資安研究指出：多數單位無法於 1 小時內解決雲端資安威脅

網通廠商 Palo Alto Networks 旗下的資安研究人員發表報告《2023 雲端原生資安狀況報告》(2023 State of Cloud-Native Security Report) 指出，有 90% 單位表示無法自行在 1 小時內發現、處理並解決資安威脅。

報告指出，在 Covid-19 疫情期間，各公私單位擴大雲端服務使用達 25% 以上，但也因此面臨更大的雲端資安挑戰，且雲端應用在開發期間若未注意資安防護，因而產生的資安漏洞，將在應用上線後帶來極大資安威脅。

報告顯示，有 75% 的組織每周會在雲端布署新增或更新的程式碼，甚至有 40% 會每日進行程式碼更新，但沒有任何組織能夠負荷同等的資安防護心力。

報告也指出，許多單位在將應用移往雲端時，仍舊難以完整對應可能帶來的資安威脅與技術困難；有 78% 受訪單位表示將雲端服務的安全責任分散到各單位，而非以單一資安團隊因應，而有 47% 表示旗下員工並不了解對應的資安責任。

另外，這些單位也難以選用適合的資安防護工具，許多單位都同時採用多種不同的資安防護工具，平均的使用種類達 30 種以上，其中只有 6 到 10 種是專門針對雲端的資安防護。這造成管理人員無法輕鬆了解整體資安防護狀況，有高達 76% 組織指出這麼多種的資安防護工具，反而造成資安防護的盲點。

Palo Alto Networks 在報告中指出，駭侵者利用組織資安漏洞發動攻擊的動作通常十分快速，在雲端服務中曝露在 Internet 下的資料，遭到攻擊得逞的所需時間往往只要數分鐘；即時偵測攻擊發生並立即排除，成為雲端應用資安的一大挑戰。

建議各單位在開始轉用雲端服務時，對於整體資安策略應有通盤性的考量，其解決方案也應考量易用性、可擴充性與可見度，並設置專責資安單位，以強化資安防護層級，並加速遭攻擊時的反應速度。

本文轉載自TWCERT/CC。