中，易用性是選擇解決方案時最重雖然他們關(guān)注的重點是威脅，但安全專業(yè)人員受訪者認為，自己將受益于跨所有云賬戶和服益于云計算和應(yīng)用程序安全與傳統(tǒng)網(wǎng)絡(luò)安全的94%的企業(yè)將受益于39人工智能對應(yīng)用程序生命周在人工智能驅(qū)動的世界中，各企業(yè)展示了應(yīng)對未來的云和應(yīng)人工智能已經(jīng)到來，可以說，各企業(yè)既焦慮又樂觀，并且全力以赴。是的，近五分之二的云安全專業(yè)人士(38%)認為人工智能驅(qū)動的攻擊是最令人擔(dān)憂的問題。在具人工智能對應(yīng)用程序生命周在人工智能驅(qū)動的世界中，各企業(yè)展示了應(yīng)對未來的云和應(yīng)超過五分之二的受訪者(43%)預(yù)測，人工智能驅(qū)動的威脅將避開傳統(tǒng)的檢測技術(shù)，變得更加普遍。他們預(yù)計最令人擔(dān)憂的趨勢是什么？47%的人預(yù)計，由人工智能引發(fā)的供應(yīng)鏈攻擊會危及軟件組件或云服務(wù)。緊隨其后的是通過個性化網(wǎng)絡(luò)釣魚、社交工程或深度偽造來欺騙用戶(45%)，以及操縱輸出或利用人工智能系統(tǒng)的漏洞40生成的代碼相關(guān)的安全風(fēng)險納入了視線。盡管如此，100%的受訪者都在接納人工智能輔助應(yīng)用程序開發(fā)—這在PaloAltoNetworks的《云原生安全現(xiàn)狀報告》歷史上尚屬首次。人工智能不僅已經(jīng)到來，各企業(yè)目前正處于人工智能發(fā)展的不同階段。相當(dāng)一部分受訪者(50%)廣泛使用人工智能來生成和優(yōu)化代碼。這方面的地區(qū)性先驅(qū)包括新加坡(60%)、印度(58%)和略高于半數(shù)的企業(yè)采用了較為保守的方100%100%PaloAltoNetworks的90%90%的企業(yè)表示開發(fā)人員需要編47%的企業(yè)已經(jīng)將與人工智能生成的代碼相關(guān)的安全風(fēng)險納入了各企業(yè)認識到，人工智能是創(chuàng)新的推動力，也是潛在的無論如何，企業(yè)都不能掉以輕心。當(dāng)被問及2024年的重中之重時，100%的企業(yè)都致力于了解其人工智能部署的整個流程?？梢曅陨婕傲税舾袛?shù)據(jù)和推斷情境的數(shù)據(jù)集。幾乎每個企業(yè)(99%)都會制定相關(guān)政策，確保對人工智能模型和服務(wù)的訪問權(quán)限是在“需要知道”的基礎(chǔ)上授予的。另有98%的企業(yè)計劃建立一個清單來盤點人工智能模型及其部署的在開發(fā)過程中擁抱人工智能，同時高度關(guān)注人工智能帶來的威脅，表明了一種知情的觀點。各企業(yè)認識到，人工智能既是創(chuàng)新的推動力，也是潛在的攻擊載體，因此似乎敏銳地意識到，必須在追求人工智能效益與采取嚴格的安全措施防范人工智能帶來的威脅之100%的企業(yè)將優(yōu)先考慮了解其整個AI部署42 2024年的云原生安全需要采取2024年的云原生安全需要采取全面、多面的方法，從戰(zhàn)略上關(guān)注長期存在的挑戰(zhàn)和新出現(xiàn)的風(fēng)險。PaloAltoNetworks的研究人員建議優(yōu)先考慮五個考慮使用集中式安全管理平臺，這種平臺將在您的云計算成熟之旅中跟隨您，為您的應(yīng)用程序和數(shù)據(jù)提供端到端的保護。隨著企業(yè)擴展其云并使其架構(gòu)使用多樣化，一種全面的、與架構(gòu)無關(guān)的云安全方法對于實現(xiàn)最佳可視性、控制和為滿足新的云安全要求做好準備的一種戰(zhàn)略方法是，首先選擇一家能夠擴展到未來用例的平臺供應(yīng)商，其中包括應(yīng)用程序和運營安全。這樣，您的安全團隊就能快速響應(yīng)新要求，降低培訓(xùn)成本，43確保為開發(fā)人員制定政策并提供安全的開發(fā)環(huán)境，這樣安全團隊才不至于2人工智能在應(yīng)用程序開發(fā)中發(fā)揮著巨大且快速成長的作用—包括GenAI加速代碼開發(fā)、用作訓(xùn)練數(shù)據(jù)的企業(yè)數(shù)據(jù)以及利用新訓(xùn)練的人工智能模型這些趨勢加劇了云安全的挑戰(zhàn)。由于人工智能生成的代碼可能會導(dǎo)致錯誤配置、漏洞和缺陷更快地擴散，因此保護您的軟件供應(yīng)鏈，使您的開發(fā)人員能夠在其應(yīng)用程序投入生產(chǎn)之前提高代碼的安全等級。自動發(fā)現(xiàn)敏感數(shù)據(jù)，確為利用這些模型而編寫的應(yīng)用程序也需要得到保護。確保為開發(fā)人員（包括人工智能開發(fā)人員）制定政策并提供安全的開發(fā)環(huán)境，這樣安全團隊才不至于苦4433實施數(shù)據(jù)安全戰(zhàn)略，確定如何保護敏感數(shù)據(jù)，無論這些數(shù)據(jù)存儲在哪里。戰(zhàn)略應(yīng)包括加密數(shù)據(jù)、控制數(shù)據(jù)訪問和監(jiān)控數(shù)據(jù)可疑活動的措施。應(yīng)通過技術(shù)控制投資自動化數(shù)據(jù)發(fā)現(xiàn)和分類解決方案。具有數(shù)據(jù)檢測和響應(yīng)(DDR)功能的數(shù)據(jù)描大量數(shù)據(jù)，包括以文本文檔和圖像等非結(jié)構(gòu)化格式存儲的數(shù)據(jù)。選擇包含大量全球最佳實踐和開箱即用的合規(guī)性報告的云安全工具。這將使您的安全團隊做好準備，應(yīng)對創(chuàng)新企業(yè)迅速提出的新定期審查和更新數(shù)據(jù)安全措施，確保這些措施能有效地應(yīng)對不斷變化的威脅環(huán)境，并對員工進行數(shù)據(jù)安全最佳實踐培訓(xùn)。員工需要了解數(shù)據(jù)泄露的風(fēng)險以及如何保護敏感數(shù)據(jù)。安全團隊應(yīng)提供有關(guān)數(shù)據(jù)安全最佳實踐的培訓(xùn)，并定期提員工需要了解數(shù)據(jù)泄露員工需要了解數(shù)據(jù)泄露的風(fēng)險以及如何保護敏安全團隊應(yīng)提供有關(guān)數(shù)據(jù)安全最佳實踐的培訓(xùn)，并定期提醒員工注4544評估您的DevOps成熟度和工作流程。無論將代碼推向生產(chǎn)的頻率是每天、每周還是每月，都