《CSA GCR：2024云原生應用保護平臺(CNAPP)調查報告（32頁）.pdf》由會員分享，可在線閱讀，更多相關《CSA GCR：2024云原生應用保護平臺(CNAPP)調查報告（32頁）.pdf（32頁珍藏版）》請在三個皮匠報告上搜索。

1、2023 云安全聯盟大中華區-版權所有12023 云安全聯盟大中華區-版權所有22023 云安全聯盟大中華區保留所有權利。你可以在你的電腦上下載、儲存、展示、查看及打印，或者訪問云安全聯盟大中華區官網（https:/www.c-）。須遵守以下：（a）本文只可作個人、信息獲取、非商業用途；（b）本文內容不得篡改；（c）本文不得轉發；（d）該商標、版權或其他聲明不得刪除。在遵循中華人民共和國著作權法相關條款情況下合理使用本文內容，使用時請注明引用于云安全聯盟大中華區。2023 云安全聯盟大中華區-版權所有32023 云安全聯盟大中華區-版權所有4致謝致謝云原生應用保護平臺（CNAPP)調查報告（C

2、NAPP Survey-Sponsored byMicrosoft）由CSA工作組家編寫，CSA大中華區秘書處組織翻譯并審校。中文版翻譯專家組中文版翻譯專家組（排名不分先后）：組長：組長：劉文懋翻譯組：翻譯組：白玉強崔崟伏偉任李卓嘉廖武鋒鹿淑煜申屠鵬會研究協調員：研究協調員：卜宋博感謝以下單位的支持與貢獻：感謝以下單位的支持與貢獻：北京神州綠盟科技有限公司北京沃東天駿信息技術有限公司奇安信網神信息技術（北京）股份有限公司三未信安科技股份有限公司上海物盾信息科技有限公司中國工商銀行股份有限公司2023 云安全聯盟大中華區-版權所有5感謝我們的贊助商感謝我們的贊助商云安全聯盟（CSA）是一個由會員

3、驅動的非營利組織，致力于定義和提高對最佳實踐的認識，以確保安全的云計算環境。CSA 利用行業從業者、協會、政府及其企業和個人成員的專業知識，提供云安全相關的研究、教育、認證、活動和產品。CSA 的活動、知識和廣泛的網絡使受云影響的整個社區受益，從供應商和客戶到政府、企業家和保險行業，并提供一個多方共同合作的平臺，以創建和維護一個可信的云生態系統。CSA 研究以供應商的中立性、敏捷性和結果的完整性而自豪。感謝我們的贊助商微軟（Microsoft）為研究的開發提供資金支持，并通過 CSA研究生命周期的確保質量控制。贊助者是支持研究項目結果的 CSA 公司會員，但對 CSA 研究的內容開發或編輯權沒

4、有額外的影響。關于贊助商關于贊助商微軟安全幫助保護人員和數據免受網絡威脅，讓您安心。欲了解更多信息，請訪問：https:/ 云安全聯盟大中華區-版權所有6英文版本編寫專家英文版本編寫專家主要作者：主要作者：Hillary Baron貢獻者：貢獻者：Marina BregkouJosh BukerRyan GiffordSean HeideAlex KaluzaJohn Yeoh設計師：設計師：Claire Lehnert特別感謝：特別感謝：Adwait JoshiThomas Zou在此感謝以上專家。如譯文有不妥當之處，敬請讀者聯系CSA GCR秘書處給予雅正！聯系郵箱researchc-；國

5、際云安全聯盟CSA公眾號。2023 云安全聯盟大中華區-版權所有7序言序言在這個日益全球化的數字時代，云計算作為技術革新的核心，正不斷推動著企業的數字化轉型。作為這一領域的先鋒，云原生應用保護平臺（CNAPP）調查報告為我們提供了對云安全前沿的深刻洞察。得益于微軟的贊助和 CSA大中華區專家團隊的卓越工作，本報告不僅僅是一個研究成果，更是一個全球視野下的指南。報告詳細探討了云原生應用保護平臺（CNAPP）在安全態勢管理、云工作負載保護等方面的應用，強調了在 DevSecOps 實踐中整合安全性的必要性。我們深入分析了自動化在提高云安全效率中的關鍵角色，以及如何在靈活性和響應能力保障的同時維護安

6、全。報告中還闡釋了面對不斷演變的安全威脅，企業如何有效實施云安全策略，以及如何應對數字化轉型過程中出現的新挑戰。本報告的核心在于它不僅為全球范圍內的企業和技術專家提供了寶貴的見解，還為整個云安全社區搭建了一個交流和合作的平臺。我們希望它能激發更多的行業討論，推動更廣泛的合作與創新，共同構筑一個更安全、更高效的數字世界。在數字化和云計算不斷發展的今天，這份報告不僅是云安全領域的重要參考，也是每一位致力于數字化轉型的專業人士的必讀之作。讓我們一起探索云計算的未來，共同應對挑戰，邁向更加安全、智能的數字化新時代。李雨航 Yale LiCSA 大中華區主席兼研究院長2023 云安全聯盟大中華區-版權所

7、有8目錄致謝致謝.4序言序言.7調查的創立和方法論調查的創立和方法論.9研究目標.9關鍵發現關鍵發現.10云原生應用程序保護平臺:四分之三的組織選擇使用 CNAPP 來保護其多云環境.10云安全態勢管理：安全團隊需要明確的信息以進行適當的優先級排序.11DevOps 安全：DevOps 安全的重要性日益得到認可，但缺乏專業知識和人才阻礙了進程.12云工作負載保護：圍繞事件響應的挑戰回歸為人員、流程和技術.13網絡安全：最成熟的實現，但威脅檢測仍為挑戰.14云基礎設施授權管理:高度關注權限配置錯誤.16結論結論.16調研發現調研發現.17云的使用和安全.17云原生應用保護熟悉云原生應用保護平臺.

8、21云安全態勢管理.23云工作負載保護事件響應的挑戰.25安全 DevOps.26網絡安全和云上權限.29統計來源統計來源.312023 云安全聯盟大中華區-版權所有9調查的創立和方法論調查的創立和方法論云安全聯盟（CSA）是一個非營利組織,其使命是廣泛推廣確保云計算和 IT技術中的網絡安全最佳實踐。CSA 還就所有其他形式的計算中的安全問題向這些行業的各個利益相關者進行教育。CSA 的會員包括行業從業者、企業和專業協會的廣泛聯盟。CSA 的主要目標之一是進行調查,評估信息安全趨勢。這些調查提供了關于組織當前的成熟度、意見、興趣和有關信息安全和技術的意圖的信息。微軟委托了 CSA 開展一項調查

9、和報告,以更好地了解行業對云原生應用程序保護平臺（CNAPP）的知識、態度和觀點。微軟為該項目提供了資金支持,并與CSA 研究分析師共同制定了調查問卷。該調查由 CSA 于 2023 年 4 月在線進行,收到了來自各種規模和地點的組織中的 IT 和安全專業人員的 1201 份回復。CSA 的研究分析師對本報告進行了數據分析和解釋工作。研究目標研究目標調查的主要目標是更深入地了解以下內容:組織在云安全方面的優先事項和挑戰 行業對 CNAPP 的熟悉程度和采用成熟度 安全態勢管理、云工作負載保護和 DevSecOps（開發、安全和運營）的當前方法及挑戰2023 云安全聯盟大中華區-版權所有10關鍵

10、發現關鍵發現隨著組織越來越多地利用多云策略,傳統的安全解決方案通常很難為這些動態和分布式應用程序提供充分的保護。近年來，由于全面保護多云環境的復雜性以及整合組織當前部署的許多安全工具的能力，云原生應用保護平臺已成為關鍵的安全工具類別，其中包括云安全態勢管理（CSPM）、云工作負載保護（CWP）、云基礎設施權限管理（CIEM）、網絡安全和安全 DevOps。這項調查旨在了解組織在有效實施 CNAPP 方面的采用率和面臨的挑戰。它旨在提供有關CNAPP 部署的當前狀態的見解,識別需要支持的領域,并指導決策制定。以下是一些關鍵發現。云原生應用程序保護平臺云原生應用程序保護平臺:四分之三的組織選擇使用

11、四分之三的組織選擇使用CNAPP來保護其多云環境來保護其多云環境大多數組織(75%)已經或計劃在其云環境中實施 CNAPP。這一高采用率可以歸因于多云策略的盛行，有 84%的組織使用了兩個或多個云環境。然而，現有的安全工具通常不足以充分支持如此復雜的多云設置，導致組織尋求像 CNAPP這樣的替代解決方案。調查顯示，僅有不超過 30%的組織通常將部署的安全工具（如 CSPM、CWP 和 CIEM）集成到多個云環境中。在 CNAPP 提供的功能中，CSPM 憑借其在解決安全態勢可見性方面的重要性成為關鍵吸引因素(25%)，這被認為是組織的首要任務(42%)。這些數據清楚地說明了 CNAPP 為什么

12、在組織中引發了廣泛的興趣。2023 云安全聯盟大中華區-版權所有11云安全態勢管理：安全團隊需要明確的信息以進行適當的優先級排序云安全態勢管理：安全團隊需要明確的信息以進行適當的優先級排序由于安全團隊受到巨大數量警報的影響，他們在優化安全過程中一直在面臨管理和優先級排序的困難。32%的受訪者透露，由于他們收到的信息數量龐大且經常不準確，他們在優先處理安全改進方面感到困難。此外，34%的人發現自己被安全建議所困擾，而同等比例的人缺乏相關或可操作的見解來做出明智的決策。他們可能會收到大量警報或建議，但這些信息未能提供必要的詳細信息以指導他們采取正確的行動方向。信息管理的問題與調查的另一個關鍵發現相

13、關，即不同組織之間的監控設置存在廣泛差異。有趣的是，33%的受訪者使用完全基于代理的監控系統，而 37%的受訪者則主要采用無代理方法，盡管他們還是會輔以一些基于代理的監控。這種差異很可能受到特定供應商和組織可以訪問的技術類型的影響?？偟膩碚f，組織可能需要找到能夠通過自動化和集中式的安全工具和技術來支持其安全態勢管理。自動化將有助于緩解在優先級和建議（最佳實踐）間的一些混淆。集中式的安全工具和供應商將幫助合并警報并提供更好的上下文信息，從2023 云安全聯盟大中華區-版權所有12而幫助團隊調整合適的優先級；最終幫助他們采取正確的行動。DevOps 安全：安全：DevOps 安全的重要性日益得到認

14、可，但缺乏專業知識和人才阻礙了進程安全的重要性日益得到認可，但缺乏專業知識和人才阻礙了進程盡管安全左移和 DevSecOps 是發展趨勢，但是由于一些重大的問題阻礙了完全融合的進程，將穩健的安全措施整合入 DevOps 仍然處于早期階段。目前，有 51%的組織正在將安全集成到他們的DevOps 實踐中，但只有 35%的組織聲稱已經完成了整合。其中的主要挑戰在于：缺乏安全專業知識，自動化不足，過多的誤報以及缺乏可操作的反饋。組織必須直面并解決這些問題以實現成功的整合。在這些障礙中，首要的問題是缺乏安全專業知識，有46%的受訪者報告了這一問題。這種不足可能會在 DevOps 的流程中引入漏洞，攻擊

15、者可能會潛在地利用這些漏洞。更麻煩的在于關于 DevOps 安全的責任和問責制存在模糊不清，不同的團隊經常假設這是對方的責任。為了解決這個問題，組織應該為 DevOps 團隊提供安全培訓，聘請安全專家，并在組織內打造“安全為先”的文化。其它主要挑戰都與技術相關，這其中最大的挑戰是缺乏自動化，由43%的2023 云安全聯盟大中華區-版權所有13受訪者指出。缺乏自動化流程會使組織難以有效地管理和展開DevOps的落地。誤報也是另一個重要的問題，有42%的組織被誤報困擾。高誤報率使得安全團隊疲于應付，效率低下。最后，有42%的組織報告了缺乏可操作的反饋，這阻礙了他們對安全實踐的有效響應。與在安全態勢

16、管理上面臨的挑戰類似，教育、培訓以及工具的質量是成功實現安全集成的要素。組織必須密切關注這些方面，以確保安全與DevOps的有效集成，從而更有效地保護其運營。云工作負載保護：圍繞事件響應的挑戰回歸為人員、流程和技術云工作負載保護：圍繞事件響應的挑戰回歸為人員、流程和技術在DevOps中，人員和技術挑戰一直是焦點，但在涉及云工作負載保護和事件響應方面，問題涉及到所有方面：人員、流程和技術。人員：25%的受訪者認為人力資源缺乏是一項重要挑戰。人手短缺妨礙了組織有效應對安全事件的能力，而缺乏規范的響應方案則會加劇這個問題。確保安全團隊能夠獲得全面的培訓、必要的工具和資源，將幫助他們更高效地處理安全事

17、件。流程：29%的組織聲稱缺少正式的應急響應計劃。沒有清晰的路線圖，組織往往難以理解他們在安全事件中的職責。為此，組織應當制定并實施正式的事件響應計劃。該計劃應當明確列出在面對安全事件時，事件響2023 云安全聯盟大中華區-版權所有14應團隊的職責和行動步驟。定期測試和更新響應計劃以確保其有效性也至關重要。組織應積極發現并主動彌補事件響應計劃中的潛在不足。技術：缺乏自動化是組織正在努力解決的另一個關鍵挑戰，有 39%的受訪者報告了這一問題。自動化工具可以大幅減少響應時間，提高威脅調查的效率。因此，實施這些工具是改進事件響應的關鍵步驟。自動化事件響應流程的工具可以實時查看潛在的安全事件,如 CN

18、APP 和安全信息和事件管理（SIEM）系統。組織還應在有助于評估安全事件優先級和減少誤報數量的技術上有所投入，從而提高安全效率。有效應對安全事件并保護云工作負載的能力源自人員、流程和技術。優先考慮這些領域將使組織能夠強化其事件響應能力，從而確保其云工作負載得到堅實的保護。網絡安全：最成熟的實現，但威脅檢測仍為挑戰網絡安全：最成熟的實現，但威脅檢測仍為挑戰在所有類別中，網絡安全是最成熟的。值得關注的是，43%的受訪者報告在多云環境中實現了網絡安全的全面整合，而CSPM的整合率僅為28%。零信任戰略的普及可能是這種成熟水平背后的一項關鍵驅動因素。然而，組織在網絡安全方面仍然面臨重要的挑戰，在威脅

19、檢測和大量安全警報的管理方面尤甚。威脅的數量之多可能與組織環境的復雜性和大量網絡流量有關。這種情況可能會使有效識別和跟蹤潛在的安全威脅變得困難。2023 云安全聯盟大中華區-版權所有15面對這些挑戰，基于風險的方案將幫助組織優先關注更關鍵的資產和漏洞。這種方法確保首先解決高優先級的風險，從而強化組織的整體安全態勢。此外，推薦充分利用支持多云環境并提供智能威脅防護的安全工具。如CNAPP之類的工具可以幫助自動化、簡化并優化網絡安全流程，有助于迅速識別和緩解威脅。此外，減少安全警報的數量對于網絡安全管理也很重要。一個可能的方向是對于能夠有效區分真實威脅和誤報的智能安全工具進行投入。這可以顯著減少警

20、報的數量，防止安全團隊疲于應對，使他們能夠集中精力應對真正的威脅。盡管網絡安全是多云環境涵蓋的范圍中最成熟的領域，但組織仍然面臨重大挑戰，特別是在威脅檢測和安全警報管理方面。通過采用基于風險的方法，同時充分利用先進的安全工具，組織可以增強多云環境中的網絡安全并且有效保護其資產。2023 云安全聯盟大中華區-版權所有16云基礎設施授權管理云基礎設施授權管理:高度關注權限配置錯誤高度關注權限配置錯誤云基礎設施授權管理（CIEM）遇到了一些顯著的挑戰，特別是在配置錯誤方面。近一半(43%)的組織認為他們最擔心的問題是權限配置錯誤。這個普遍存在的問題可能會產生嚴重的后果，可能會導致未經授權的訪問，甚至

21、災難性的數據丟失。錯誤的配置可能會在無意中暴露敏感數據或授予不必要的特權，從而創建可能被惡意行為者利用的漏洞。為了解決這些問題，自動化安全工具越來越被認為是支持云基礎設施授權管理（CIEM）的關鍵。這些工具可以對多云環境進行全方位掃描，允許對權限配置進行全面的觀測和控制。這些工具通過主動檢測和對配置錯誤告警，可以幫助組織快速解決問題，顯著減少漏洞的窗口期。結論結論雖然CNAPP在幾年前才被定義，但很快就被廣泛接受了。許多企業目前正在使用或計劃使用CNAPP。對于企業的吸引力在于能夠提供全面的態勢管理和可見性，以及為了降低風險而采用的代碼上云的方法，這是企業最優先考慮的安全事項。CNAPP特別擅

22、長保護多云環境，并為整合各種安全工具提供了統一的解決方案。2023 云安全聯盟大中華區-版權所有17從調查結果中可以看出，企業面臨的挑戰往往圍繞著兩個核心因素：人員和技術。一方面，需要培養訓練有素的專業安全人員，讓他們清楚地了解自己的職責。另一方面，迫切需要有效的技術和工具來應對快速演變的網絡安全威脅，并有效地支持安全團隊。像CNAPP這類的技術必須能夠為安全團隊提供所需的正確信息和可見性，以便通過端到端實現平臺治理的一致性，從而有效地保護多云環境。這種需求跨越了幾個關鍵領域：云安全態勢管理（CSPM）、云工作負載保護（CWP）、安全開發運維（DevSecOps）、云基礎設施授權管理（CIEM

23、）和網絡安全。隨著企業云上業務的發展，企業必須利用諸如CNAPP來為安全性提供集成解決方案，同時解決人員和技術方面的問題。這樣，可以更好地為應對當今和未來的復雜網絡安全挑戰。調研發現調研發現云的使用和安全云的使用和安全云環境云環境大多數組織都有兩個或更多云的多云環境（84%）。只有15%使用單一云環境。云中管理的工作負載數量云中管理的工作負載數量2023 云安全聯盟大中華區-版權所有18大多數組織在云中管理適量的工作負載。具體而言，28%的受訪者表示管理著 101-500 個工作負載，而 30%的受訪者表示管理著 501-1000 個工作負載。只有 3%的組織報告工作負載超過 10,000 個

24、。今年安全工作重點今年安全工作重點組織希望通過投資先進的安全工具和技術來改善其云安全狀況。根據最近的一項調查，明年的三大優先事項是提高安全態勢的可見性（42的受訪者）、增加威脅防護自動化的使用（35）、提高 SOC（安全運營中心）效率（35）以及通過減少攻擊面來主動預防風險（37%）。這些優先事項表明，組織正在尋求更好地識別潛在漏洞，更快地檢測和響應潛在威脅，并降低潛在安全漏洞的風險。2023 云安全聯盟大中華區-版權所有19期望的安全結果期望的安全結果對于組織來說，最重要的安全成果是提高可見性，43%的受訪者選擇將此作為首要任務。這表明組織正在尋求更好地了解其云安全狀況，以識別潛在的漏洞并減

25、少潛在安全漏洞的風險。第二個最重要的成果是減少手工工作，32%的受訪者選擇了這一選項。這表明組織正在尋求自動化其安全流程，以提高效率并降低人為錯誤的風險。2023 云安全聯盟大中華區-版權所有20跨多云環境的安全工具的成熟度跨多云環境的安全工具的成熟度網絡安全在多云環境中具有最高水平的完全集成，43%的受訪者表示完全集成。DevSecOps 的完全集成程度位居第二，41%的受訪者報告跨多云環境的集成。CWP 和 CIEM的集成程度相似，30%的受訪者表示兩者完全集成。CSPM 和數據安全態勢管理的完全集成程度最低，只有 28%和 34%受訪者分別報告了跨多云環境的集成。這些結果表明，組織在跨多

26、個環境管理云安全時面臨挑戰，某些領域（例如網絡安全和 DevSecOps）顯示出更高級的集成。組織可能需要重新評估他們正在使用的安全工具，以確保其完整的多云環境受到保護和保障。2023 云安全聯盟大中華區-版權所有21云原生應用保護熟悉云原生應用保護平臺云原生應用保護熟悉云原生應用保護平臺大多數受訪者（89%）都表示熟悉云原生保護平臺（CNAPPs），只有11%的受訪者表示不熟悉CNAPP。云原生應用保護平臺的核心價值云原生應用保護平臺的核心價值受訪者對云原生應用保護平臺（CNAPP）的核心價值認識不一。選擇最多的核心價值是獲得全面的安全態勢可視化，占受訪者總數的 25%。其次，有16%的受訪

27、者選擇了解數據態勢和保護敏感數據作為核心價值。多云威脅保護，以前各自為政的安全利益相關方的協作加強和統一也被認為是重要的價值主張，選擇這兩項的受訪者各有 13%。2023 云安全聯盟大中華區-版權所有22正在使用或計劃使用正在使用或計劃使用CNAPP實施云原生應用保護平臺(CNAPP)似乎是許多組織的首要任務，40%的受訪者表示他們目前正在使用CNAPP解決方案。此外，31%的受訪者表示計劃在未來6個月內實施CNAPP，14%的受訪者表示計劃在未來12個月內實施CNAPP。只有8%的受訪者表示有實施計劃CNAPP但時間未定，剩下7%的受訪者表示沒有計劃實施CNAPP。2023 云安全聯盟大中華

28、區-版權所有23云安全態勢管理云安全態勢管理安全態勢管理的最大挑戰安全態勢管理的最大挑戰企業面臨安全態勢的一些列挑戰，其中背景或可操作性見解的缺乏和太多的安全建議是被選擇最多的兩項，分別有34%的受訪者選擇了這兩項挑戰。這表明企業正在努力獲取正確的信息，以便對其安全狀況做出明智的決策；同時也被大量無法提供清晰解決方案的建議所困擾。此外，有32%的受訪者表示安全改進的優先級是一個重大的挑戰。2023 云安全聯盟大中華區-版權所有24設置監控設置監控agent調查結果表明，企業在設置監控的agent方面采取了不同的方法。17%的受訪者報告使用完全無agent的監控，而33%的受訪者報告使用完全基于

29、agent的監控。更多的受訪者（37%）表示組合使用兩種監控方法，但以無agent的監控方式為主。還有13的受訪者表示使用兩種監控方法的，但以基于agent的方法為主。這些結果表明，企業在監控環境時有不同的偏好和要求，可能需要根據具體需求或供應商來綜合考慮各種方法。最重要的安全態勢能力最重要的安全態勢能力管理和保護賬戶的能力和流程以及管理漏洞是被選擇最多的兩個能力，各有被41%的受訪者選擇。攻擊路徑分析也是一個高度受歡迎的能力，被37%的受訪者選擇。較少被選擇為：敏感數據暴露（31%），訪問和權限管理（27%）以及糾正錯誤配置（23%）。2023 云安全聯盟大中華區-版權所有25云工作負載保護

30、事件響應的挑戰云工作負載保護事件響應的挑戰當涉及到事件響應時，組織面臨著一系列挑戰，技術缺陷是最受關注的問題。39%受訪者選擇了缺少自動化、31%選擇了與SIEM的集成，29%選擇了缺乏正式的響應計劃。此外，27%的受訪者提到了響應時間遲緩。值得注意的是，缺乏正式的響應計劃會影響事件響應團隊有效利用技術的能力，這對于任何有效的事件響應都是必要的。2023 云安全聯盟大中華區-版權所有26檢測到威脅后的平均響應時間檢測到威脅后的平均響應時間當涉及到在云環境中實時檢測到的潛在威脅時，組織的響應時間不同。13%的受訪者聲稱在幾分鐘內響應，31%在幾小時內響應，30%在一天內響應。值得注意的是，幾分鐘

31、內的響應時間可能需要供應商或自動化在事件響應過程中提供協助。另一方面，16%的受訪者需要超過一周的時間來響應，只有2%的受訪者沒有設定響應的時間框架。安全安全DevOps將安全性集成到將安全性集成到DevOps實踐中實踐中大多數受訪者（87%）報告說，他們的組織已經實施或部分實施了DevSecOps實踐，只有8%尚未實施。這與在軟件開發生命周期中進行安全左移并將安全性集成到開發過程中的趨勢是一致的。這也反映了支持這些實踐的工具和技術的日益增加的可用性。2023 云安全聯盟大中華區-版權所有27實現實現DevOps安全性的障礙安全性的障礙實現DevOps安全性的最大障礙似乎是出現在實施過程，最大

32、的挑戰集中在早期階段。28%的受訪者認為，定義和模板化IaC（基礎設施即代碼）框架，并包括安全策略和合規要求，是最大的障礙。緊隨其后的是在組織當前的IT環境中部署IaC框架（25%）。管理IaC更新、測試和擴展（17%）以及選擇IaC工具（13%）也被認為是障礙。人員配備和技能組合問題（8%）是最不常見的挑戰。DevOps在安全性方面面臨的主要挑戰在安全性方面面臨的主要挑戰當涉及到DevOps安全性時，組織面臨著幾個關鍵挑戰。最大的挑戰是缺乏安全專業知識，46%的受訪者認為這是一個問題。缺少自動化是第二常見的挑戰，占43%。太多的誤報和缺乏可操作的反饋也構成了重大問題，42%的受訪者認為這些都

33、是挑戰。其他常見的問題包括團隊之間缺乏溝通和缺乏關于業務影響的上下文。解決這些挑戰可以幫助組織更好地將安全性集成到他們的DevOps流程中，并確保他們的環境更加安全。2023 云安全聯盟大中華區-版權所有28DevOps安全關注領域安全關注領域DevOps安全主要關注領域包括：在軟件成分分析中對代碼依賴性和漏洞的理解（54%），應用安全測試（45%）以及代碼掃描工具（41%）。其他重要的關注領域包括：軟件供應鏈安全（37%），基礎設施即代碼掃描（28%），與現有CI/CD流水線的集成（21%），以及密碼掃描（8%）。DevOps安全責任人安全責任人需要注意的是，由于調查對象主要是安全領域的從業

34、人員，因此以下結果可能存在一定的偏差。當被問到在組織中誰負責DevOps安全時：20%的受訪者回答是安全工程團隊、17%回答是安全運維/管理團隊、產品研發團隊和風險管理團隊各占12%。其他選項包括DevOps團隊、首席信息安全官（CISO）辦公室、系統管理員、質量保證（QA）/質量（QC）控制團隊、云工程團隊和特定的開發人員則回答較少。2023 云安全聯盟大中華區-版權所有29網絡安全和云上權限網絡安全和云上權限網絡安全挑戰網絡安全挑戰45%的受訪者表示，網絡威脅檢測是網絡安全中最具挑戰性的方面，這表明在檢測和響應潛在安全威脅方面存在困難。減少安全警報數量是第二個最具挑戰性的方面，41%的受訪

35、者表示他們難以應對安全工具生成的大量警報。對網絡流量的可觀測性也是一個重要挑戰，35%的受訪者報告稱他們難以完全了解自己的網絡流量。其他網絡安全方面，如細粒度的網絡隔離、流量加密和網絡策略管理，有較少的受訪者選擇。2023 云安全聯盟大中華區-版權所有30多云環境下的權限問題多云環境下的權限問題對于43%的受訪者來說，在多云環境下云權限的錯誤配置是最令人擔憂的問題。這表明組織在正確配置云權限方面存在困難，這可能導致潛在的安全漏洞和未授權的訪問。內部威脅和權限過高的身份也是重要的關注點，分別有34%和33%的受訪者將其選擇為最重要的問題。其他問題，如具有無限制訪問權限的非活動賬戶和集成問題，則被選擇的頻率較低。2023 云安全聯盟大中華區-版權所有31統計來源統計來源該調查由CSA于2023年4月在線進行，收到了來自不同規模、地域組織的IT和安全專業人員的1201份回復。2023 云安全聯盟大中華區-版權所有32