This post is also available in: English (英语) 繁體中文 (繁体中文) 日本語 (日语) 한국어 (韩语)
如果你也和我一样,可能会对各式各样的“现状”报告感到审美疲劳。我说的只是网络安全领域的报告 - 从 SBOM 到开源,再到我们自己的《2024 年云原生安全报告》,不一而足。
尽管如此,每份报告都充满了耐人寻味的启示,让人感受到调查所在生态系统的温度。我们的也不例外。如果您是对云计算投资激增的众多企业之一 - 可能每年在云服务上的投资超过 1000 万美元 - 那么这份报告至少可以让您放心,您并不孤单。
首先,让我们来谈谈枯燥但必不可少的可信度细节。
《2024 年云原生安全现状报告》展示了来自 10 个国家 2,800 多名受访者的调查数据。这些受访者有的来自大企业,有的来自中小型组织,其中既有高管领导,也有开发、IT 和安全职能部门的从业人员。洗手间在大厅尽头左侧,如果发生火灾,请到 E 停车场集合。都知道了吗?是时候进入正题了。
我们与人工智能的爱恨情仇
任何编写代码的人都尝试过类似的提示:
“我正在做一个 Terraform 项目,需要按照特定要求配置 AWS EC2 实例:类型应该是‘t2.micro’,位于‘us-east-1’区域内,包含‘Name’标签‘MyInstance’和‘Environment’标签‘Development’。能否提供定义这个资源的 Terraform 代码片段?”
(摘自 The New Stack 上的精彩文章。)
当然,它也很好地创造了一些可能有用的东西!事情还不止于此。生成代码的能力就像是引诱开发人员的火箭燃料,直接影响着我们如何激励他们的行为。时间是一个因素,新的竞争性功能的上市时间也是一个因素。
尽管 100% 的受访者都接受了人工智能辅助应用程序开发(和安全),比如现有的各种辅助机器人,但许多人担心人工智能生成的代码会带来安全风险,这一点也不足为奇。人工智能,尤其是公开的 LLM,是一台“垃圾进垃圾出”的机器。由于公共领域中的安全编码示例少之又少,业界显然担心开发人员可能会过于依赖人工智能,无意中引入更多不安全的默认设置,因为如果不是这样,他们的代码可能无法正常运行。
尽管存在公认的风险,但这种一致性接受表明,可能需要(额外的)监督来平衡更快的创新节奏和安全。
我们与 AI 的关系还不止于此。继去年瞄准云原生生态系统的攻击上升之后,近一半的安全专业人士受访者预计人工智能驱动的供应链攻击将崛起,同样多的受访者预测攻击将躲过传统的检测技术。
各企业看清了这种认知上的偏差,人工智能既是创新的推动力,也是潜在的攻击载体,因此需要在追求人工智能效益与严格的安全措施之间取得平衡。
我的数据在哪里?
据报道,如果有人工智能的协助,数据泄露事故可能会增加,但尚未得到证实。超过 60% 的受访企业报告了大幅增加。事实上,45% 的企业报告称,高级持续性威胁 (APT) 和可以长期不被发现的隐形攻击有所增加。这不仅需要主动监控和先进的威胁检测与响应,还迫切需要在云环境中采取强大的数据安全措施。
数据是皇冠上的明珠!虽然拒绝服务攻击(包括勒索软件)仍然是一个现实的威胁,但我们在云原生墙内藏着的数据才是许多攻击者的目标。
城墙建得更高了 - 门口有猛兽把守 - 我们的守卫也增加了一倍,使整个城堡的可观察性更加扑朔迷离。然而,许多企业实际上并不知道金子在哪里。
这似乎很难让人相信,但仍有 50% 的企业依靠人工审核来识别和分类云中的敏感数据。我们显然需要现代化的解决方案,尤其是当我们考虑到,除了我们从托管服务中了解到的数据外,我们的云景中还潜伏着非托管数据解决方案和影子数据。一个潜伏在 Kubernetes 集群中的简单容器化数据库缓存了个人身份信息 (PII),需要发现和分类,而只有自动化才能解决这个问题,才能检测和保护我们未知的未知。
在我们已知的未知中,就包括人工智能在内部解决方案中的广泛应用。我们知道,这给数据安全带来了新的刺激挑战 - 例如,确保对训练和代表我们的模型和服务的数据进行受控访问。除此之外,还要建立和监控已部署的人工智能辅助应用程序清单。
我们谈论的也不仅仅是客户数据/金子。虽然只有 38% 的企业报告在机密管理方面遇到困难,但更有 43% 的企业表示,在过去一年里遇到的机密暴露增加了。
用工具解决!
如果您从未参加过 CISO Series “Super Cyber Friday”的活动,我真心推荐您参加。这些都是与网络安全专家进行的互动性极强而且非常有趣的访谈。具体来说,活动有一个“BAD IDEA”环节,听众可以提交某个问题的最差解决方案。“用工具解决”对于这样一个环节来说是一种具有讽刺意味的高质量回应。
接受调研的企业平均使用 16 种云安全工具,但 90% 的受访者表示,使用的单点工具数量过多会造成安全盲点。这一现实正在影响他们确定风险优先级和防止威胁破坏安全效果的能力。
但讽刺意味还不止于此。几乎所有的安全专业受访者都认为,自己的企业需要一种解决方案,能够自动识别最有可能致使攻击得逞的漏洞和错误配置,并立即采取补救措施。听起来他们可能需要一个 CNAPP。
让我们来谈谈威胁吧!我们谈谈你和我!
DevSecOps 究竟什么时候才能实现?我赌 100 块钱 2037 年 12 月。在 SecOps 和 DevOps 团队之间,“合作共赢”的故事还没有上演,因为超过 80% 的 DevOps 仍将安全视为一个制约因素。现实就是,制约是安全团队的工作。他们才应该是一个制约因素。这是必要之恶。制约的问题更可能是将安全集成到开发人员环境中的方法 - 在某种程度上也包括开发人员的思维 - 没有达到应有的精简程度。
挣扎的双方都缺乏同情心。超过 90% 的安全团队认为开发人员只要编写安全的代码就行了。问题解决了!实际上,成功的因素介于两者之间。人工智能将成为 DevSecOps 的强大融合剂,还是会在以惊人的速度推动开发的同时加剧问题,我们将拭目以待。
发展方向
在企业应对复杂的云原生安全问题时,本报告为强化其安全态势提供了宝贵的建议:
- 从云迁移行动的一开始就优先考虑安全性,将其纳入整体战略,避免漏洞、数据泄露和违规处罚。
- 鉴于云服务市场的复杂性和多样性,彻底研究工具和供应商,评估最符合企业需求、预算和战略目标的选项。
- 促进开发团队和安全团队之间的合作,对齐优先级并精简流程,减少冲突并确保高效、安全的应用程序部署。
- 云原生应用中的资源和数据蔓延是真实存在的。对于各种规模的企业而言,从人工到现代化都是一条必经之路。
- 随着云技术不断重塑数字环境,企业必须时刻警惕,积极主动地制定安全战略。在加强防御的同时拥抱创新,企业就可以驾驭云原生时代的复杂性,释放全部潜力来实现其增长和转型。
了解更多
千万不要错过这份非同一般的 2024 年云原生安全现状报告。马上下载报告。