調查發現,數(shù)據洩露是安全從業人員最關心的(de)問題,而且令人吃驚的(de)是,有相當一部分安全從業人員缺乏必要的(de)可見性工具以便得知敏感數(shù)據存放點,或者量化(huà)(huà)相關數(shù)據洩露的(de)風險。
以下便是這(zhè)份《波耐蒙數(shù)據洩露和敏感數(shù)據風險》報(bào)告的(de)主要發現:
1.安全從業人員不(bù)清楚所有敏感數(shù)據的(de)存放點
62%的(de)安全從業人員很在(zài)意自己無法全面掌握公司(sī)敏感或機密數(shù)據存放的(de)地(dì)方。
2.敏感數(shù)據風險量化(huà)(huà)困難
雪(xuě)(xuě)上加霜的(de)是,超過半數(shù)的(de)安全從業人員難以理(lǐ)清存于數(shù)據庫、電子(zi)郵件(jiàn)和文件(jiàn)中數(shù)據的(de)真正風險。
3.數(shù)據洩露位列IT安全風險之首
不(bù)清楚敏感數(shù)據存放點和真正風險的(de)後果,就是安全從業人員無法保護自家公司(sī)免受數(shù)據洩露侵害。超過1/3的(de)受訪者将數(shù)據洩露列為(wèi)最大的(de)IT安全風險。雇員/用(yòng)戶疏忽是第二大,而不(bù)合規和惡意軟件(jiàn)/高(gāo)級持續性威脅反而被認為(wèi)是風險最低的(de)。
4.自動化(huà)(huà)安全正在(zài)興起
半數(shù)以上的(de)受訪者稱自家公司(sī)采用(yòng)自動化(huà)(huà)解決方案發現敏感數(shù)據,防止潛在(zài)的(de)洩露事件(jiàn)。64%稱采用(yòng)的(de)是自研的(de)自動化(huà)(huà)解決方案,而不(bù)是由第三方廠商提供的(de)。這(zhè)個(gè)比例高(gāo)得令人驚訝。
5.對實際監測數(shù)據的(de)不(bù)确定
盡管很多公司(sī)采用(yòng)自動化(huà)(huà)解決方案來監測用(yòng)戶對敏感數(shù)據的(de)操作,幾近(jìn)半數(shù)的(de)受訪者承認他(tā)們實際上并不(bù)清楚到底在(zài)監測什麼。即便在(zài)對此有所心得的(de)安全從業人員中間,實際監測的(de)用(yòng)戶活動和應該監測的(de)活動之間也存在(zài)差異,尤其是在(zài)特權用(yòng)戶訪問、跨邊界傳輸、高(gāo)流量訪問和新(xīn)增數(shù)據的(de)時候。
6.數(shù)據分類工具是最有效的(de)洩露阻斷工具
接近(jìn)3/4的(de)受訪者采用(yòng)數(shù)據分類工具改善數(shù)據安全。最常用(yòng)的(de)數(shù)據分類工具是數(shù)據監測(69%),其次就是加密或标記工具(61%),然後是數(shù)據發現工具(55%)。
7.商業解決方案解決不(bù)了用(yòng)戶行(xíng)為(wèi)風險
盡管市(shì)場似乎有無數(shù)的(de)安全和風險管理(lǐ)廠商解決方案,越有2/3的(de)受訪者表示,很難找到有助于緩解行(xíng)為(wèi)風險(如:雇員/用(yòng)戶疏忽、惡意內(nèi)部人員)的(de)商業解決方案。因此,IT安全團隊要麼放棄此類保護,要麼自己開發一套。
8.情報(bào)分析越來越重要
被問及未來3到5年最重要的(de)過程安全控制方法,超過半數(shù)的(de)受訪者提到了安全情報(bào)分析。威脅反饋和情報(bào)共享(45%)、高(gāo)級身(shēn)份驗證和識别解決方案(40%)、用(yòng)戶配置和身(shēn)份管理(lǐ)(37%)也被認為(wèi)是愈趨重要的(de)。
9.未來幾年雲網關将是關鍵
安全從業者預測,雲服(fú)務(wù)代理(lǐ)和雲應用(yòng)網關(40%),以及用(yòng)戶意識培訓(39%)将是未來幾年最重要的(de)目标安全控制方法。受訪者還提到了信息防護和控制(如數(shù)據丢失預防、跟蹤、屏蔽和加密),以及數(shù)據庫防火(huǒ)牆/行(xíng)為(wèi)監測。
10.威脅和預算驅動安全項目改變
67%的(de)受訪者稱,自家公司(sī)IT安全項目的(de)改變,是由即時威脅和漏洞驅動的(de),第二大驅動因素就是預算和資(zī)源限制。
11.影子(zi)IT将是下一個(gè)安全大挑戰
未來3到5年間,對自家公司(sī)安全項目決策影響最大的(de)業界趨勢,将是IT/影子(zi)IT的(de)消費化(huà)(huà)、流動性和日益增加的(de)攻擊複雜性。(責編:pingxiaoli)
獲取更多專業資(zī)訊
微信掃一掃