最近的研究數(shù)據(jù)紛至沓來。Thales 2022年全球云安全研究發(fā)現(xiàn)，在過去12個月中，有45%的企業(yè)經(jīng)歷了云數(shù)據(jù)泄露或未能進行審計（希望這個數(shù)字可以細分）。如果您一直在關(guān)注這個領(lǐng)域，您會發(fā)現(xiàn)這與前一年只有5%的差距。是什么原因?qū)е铝诉@樣的情況呢？

總體而言，我們正面臨一系列問題：對云安全投資不足、對基于云平臺的重度依賴以及缺乏云安全人才。許多企業(yè)不得不雇傭資質(zhì)較低的專家，再加上惡意行為者利用生成式人工智能等新工具不斷升級，導致大部分企業(yè)無法妥善應對新挑戰(zhàn)。

數(shù)據(jù)失控

其中一個更重要的擔憂是影子數(shù)據(jù)的增長。影子數(shù)據(jù)是指在企業(yè)IT基礎(chǔ)設施內(nèi)創(chuàng)建、存儲或傳輸?shù)臄?shù)據(jù)，而企業(yè)IT部門沒有知情或控制權(quán)。這些數(shù)據(jù)通常存在于未經(jīng)批準和監(jiān)控的系統(tǒng)之外，包括存儲在員工設備、云服務或其他未經(jīng)批準和不知名的應用程序上的數(shù)據(jù)。

如果您曾經(jīng)將包含敏感業(yè)務數(shù)據(jù)的文檔從企業(yè)云數(shù)據(jù)庫復制到一個便攜式存儲設備上以便在家里繼續(xù)工作，或者在出差前將一個基于SaaS的應用程序中的客戶名單通過電子郵件發(fā)給自己，那么您正在使用影子數(shù)據(jù)。影子數(shù)據(jù)可能包含敏感或機密信息，其不受限制的性質(zhì)會對數(shù)據(jù)安全、合規(guī)性和治理性帶來風險。

這更多是一個培訓問題，而不是云安全問題。您可以對使用這些數(shù)據(jù)設置所有限制，甚至監(jiān)控使用情況，但歸根結(jié)底，如果數(shù)據(jù)可以在屏幕上看到，就有可能變成不安全的影子數(shù)據(jù)。

IT安全專業(yè)人員習慣于通過工具和技術(shù)來解決這個問題，但這可能會給人一種虛假的安全感。我們需要一場關(guān)于如何處理數(shù)據(jù)的培訓，而IT部門可能認為這是其他部門的問題。通常這個責任被推給了人力資源部門，這就使得問題很少得到解決。

配置錯誤

配置問題通常是云數(shù)據(jù)最重要的風險，也是最容易被忽視的。給我一個數(shù)據(jù)泄露事件，我會告訴你是哪些愚蠢的事情導致了它的發(fā)生。最近有一個大型汽車制造商由于云存儲系統(tǒng)的配置錯誤，導致超過兩百萬客戶數(shù)據(jù)被暴露。

正確配置的安全系統(tǒng)很少會被繞過以獲取數(shù)據(jù)訪問權(quán)限。通常情況下，存儲系統(tǒng)沒有得到保護或數(shù)據(jù)庫需要更多加密措施。在為基于云的系統(tǒng)和數(shù)據(jù)存儲配置安全性時，有人并不完全了解他們所做的事情，這與我之前提到的人才短缺有關(guān)。如果我們遭受了大規(guī)模損失，往往會以這種方式發(fā)生。

其他威脅

我們還面臨著新興的威脅，例如不太安全的API。如果您在基于云的平臺上構(gòu)建和部署應用，API是您工作中的主要驅(qū)動力。API不僅由云供應商提供，還內(nèi)置在業(yè)務應用程序中。它們提供了對業(yè)務數(shù)據(jù)的開放訪問點，并常常被作為“鑰匙”留下。

其他新興威脅包括使用生成式AI系統(tǒng)來偽造信息。正如我在這里所提到的，這些受AI驅(qū)動的攻擊正在發(fā)生。隨著惡意行為者在利用AI系統(tǒng)方面變得更加熟練（通常通過免費云服務），我們將看到可以繞過最復雜安全系統(tǒng)的自動化攻擊。要防御這些新穎的攻擊方式將會很困難。

事實上，利用生成式人工智能按需創(chuàng)建惡意應用程序代碼，僅憑可以生成和啟動的攻擊軟件系統(tǒng)數(shù)量之多，攻擊成功只是時間問題。況且，大多數(shù)企業(yè)IT領(lǐng)導者無法以與攻擊者相同的速度升級自己的防御能力。

我們能做些什么？

要解決這個問題，云安全負責人需要采取一些行動。建立一個更安全的云平臺的最佳途徑是打牢基礎(chǔ)。這意味著采用零信任安全策略和最佳云安全工具。通過這樣做，您將建立起更好的防御體系，使其他企業(yè)變得更具吸引力，從而減少成為攻擊目標的可能性。這就像放置了一個更牢固的鎖，使得別人更愿意去盜竊沒有鎖的摩托車。

解決如此嚴重的漏洞需要整個公司共同努力，提升員工對云安全的認知。我認為有兩個關(guān)鍵領(lǐng)域：首先，從銷售主管到行政助理等普通用戶必須改進安全實踐。他們需要接受培訓和治理，并對違反合規(guī)性使用數(shù)據(jù)負責任。

其次是提升企業(yè)雇用的安全人才水平。這意味著為招聘最優(yōu)秀的安全專家提供薪資支持，并支付持續(xù)培訓費用，并優(yōu)先考慮參加培訓所需時間。我經(jīng)常聽到缺乏培訓演習的故事，因為安全人員不得不應對突發(fā)事件。請猜猜為什么這些突發(fā)事件會發(fā)生？如果您認為是缺乏培訓，那您就走對了路。