(一)执行摘要
根据新的SANS调查,尽管长期以来有对信息安全的担忧,云供应商安全控制缺乏可见性以及云措施措施的缺点,但是过去12个月以来,终端用户组织对云服务的需求是持续不断。自2015年SANS云安全调查以来的一个很大不同是:信息安全专业人士似乎已经接受了云,它就在这儿,有时候,在某种程度上,他们做一些能做的事,使企业边界安全。
业务部门决策者和管理人员了解威胁,在“2016 Tech Forecast,”中,“计算机世界”将云计算和安全产品列为IT预算的首选列表中,而on-premise软件(on-premise指的是买来部署在自己组织内的软件)的支出则下降得比任何其他类别要快。
尽管风险明显高于传统的受到很好控制的非云系统,SANS
2016云安全调查显示,近四分之一的受访者(24%)在组织采用“cloud
first”战略。使用公共云或on-premise部署应用程序合适,30%的受访者表示他们更喜欢on-premise部署应用程序。总而言之,结果表明,70%的受访者在非常乐意使用公共云计算服务的组织中工作。
2015年,SANS报告了一些与使用云计算相关的重要数据,以及云安全控制和流程的状态。一些最重要的外包包括:
•40%的组织在云端存储或处理敏感数据
•40%的组织将未经授权访问其他租户的敏感数据,作为公共云部署最为迫切的关注点
•33%的受访者表示,他们目前对公共云提供商的操作行为没有足够的可见度
•在云中遇到攻击的组织,有33%将恶意软件列为TOP的私有云攻击,而36%的企业将DoS作为公共云的TOP攻击
今年有什么变化?云安全状况是否有所改善?保持一样?今年的调查结果显示:
•27%在公共云中部署电子邮件和message服务,17%使用协同和文档管理应用,13%使用公共云中的网络服务。
•48%的受访者将员工数据存储在公共云端,24%存储客户的财务信息。
•62%发现未经授权访问,成为云应用使用中最大的安全隐患。管理程序漏洞和控制来自非受控设备的访问能力有限也是关键问题。
(二)调查统计
今年有298名来着各行业的专业人士的反馈。代表的行业包括技术,政府,银行和金融(2015年前三名),其中还有许多其他行业(见图1)。
大多数组织(42%)大于5000名员工(中型企业和非常大型组织之间的组合相当均匀),其中19%的员工有1,000至5,000名员工。另有39%的受访者在小型企业中工作人数不足1000人,其中14%的受访者代表的员工人数不足100人。填写调查报告的大多数人员处于安全分析和运营角色(26%),其中也有许多IT行政和运营角色(类似于2015年)。然而,与去年相比,网络管理员和运营团队成员的代表人数减少。图2提供了前10名受访者角色。
我们确实注意到,IT和安全管理受访者的比例高于2015年,这可能表明管理层对云计算有更多的兴趣和参与(特别是安全性)。
鉴于四分之一的受访者认为在欧洲遵守法规(特别是隐私法),所以有41%的受访者反馈,见表1。
大多数组织总部设在美国(73%),其中12%在欧洲。所有其他国家/地区的比例较小。
(三)云计算现状
以各种形式采用公共云计算,仍然有增无减。在2015年,59%的受访者表示目前正在使用SaaS模式进行部署,只有不到30%使用IaaS和PaaS。2016年,这些数字非常相似。56%的受访者使用SaaS,另14%的受访者计划在未来12个月内实施。我们询问受访者是否正在使用或计划使用公共或私人IaaS产品,更多表示愿意使用私有IaaS服务(36%使用私有,28%使用公共IaaS)。超过一半的组织表示,他们没有计划实施公共IaaS或PaaS。这些回应似乎表明,大多数组织目前正在使用SaaS,有些正在使用或计划使用私有IaaS(公共云供应商环境中的私有云),以及更少的组织使用或规划来使用公共IaaS或PaaS产品。对于那些计划在未来12个月部署云服务的企业来说,SaaS排名最靠,占14%。
对于云承载的应用来说,电子邮件/message应用最多(85%),以及协同工具(84%)。其他关键应用包括80%的灾难恢复和备份服务,其次是服务器虚拟化、存储、人力应用和其他在线应用,分别是78%,76%,76%和75%
, 分别。此外,75%的受访者在云端使用安全服务。
值得注意的一个有趣的发展是绝大多数使用私有云服务(或私有和公共的),而不是使用公共云承载大多数应用程序和工作。电子邮件和massage应用是最高的“仅部署公有云的”,只有不到27%。公共云中的协作和文件管理服务也是使用公有云较多的(大约17%),另外24%使用公共和私有。参见图3。
这些反馈也与未来12个月许多预期的增长率相一致:16%的企业预计SaaS部署将大幅增长,12%的企业预计与私有IaaS增长。大多数受访者(77%)觉得SaaS将有所增长,高于其他云部署模式(见图4)。
数据和云安全
在其2016年“State of Cloud Security”报告中,云安全联盟承认,云计算的使用正在迅速增长,但仍然存在许多安全缺陷。首先,云提供商需要更多地了解各种数据,包括威胁情报和事件信息,控制状态和细节,以及对开放式企业架构的支撑。他们还承认,在云安全方面存在重大技能差距,并且缺乏很多合格的安全分析师和运营人员,以帮助设计和维护云安全控制。
2015年,有40%的受访者表示他们在云中存储了某种形式的敏感数据。虽然今年我们并没有提出类似的问题,现在看来,更多的敏感的数据已存储在云中。几乎一半(48%)的受访者表示他们将员工记录存储在云端,其次是商业情报、商业财务和会计记录,分别为41%和38%。存储客户信息(包括个人数据和财务数据)以及知识产权和医疗保健信息都较少。表2提供了数据受访者组织在公共云中存储类型的年度比较。
存储在云中的大部分数据都需要遵守某种形式的监管或行业合规性要求,响应表明46%的受访者组织必须遵守支付卡行业数据安全标准(PCI DSS),33%需要遵守SOX(较去年下降)和35%遵守HIPAA。这些云采用者必须遵守的合规性要求的完整细目如图5所示。
与2015年的调查一样,与云使用相关的最大问题是外部人员(62%)和其他云端租户(59%)未经授权访问数据。虚拟机管理程序漏洞,来自非受控设备的非授权控制的访问,以及无法满足合规性要求也是首要问题。39%的受访者表示他们的云遭到了停机,32%的受访者表示他们对公共云中的数据何时处理和如何处理缺乏了解。由于应用程序快速spun
up,31%的用户发现配置不当的问题。也可能是使用了不遵循安全DevOps做法的产品来导致了配置问题。许多人还表示,他们在云服务提供商的SLA方面遇到问题,例如难以应对事件响应、云应用程序和数据或正确维护合规性。参见图6。
云攻击
受访者反馈,相比2015年,云的攻击略有增加,10%声称2016年受到涉及云应用和数据方面攻击,而2015年为9%。在2015年,大约25%的人表示不确定他们是否被攻击,而在2016年只有22%的人表示怀疑。这可能与云的安全监测和检测功能的改进有关,以及安全团队对云环境的安全意识和注意力的提高。
对于10%的受访者来说,他们的云计算基础架构、应用和数据都是遭受攻击,绝大多数(50%)表示账户和凭证受到劫持。这与今天新闻中的许多攻击行为相一致,特别是2016年8月的披露,Dropbox在2012年泄露了6000万客户的帐户数据和密码,根本原因是员工的密码在其他地方被使用,然后被作为了攻击的入口。更多的组织使用公共的协作和文件管理服务(见前面报告的图3),这种类型的攻击可能会变得更加普遍。虽然攻击行为总数很小,但涉嫌盗用证书的攻击行为百分比增加,这表明,攻击者的重点发生了重大转变,2015年只有28%的凭证被盗。在2016年,拒绝服务攻击和特权用户滥用在接近29%,其他云应用的交叉缺陷,虚拟化问题和来自云应用的数据泄露在25%。在2015年,云环境中发生的主要攻击是恶意软件感染和拒绝服务,这在今年稍微不太常见。参见图7。
云安全能力的成熟度
受访者云安全能力、技术和控制的成熟度差异很大。几乎一半的受访者认为,云中的数据的地理识别目前不是一个强的领域,可视化和数据保护分别是第二和第三位最不成熟。相比之下,许多组织认为,保持可用性,满足SLA并满足合规要求的能力在云中相当成熟。如图8所示。
实施云安全的挑战
由于对云事件的检测和响应的关注,重要的是要了解,组织在事件检测和云环境响应方面的挑战。
56%的受访者认为了最大的挑战是,只能范围低级别的取证和事件数据,其次是多租户问题,其中45%选择。这些挑战是直观的,因为大多数云提供商限制了租户的stack的层级,提供分析攻击所需要的日志和基础设施信息来是困难的。低级法取证数据的访问也是201t5年的一个挑战,这意味着这是一个持续的问题。许多团队还认为,他们无法从云提供商那里收集适当的信息,或受到合同约定的限制(见图9)。
幸运的是,为了提高云环境的安全性,我们有办法克服这些挑战。
(四)构建更好的云防御
令人遗憾的是,许多组织仍然没有为云部署提供政策和治理的基础。只有48%的政策和治理计划已经到位,但有39%没有,另有13%的人不了解。如果没有执行策略和官方政策,来管理系统、应用和数据如何迁移到云中,组织就不太可能成功地保护这些资产。
基于前面有关云安全成熟度的反馈,许多组织需要重新思考如何实现这一体系。首先,从核心基础政策和控制要求开始,如多因素认证和强密码,以及提供商的需要提供的SLA需求和具体安全保障,然后着重于更多的战术实施细节。例如,跟踪数据的地理位置,可能暂时排除的,因为云提供商不提供这样的方法。
然而,无论是否有政策,组织在管理或外包云安全控制方面至少也取得了一些成功。
VPN,网络访问控制,IDS /
IPS,防恶意软件和漏洞扫描工具发挥着作用,许多组织认为这些工具在云环境也发挥作用。因为这些都是非常传统安全控制,所以很多团队都喜欢管理这些。然而,一些其他控制正在以安全即服务(SecaaS)形式运行,主要是多因素身份验证(14%),行为和性能分析(13%)以及其他几个领域,包括身份管理和云加密网关以及安全访问代理。见图10。
对于利用SecaaS提供商控制或集成自己的安全解决方案和功能的用户,通常需要与云提供商API集成。只有32%的组织做到了。利用这些API,最常见的控制是日志和事件管理(71%),其次是身份和访问管理(60%)。对于可视化和帐户劫持,利用这两个领域来快速巩固云安全。
PaaS和IaaS实例的配置管理也很常见,漏洞扫描也是如此(参见图11中的完整列表)。
幸运的是,云中实施安全控制的预算没有减少。事实上,由于满足合规性和安全性最佳实践所需,安全控制措施有所增长,而且这些领域也与内部以及API集成的技术保持一致。
42%的受访者表示联合身份管理预算增加,40%的多因素认证支出增长了,39%漏洞扫描支出增加,37%的加密和数据安全控制的支出增加。一些的预算是静态的,相对较少的组织预算有下降。一些报告的减少可能是是由于部分是云服务内置功能(例如,Microsoft
Office 365和其他类似服务提供了反恶意软件)。有关预算变化的详细信息,请参见表3。
由于帐户遭到劫持,以及对云环境缺乏可见性,安全团队监测和控制员工对云的使用情况至关重要。一些组织(30%)正在采用某种形式的实时监控和告警,另外28%的组织在监控事件或SIEM平台中监测日志。这些数量非常低,组织需要推动云提供商提供更精细的日志数据,以及需要API来收集、汇总和处理数据。绝大多数企业组织在内部大量使用日志和事件管理解决方案,因此在云中只有28%的用户这样做,将安全行业倒退了大概五至十年。虽然大多数“其他”答复都是“我们不确定”,其他使用内部管理(23%)或基于云(14%)的活动监控解决方案来帮助识别云中的“shadow
IT” (见图12)。
对于使用cloud
access security broker
(CASB)解决方案用户很少,这令人感到惊讶,因为这与当今市场上看到的其他趋势不一致。考虑到这些活动是CASB核心功能的一部分,有可能一些使用CASB的受访者选择实时监控和警报作为其反馈。这是需要密切关注的趋势,很有可能显著增长。
许多组织也对云应用和基础设施进行渗透测试有兴趣,实际上可能需要这样做才能达到合规目的。
42%的受访者表示允许他们对云资产进行渗透测试,另有32%的受访者无法自行进行测试,但是从供应商本身获得独立的测试报告。
15%的供应商既不允许测试也不提供测试报告。这绝对是一个问题。组织应该选择允许测试或提供测试结果的云提供商,避免那些没有的。一些SaaS提供商不允许进行渗透测试,因为应用环境配置,但许多PaaS和IaaS提供商都可以进行渗透测试,并且更多的提供商将来可能会促进这种测试,以帮助客户满足内部标准或合规性要求。
(四)展望
似乎每个组织都云化。但是,任何特定的安全事件会导致组织将应用移回内部吗?事实上,78%的受访者认为大规模的外部攻击行为可能会导致此事,其次是74%的客户数据丢失也会触发。合规违规、雇员资料丢失和其他事件也可能导致此问题,但谁知道呢?基于云应用和数据的迅速发展,任何小事件都不太可能导致组织“撤回”其基础架构,但许多安全专业人员认为,任何重大安全事件都可能被证明是一个催化剂(见图13)。
我们还努力更多地了解云提供商的安全控制的类型。一直以来,SANS的研究人员、一般公众,安全专业人士认为,我们需要更多的透明度和深入了解云服务提供商正在做什么以及如何管理安全控制。我们获得的大部分信息来自各种行业标准控制框架和报告。大多数受访者似乎喜欢ISO
27001(68%),喜欢SSAE 16 SOC
2报告和云安全联盟(CSA)云控制矩阵的稍微少一点,分别是34%和27%。使用的其他报告包括NIST,PCI
DSS和FedRAMP(见图14)。
很明显,我们在设计和实施云安全策略方面还有很多工作要做。受访者对云和安全策略的评论揭露了一些主要的主题:
•安全团队希望更多地在云中访问事件和取证数据,而不管使用的云模型如何。
•组织需要从云提供商获得更好的可视性和透明度,了解使用的安全控制和流程。
•云安全解决方案(供应商选项和云服务提供商能力)通常被认为是不成熟的。
•管理员和IT人员需要更好地了解提供商的云架构和的安全控制能力。
总的来说,情况在改善,尽管缓慢。然而,直到云提供商变得更加开放和适应安全数据和控制,这可能是一个缓慢的过程。对于云用户来说,今天仍然面临的最大挑战仍然是围绕云提供商的控制和实践的可见性,以及缺乏工具和集成功能,可与内部安全控制兼容。随着越来越多的安全即服务解决方案和API逐渐变得可用,许多提供商目前还没有足够快的速度来满足企业在云中的需求。
2017年,我们希望云提供商增加更强大的安全控制和增加集成第三方解决方案,提供访问适当事件检测、响应和取证所需的更多成果,并提供更多有关其控制和流程的详细信息,以帮助确保客户的环境安全。