2021 Thales資料威脅報告調查超過2,600 資安專業人員和執行主管,包括850位以上的亞太區受訪者。當被問到安全基礎設施在因應疫情產生的新風險的準備狀態時,只有20%受訪者表示他們的安全基礎設施已對這些改變做好充分準備。
疫情改變安全策略,「零信任」優先技術部署
當被問到安全基礎設施在因應疫情產生的新風險的準備狀態時,只有20%受訪者表示他們的安全基礎設施已對這些改變做好充分準備。表示做好相當準備的受訪者略超過三分之一(34%),認為準備不太足夠的有29%,另17%則表示完全沒做準備。這意謂著現有的安全能力無法妥善因應疫情帶來的改變。
有關疫情帶動的投資方面,近半數(44%)受訪者表示隱私和安全性是最重要的。新工作模式和相關風險是影響此一決策的原因。既有的安全基礎設施必須接受重大改造以因應遠距工作挑戰 - 遠距辦公帶來的改變就是產生一些例外條件,衝擊許多安全措施。
另一項壓力就是要提高基礎設施可用性,32%受訪者表示最重要的是投資基礎設施/雲端。遠距辦公需要提供高可用且高效能的應用程式和工具,這意謂著外部雲端基礎設施要和分散式或混合地端資源結合,24%受訪者重視的是這方面的投資。
疫情也影響未來投資。最大多數(46%)受訪者在疫情下的優先技術部署為零信任網路存取或軟體定義周邊技術。以雲端為基礎的存取管理(提供以政策為基礎的存取、驗證和單一登入服務)是排名第二的最重要存取技術,41%受訪者選擇這項技術。這些意見符合增加中的遠距辦公趨勢以及企業對遠距辦公者的安全維護需求。
被詢問零信任策略時,34%宣稱擁有正式策略並已積極採納零信任政策 - 領先全球平均值(30%)。有趣的是,那些擁有正式零信任策略的組織比較不會遭入侵。當問到有關零信任安全性對於雲端安全策略的構成時,35%受訪者表示「佔很大比例」,42% 表示仰賴零信任的一些概念。
遠距辦公x雲端的時代已經來臨,但相關安全技能短缺
疫情帶來的最大改變之一就是轉移到遠距辦公,而這也引起資安團隊的關切:43%表示相當關切員工遠距辦公的安全風險與威脅。較大多數受訪者對他們現在的存取環境 具有相當信心:53%表示能讓員工以安全 而簡單的方式執行遠距辦公 (25%非常有信心,28%具有相當信心),然而這也代表有多達47%感到關切(其中17%完全沒信心)。如果遠距辦公持續存在,那麼這是一個需要改變的狀況。
大多數企業組織都強化利用雲端基礎設施, 而雲端也已成為更多企業資料的儲存位置。 亞太區31%受訪者表示他們的資料有41- 50%儲存在外部雲端,25%表示超過半數儲存在雲端。
在資料保護方面,30%亞太受訪者表示他們在雲端的機敏資料有41-50%採加密保護,僅17%受訪者表示超過50%採加密保護。儘管雲端採納率增加,但46%受訪者認為雲端環境的資料隱私和保護比地端網路環境來得複雜(23%贊同,23%非常贊同)。由於雲端安全技能的短缺,這個問題將需要靠投資更好的管理技術來解決。
資料外洩及其他失誤
資料外洩事件可以當作是對一個企業安全營運成效的最終檢驗。全球資料外洩事件數量相對較高,超過半數(56%)亞太受訪者宣稱遭遇過安全事件,符合全球平均發生率。其中,30%表示在過去12個月發生過一次。 有趣的是,稽核失敗比率明顯低於全球平均值,43%報告稽核失敗,而全球則為48%。
資料安全維護的挑戰之一就是了解資料儲存位置以及它們的機敏等級。調查報告檢視了這二個領域,結果讓人關切。僅25%亞太受訪者表示完全掌握資料的儲存位置,約三分之一(33%)宣稱能夠完整分類他們的資料。這雖然符合全球平均值,但也顯示企業必須花更多心力,不僅要知道資料儲存位置,而且也要了解如何建構充足的保護以預防外洩。令人欣喜是有些方面仍有一些進步,例如受訪者表示他們免除了資料外洩事件通報,因為遭竊或外洩的資料有加密或者採用代碼化保護。近半數(46%)受訪者表示他們免除了通報。隨著資料保護技術使用率的提高,我們期待這個數字將會增加。
關切量子運算帶來的安全威脅
威脅態勢持續變化,近半數(45%)受訪者表示過去12個月不論數量、嚴重性和(或)攻擊範圍都有增加。亞太方面,57%認為惡意軟體是最大的安全攻擊來源,其次是48%認為的勒索軟體。
亞太受訪者比較關切的是那些比較前瞻性的威脅。約半數(50%)非常關切量子運算帶 來的安全威脅。此種程度的認知,將引起大家對後量子加密技術和改善加密敏捷性的興趣。
預防資料流失最常被排在資安支出第一位
資安支出決策一向很複雜。預算優先性需要取捨才能取得均衡,本報告檢視受訪者如何評量那些項目。預防資料流失最常被排在第一位,佔40%受訪者意見。多因子認證排名第二(36%),這項技術在保護雲端機敏資料方面也獲得高評價(以58%僅次於加密技術的67%)。
資料保護策略
資料保護的基礎在於加密效率和金鑰管理策略。一如前述,受訪企業有擴充使用加密技術的空間,但若欠缺良好的金鑰管理,則增加使用率並不會改善整體資安態勢。本報告檢視受訪者環境的現狀,以及他們如何管理這個重要的安全營運領域。
67%選擇加密作為確保雲端機敏資料安全的喜好工具。金鑰管理以58%排名第二,資料代碼化則是 52%。興趣和行動之間存在顯著差距,僅30%受訪者表示他們大部分的雲端機敏資料採加密保護(41-50%)。加密使用率不高的原因可能是因為整個組織基礎設施管理上的複雜性。受訪者表示現在已經很複雜,38%表示他們有五到七種金鑰管理方案。另14%表示有8-10種方案。這使得他們很難有效率的將這些技術延伸到雲端,也因此說明了為何大多數(61%)受訪 者表示他們的雲端服務供應商控制他們所有或大多數的金鑰。僅12%表示完全掌控他們的雲端金鑰。
那些擁有某種程度控制權的受訪者則部署了不同的戰術。亞太受訪者比較不像全球平均受訪者那樣採用服務供應商控制台,有47%選擇這項。他們比較傾向使用 攜帶自有金鑰(BYOK)策略,40%完全採用BYOK,而33%在服務供應商環境管理攜帶金鑰。
展望未來
調查報告提供有用的指南,協助企業規劃他們的安全策略。疫情帶給我們的一個主要教訓就是,安全策略需要提升安全管控的敏捷性以及對於資料保護策略的深度了解。未來基礎設施將增加其混合本質,資安團隊必須能夠有效率的管理這個更複雜的環境。這意 謂著控制與安全管理將必須延伸到雲端,並且不能讓任何一個雲端環境變成孤立的營運領域。
資料法規例如GDPR的遵循要求以及 Schrems II的裁決,顯示單憑原生的雲端 管控也許不足以保護機敏資料。企業需要加深他們的加密使用,並且透過攜帶自有金鑰 (BYOK)、保有自己的金鑰(HYOK)、攜帶自有加密(BYOE)等方法管控那些保護他們資料的金鑰,以充分實現加密技術效益。
企業需要進行改變以確保安全挑戰獲得整個企業了解,並且訂定適當的投資優先順位。如果整個組織觀點未能協調一致,那麼要建立有效的策略和安全投資決策將更加複雜。特別是法規的改變和潛在的國家損害賠償迫使企業必須加速前進。
本文轉載自「2021 Thales資料威脅報告: 亞太版」